Skip naar inhoud

Doorbreek cyber kill chain met endpointbeveiliging

Wilt u deze bijdrage aanbevelen? Dat kan via:

Bij het uitvoeren van een cyberaanval doorlopen aanvallers over het algemeen een aantal vaste stappen. Indien je bekend bent met deze stappen, kan dit de beveiliging van jouw organisatie versterken. Hoe ziet zo’n cyber kill chain eruit en hoe helpt endpointbeveiliging bij het doorbreken van deze keten?

De term kill chain verwijst naar een militair concept waarbij een fysieke aanval in meerdere fasen wordt opgedeeld: van de initiële identificatie tot het uiteindelijke vernietigen van het doelwit. Lockheed Martin presenteerde in 2011 met de cyber kill chain het digitale equivalent, dat de verschillende stappen van een digitale aanval uiteenzet. De cyber kill chain bestaat uit zeven basisstappen die aanvallers altijd moeten nemen bij het uitvoeren van een cyberaanval:

  1. Externe verkenning
    Aanvallers leren in deze stap de zwakke plekken van hun doelwit kennen. Welke aanvalsmethoden leveren de hoogste kans op succes op?
  2. Cyberwapens kiezen
    Deze stap kent veel verschillende vormen. Zo kan op maat gemaakte malware worden ingezet, kunnen kwetsbaarheden worden uitgebuit via onder meer pdf- of Office-bestanden of kunnen zwakke plekken in webapplicaties worden misbruikt. Deze stap draait om het technische mechanisme dat een aanvaller inzet.
  3. Dreiging afleveren
    De derde stap draait om het daadwerkelijk uitvoeren van een aanval tegen een doelwit. Denk hierbij aan het verleiden van een slachtoffer tot het bezoeken van een malafide website of het openen van een malafide bijlage. Denk echter ook aan sql-injecties of het uitbuiten van kwetsbaarheden in verouderde software.
  4. Zwakke plekken uitbuiten
    Nadat de malafide payload is afgeleverd compromitteert deze het doelwit. De aanvallers krijgen hiermee voet tussen de deur bij het slachtoffer. In de praktijk kan de payload een phishingmail zijn, maar ook malware of social engineering.
  5. Permanente toegang verkrijgen
    Aanvallers zijn in de vorige stap van de cyber kill chain het netwerk binnengedrongen. Zij hebben hiermee tijdelijke toegang tot dit netwerk verkregen. In stap vijf creëren zij permanente toegang tot het systeem. Via een backdoor hebben ze dan op ieder willekeurig moment toegang tot het systeem.
  6. Command & control-infrastructuur creëren
    Zodra permanente toegang tot systemen van een slachtoffer is verzekerd, richten de aanvallers zich op het creëren van een betrouwbaar communicatiekanaal. Via dit kanaal kunnen zij hun aanval aansturen en soms ook data extraheren. Dit kanaal wordt ook wel het c&c-kanaal genoemd.
  7. Acties tegen doelwit uitvoeren
    De laatste stap omvat de malafide acties die aanvallers uitvoeren op systemen van slachtoffers. Denk hierbij aan het stelen van inloggegevens of gevoelige data, maar ook aan het meekijken met een webcam.

Te weinig aandacht voor bewegingen van aanvallers

“Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer”

Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo kunnen aanvallers al langere tijd aanwezig zijn op het netwerk voordat zij worden opgemerkt. Deze tijd gebruiken zij voor het verkennen van het netwerk en in kaart brengen van relevante doelen.
Het WatchGuard Threat Lab-team pleit daarom al langer voor een alternatieve variant van de cyber kill chain. Het kiezen van cyberwapens in stap twee maakt in deze versie plaats voor de bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo is het apparaat waar aanvallers toegang tot krijgen lang niet altijd het uiteindelijke doelwit. In deze alternatieve tweede stap bewegen aanvallers richting hun doelwit.

Gedragsanalyse

Bij nagenoeg elke cyberaanval doorlopen aanvallers de verschillende stappen van de cyber kill chain. Het onderbreken van deze keten kan aanvallers dan ook in de wielen rijden. Endpointbeveiliging (epp) is hiervoor een krachtig middel. Een epp-suite kan allerlei vormen van endpointbeveiliging omvatten. We zoomen in op de wijze waarop een epp-suite verschillende stappen van de cyber kill chain kan doorbreken.

  • Dreiging afleveren

Bij veel aanvallen speelt malware een cruciale rol. Malware kan zijn werk pas doen nadat het op een endpoint is genesteld. Een goede epp-suite merkt een besmetting tijdig op en stopt de dreiging. Het is belangrijk dat een epp-suite niet alleen bekende malware opmerkt, maar juist ook onbekende dreigingen. Gedragsanalyse speelt hierbij een belangrijke rol.

  • Uitbuiten

Zwakke plekken in de beveiliging van software kunnen door aanvallers worden uitgebuit. Epp-suites gaan dit tegen met behulp van anti-exploit-technologieën. Zo kan de software het geheugen van endpoints monitoren op bekende technieken die aanvallers misbruiken voor het uitbuiten van kwetsbaarheden.

  • Command & control

Aanvallers vertrouwen op c&c-infrastructuur voor het aansturen van malware. Sommige epp-suites monitoren netwerkverkeer op verdacht verkeer dat kan duiden op c&c-verkeer. Het blokkeren van dit verkeer verstoort de communicatie tussen de aanvallers en malafide software.

  • Acties tegen doelwit uitvoeren

Idealiter voorkom je dat een endpoint wordt besmet met malware. Lukt dat niet? Dan wil je in ieder geval zeker stellen dat adequaat wordt ingegrepen. Veel epp-suites bevatten endpoint detection & response (edr)-functionaliteiten die hierbij helpen. Edr monitort endpoints en detecteert malafide activiteiten. Zo is direct in te grijpen en verdere schade te voorkomen.
Een epp-suite biedt dus een gelaagde bescherming tegen aanvallen, waarmee je de cyber kill chain kunt doorbreken. Want waar een aanvaller succes moet hebben bij het doorlopen van alle schakels van de keten, doorbreek jij deze keten al indien je de toegang tot slechts één van de schakels weet te stoppen.

Lees ook:

Na sase komt sse (security service edge)

Security service edge (sse) is de evolutie van het sase-framework van Gartner. Door de letter ‘A’ (voor ’access) te verwijderen, wordt duidelijk dat het netwerk niet langer wordt beschouwd als onderdeel van een beveiligingsoplossing. Het is slechts het mechanisme dat de datastromen naar het security- en controleplatform transporteert.

UK tech has 2.8% gender ‘wage gap’, says Hired

The wage offered to women for tech jobs in the UK is 2.8% less than offered to male counterparts – a larger gap than in the US and Canada, says Hired

HPE bouwt eerste Europese supercomputerfabriek

Hewlett Packard Enterprise (HPE) zet in Tsjechië zijn eerste Europese productielijn voor supercomputers en ai-systemen neer. Elders in de wereld heeft het techbedrijf al drie van zulke fabrieken. De Tsjechische locatie moet de levering aan Europese klanten versnellen en het regionale netwerk van toeleveranciers versterken. Volgens het concern loopt Europa voorop bij de inzet van supercomputers en artificiële intelligentie (ai).

Government won’t regulate on professional cyber standards

The government has elected not to proceed with regulatory intervention to embed standards and pathways across the cyber profession

Slimmer datagebruik leidt tot forse efficiency

Bedrijven kunnen zeker tien procent efficiënter werken door slimmer gebruik te maken van de aanwezige informatie in digitale bedrijfsprocessen. ‘Er zit nog veel onbenut potentieel in de informatie uit de systemen’, zegt Remco Dijkman, professor in Information Systems aan de TU Eindhoven. Hij noemt het percentage een voorzichtige inschatting.

EasyComp Zeeland opent nieuwe online megastore EasyComp Shop.

EasyComp Zeeland, een toonaangevende leverancier van allerlei IT en ICT-dienstverlening, heeft vandaag haar nieuwe online megastore EasyComp Shop geopend. Deze one-stop-shop biedt een uitgebreid assortiment producten van wereldberoemde merken tegen scherpe prijzen. Of u nu op zoek bent naar een nieuwe laptop, tablet of smartphone, in de EasyComp Shop vindt u altijd wat u zoekt.

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”