Doorbreek cyber kill chain met endpointbeveiliging

Bij het uitvoeren van een cyberaanval doorlopen aanvallers over het algemeen een aantal vaste stappen. Indien je bekend bent met deze stappen, kan dit de beveiliging van jouw organisatie versterken. Hoe ziet zo’n cyber kill chain eruit en hoe helpt endpointbeveiliging bij het doorbreken van deze keten?

De term kill chain verwijst naar een militair concept waarbij een fysieke aanval in meerdere fasen wordt opgedeeld: van de initiële identificatie tot het uiteindelijke vernietigen van het doelwit. Lockheed Martin presenteerde in 2011 met de cyber kill chain het digitale equivalent, dat de verschillende stappen van een digitale aanval uiteenzet. De cyber kill chain bestaat uit zeven basisstappen die aanvallers altijd moeten nemen bij het uitvoeren van een cyberaanval:

  1. Externe verkenning
    Aanvallers leren in deze stap de zwakke plekken van hun doelwit kennen. Welke aanvalsmethoden leveren de hoogste kans op succes op?
  2. Cyberwapens kiezen
    Deze stap kent veel verschillende vormen. Zo kan op maat gemaakte malware worden ingezet, kunnen kwetsbaarheden worden uitgebuit via onder meer pdf- of Office-bestanden of kunnen zwakke plekken in webapplicaties worden misbruikt. Deze stap draait om het technische mechanisme dat een aanvaller inzet.
  3. Dreiging afleveren
    De derde stap draait om het daadwerkelijk uitvoeren van een aanval tegen een doelwit. Denk hierbij aan het verleiden van een slachtoffer tot het bezoeken van een malafide website of het openen van een malafide bijlage. Denk echter ook aan sql-injecties of het uitbuiten van kwetsbaarheden in verouderde software.
  4. Zwakke plekken uitbuiten
    Nadat de malafide payload is afgeleverd compromitteert deze het doelwit. De aanvallers krijgen hiermee voet tussen de deur bij het slachtoffer. In de praktijk kan de payload een phishingmail zijn, maar ook malware of social engineering.
  5. Permanente toegang verkrijgen
    Aanvallers zijn in de vorige stap van de cyber kill chain het netwerk binnengedrongen. Zij hebben hiermee tijdelijke toegang tot dit netwerk verkregen. In stap vijf creëren zij permanente toegang tot het systeem. Via een backdoor hebben ze dan op ieder willekeurig moment toegang tot het systeem.
  6. Command & control-infrastructuur creëren
    Zodra permanente toegang tot systemen van een slachtoffer is verzekerd, richten de aanvallers zich op het creëren van een betrouwbaar communicatiekanaal. Via dit kanaal kunnen zij hun aanval aansturen en soms ook data extraheren. Dit kanaal wordt ook wel het c&c-kanaal genoemd.
  7. Acties tegen doelwit uitvoeren
    De laatste stap omvat de malafide acties die aanvallers uitvoeren op systemen van slachtoffers. Denk hierbij aan het stelen van inloggegevens of gevoelige data, maar ook aan het meekijken met een webcam.

Te weinig aandacht voor bewegingen van aanvallers

“Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer”

Opvallend aan de cyber kill chain die Lockheed Martin omschrijft is dat er relatief weinig aandacht is voor bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo kunnen aanvallers al langere tijd aanwezig zijn op het netwerk voordat zij worden opgemerkt. Deze tijd gebruiken zij voor het verkennen van het netwerk en in kaart brengen van relevante doelen.
Het WatchGuard Threat Lab-team pleit daarom al langer voor een alternatieve variant van de cyber kill chain. Het kiezen van cyberwapens in stap twee maakt in deze versie plaats voor de bewegingen van aanvallers binnen het netwerk van het slachtoffer. Zo is het apparaat waar aanvallers toegang tot krijgen lang niet altijd het uiteindelijke doelwit. In deze alternatieve tweede stap bewegen aanvallers richting hun doelwit.

Gedragsanalyse

Bij nagenoeg elke cyberaanval doorlopen aanvallers de verschillende stappen van de cyber kill chain. Het onderbreken van deze keten kan aanvallers dan ook in de wielen rijden. Endpointbeveiliging (epp) is hiervoor een krachtig middel. Een epp-suite kan allerlei vormen van endpointbeveiliging omvatten. We zoomen in op de wijze waarop een epp-suite verschillende stappen van de cyber kill chain kan doorbreken.

  • Dreiging afleveren

Bij veel aanvallen speelt malware een cruciale rol. Malware kan zijn werk pas doen nadat het op een endpoint is genesteld. Een goede epp-suite merkt een besmetting tijdig op en stopt de dreiging. Het is belangrijk dat een epp-suite niet alleen bekende malware opmerkt, maar juist ook onbekende dreigingen. Gedragsanalyse speelt hierbij een belangrijke rol.

  • Uitbuiten

Zwakke plekken in de beveiliging van software kunnen door aanvallers worden uitgebuit. Epp-suites gaan dit tegen met behulp van anti-exploit-technologieën. Zo kan de software het geheugen van endpoints monitoren op bekende technieken die aanvallers misbruiken voor het uitbuiten van kwetsbaarheden.

  • Command & control

Aanvallers vertrouwen op c&c-infrastructuur voor het aansturen van malware. Sommige epp-suites monitoren netwerkverkeer op verdacht verkeer dat kan duiden op c&c-verkeer. Het blokkeren van dit verkeer verstoort de communicatie tussen de aanvallers en malafide software.

  • Acties tegen doelwit uitvoeren

Idealiter voorkom je dat een endpoint wordt besmet met malware. Lukt dat niet? Dan wil je in ieder geval zeker stellen dat adequaat wordt ingegrepen. Veel epp-suites bevatten endpoint detection & response (edr)-functionaliteiten die hierbij helpen. Edr monitort endpoints en detecteert malafide activiteiten. Zo is direct in te grijpen en verdere schade te voorkomen.
Een epp-suite biedt dus een gelaagde bescherming tegen aanvallen, waarmee je de cyber kill chain kunt doorbreken. Want waar een aanvaller succes moet hebben bij het doorlopen van alle schakels van de keten, doorbreek jij deze keten al indien je de toegang tot slechts één van de schakels weet te stoppen.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise l'intelligence artificielle et l'apprentissage automatique pour réduire les spams. Découvrez comment vos données de commentaire sont traitées.

Articles connexes

Actualités générales

Les utilisateurs d'Apple sont ciblés par une attaque de phishing avancée pour réinitialiser leur mot de passe ID

Les utilisateurs d'Apple sont la cible d'une attaque de phishing sophistiquée où les attaquants tentent de réinitialiser leur mot de passe Apple ID. Cette attaque exploite une faille dans la fonction de réinitialisation du mot de passe de l'identifiant Apple, inondant les utilisateurs de fausses demandes de modification de leur mot de passe. Les victimes sont ensuite approchées par des escrocs se faisant passer pour le personnel du support Apple, essayant de les convaincre de partager le code de réinitialisation du mot de passe. Cela pourrait entraîner un accès complet à l'identifiant Apple et aux données personnelles de l'utilisateur.

Lire la suite

Grande vulnérabilité de sécurité découverte dans l'application de bureau 3CX populaire, explication détaillée et résumé.

Ce billet de blog aborde une vulnérabilité de sécurité découverte dans l'application de bureau 3CX populaire, un logiciel utilisé par de nombreuses grandes entreprises dans le monde entier. Le billet de blog commence par décrire l'application de bureau 3CX officielle et comment elle est utilisée en remplacement des lignes téléphoniques d'entreprise traditionnelles. Il aborde ensuite la découverte d'une activité malveillante inattendue provenant de l'application de bureau 3CX par les analystes de sécurité de CrowdStrike. La réponse de l'entreprise à la découverte est critiquée et le manque de préparation de nombreuses grandes entreprises aux attaques de logiciels malveillants est souligné. Le billet de blog se poursuit par une explication technique de la manière dont la vulnérabilité de sécurité fonctionne, notamment la présence de fichiers DLL malveillants et le chiffrement des charges utiles malveillantes. La gravité de la vulnérabilité de sécurité est soulignée, car elle peut affecter des centaines, voire des milliers, des entreprises utilisant l'application de bureau 3CX.

Lire la suite

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Lire la suite

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Lire la suite
Vous êtes à jour, c'était le dernier message.
  • Étiquettes

  • Catégories

  • Archives

  • Aller au contenu principal