15.09.2020

Cybersecurity: Hoe voorkom je een cyberaanval?

Meer dan ooit ervaren we dit jaar hoe afhankelijk we zijn van onze informatiesystemen. Niet alleen door het thuiswerken, maar vervolgens ook toen begin van het jaar veel medewerkers door een Citrix kwetsbaarheid niet meer thuis konden werken. Afgelopen zaterdag nog is een Veiligheidsregio getroffen door een aanval met ransomware. En dit jaar is het aantal geregistreerde cybercrime-misdrijven in de eerste vijf maanden bijna drie keer zo hoog vergeleken met dezelfde periode vorig jaar blijkt uit een onderzoek van VPNGids.nl. Toeval? Nee. Juist doordat veel mensen thuiswerken door Covid-19, vormen de systemen thuis een prima ingang tot zakelijke omgevingen. Hoe herken je het patroon van een dergelijke aanval en, nog belangrijker, hoe voorkom je een aanval?

Met cybersecurity bescherm je computers, servers, mobiele apparaten, elektronische systemen, netwerken en gegevens tegen aanvallen van kwaadwillende. Er is daarmee een grote overeenkomst met de definitie van Informatiebeveiliging. Belangrijk verschil is wel dat het bij cybersecurity gaat om de bedreigingen door mensen van buiten de organisatie.

Meer rapporteren en goed opgeleide security professionals nodig

Uit een onderzoek door ISACA komt naar voren dat meer dan de helft van de securityspecialisten verwacht aangevallen te worden binnen een periode van 12 maanden. Een ander opvallend gegeven is dat dat securityspecialisten zien dat er te weinig wordt gerapporteerd over security incidenten. Juist het periodiek melden hoeveel aanvallen er worden gesignaleerd op de firewall en hoeveel spam en malware wordt geblokkeerd op de mailserver geeft de noodzaak aan voor maatregelen en draagt bij aan het bewustzijn bij het management. Het derde aandachtspunt uit het onderzoek gaat over het gebrek aan goed opgeleide security professionals. Dit zowel in de coördinerende (CISO) rol als technisch (SOC specialisten).

De Cyber Killchain

Aanvallen door cybercriminelen verlopen via een vast patroon. Dit patroon wordt ook wel aangeduid als de lockhead martin cyber killchain. De Cyber killchain bestaat uit de volgende stappen:

Verkenning

De observatiefase: In deze fase verzamelt de aanvaller zoveel mogelijk informatie over het doel. Aanvallers beoordelen de situatie doorgaans van buiten naar binnen, om zowel doelen als tactieken voor de aanval te identificeren. Social engineering waarbij een aanvaller op zoek gaat naar gegevens van medewerkers is hierbij één van de verkenningen. Hierna ontwikkelt die aanvaller de wijze waarop waarmee hij zijn aanval wil uitvoeren.

Indringing

Op basis van wat de aanvallers in de verkenningsfase hebben ontdekt, kunnen ze systemen binnendringen: vaak gebruikmakend van malware of kwetsbaarheden.

Exploitatie

Het misbruiken van kwetsbaarheden en het afleveren van kwaadaardige code op het systeem om voet aan de grond te krijgen.

Privilege escalatie

Aanvallers hebben vaak meer privileges nodig op een systeem om toegang te krijgen tot meer gegevens en permissies: hiervoor moeten ze hun privileges proberen up te graden naar een “Admin” of andere privileged users.

Laterale beweging

Zodra ze zich in het systeem bevinden, kunnen aanvallers naar andere systemen en accounts gaan om meer invloed te krijgen: of dat nu hogere rechten, meer gegevens of betere toegang tot systemen zijn.

Verduistering / anti-forensisch onderzoek

Om met succes een cyberaanval te plegen, moeten aanvallers hun sporen uitwissen. In deze fase leggen ze vaak valse sporen, compromitteren gegevens en wissen ze logboeken om elk forensisch team te verwarren en / of te vertragen.

Denial of Service

Verstoring van de normale toegang voor gebruikers en systemen om te voorkomen dat de aanval wordt gecontroleerd, gevolgd of geblokkeerd

Exfiltratie

De extractiefase: : De door de aanval vrijgemaakte gegevens worden gedownload naar een eigen server.

De kwetsbaarheden in het systeem/organisatie en de middelen die een aanvaller heeft bepalen uiteindelijk of de aanval succesvol is.

Hoe voorkom je een cyberaanval?

Praktisch alle sectoren in Nederland zijn afhankelijk van het betrouwbaar functioneren van de ICT infrastructuur. Bedreigingen voor cyberbeveiliging maken gebruik van de toegenomen complexiteit en connectiviteit van deze infrastructuursystemen. Hierdoor komen de veiligheid, de economie en de openbare veiligheid en gezondheid in gevaar. Net als bij financiële- en reputatierisico’s, beïnvloedt het cyberbeveiligingsrisico de bedrijfsresultaten van een bedrijf.

Cyber Security Framework (CSF)

Dit is de reden dat universiteiten, overheid en het bedrijfsleven in Amerika in samenwerking met het National Institute of Standards and Technology (NIST) het Cyber Secyrity Framework (CSF) hebben opgesteld. Het CSF is opgebouwd uit fasen. Iedere fase heeft een aantal hoofdonderwerpen. De structuur is als volgt weergegeven.

  • Identify

    Bij de identificatie gaat het erom gedocumenteerd te hebben hoe de infrastructuur eruit ziet. Uit wat voor componenten is de omgeving omgebouwd en hoe is alles aan elkaar verbonden? Wat zijn de verbindingen naar buiten? Vervolgens is het van belang om de risico’s van de ICT infrastructuur te identificeren.

  • Protect

    Nu je weet hoe de infrastructuur eruit ziet kun je de maatregelen identificeren die nodig zijn om te komen tot het gewenste niveau van beveiliging. Dit doe je door te kijken naar bevoegdheden, training van personeel, een adequaat niveau van beheer van de omgeving zoals ITIL en specifieke technische maatregelen.

  • Detect

    Een belangrijk aspect in de cybersecurity is dat je tijdig kunt signaleren dat er iets aan de hand is. Dit doe je door zowel aan de grens van het netwerk (daar waar het openbare netwerk (internet) begint) als daarbinnen te scannen op afwijkende gebeurtenissen en door een proces in te richten waardoor je in staat bent om snel te reageren op een signaal.

  • Respond

    Het incidentproces moet erop gericht zijn om in eerste instantie de schade te beperken. Ook hier is van belang om een proces in te richten waardoor de juiste mensen direct worden geïnformeerd en actie kunnen ondernemen. In dit soort gevallen kun je in praktisch alle gevallen niet wachten op formele besluitvorming, maar moet je direct kunnen handelen.

  • Recover

    Wanneer de schade is beperkt en het incident zich niet verder kan uitbreiden, ga je over op herstellen. In deze fase is het van belang om bijvoorbeeld terug te kunnen vallen op goed beschermde back-ups.

IC Content

SafeHarbour het CSF als normenkader opgenomen in onze ISMS tool IC Content en GRC-tool IC Control. Uit onze analyse op het CSF en de normen komt naar voren dat de normen die zijn opgesteld prima zijn te koppelen aan de ISO27001 of de BIO. Het gebruik van het framework scheelt veel uitzoekwerk waardoor je focus kunt aanbrengen in je aanpak. Er is aangegeven wat de link is naar de BIO en je vindt als IC Content gebruiker een link naar de voorbeelddocumenten. Ter toelichting is een artikel over cyberrisico’s toegevoegd. Deze kun je gebruiken collega’s te informeren of de actuele risico’s en welke acties te ondernemen zijn tegen cyberaanvallen. Mocht je geen beschikking hebben over IC Content dan kun je het Cyber Security Framework in het Engels downloaden bij het NIST.