De laatste jaren zag de AIVD verschillende cyberaanvallen van statelijke actoren. De drie meest impactvolle cyberaanvallen waren: misbruik van internetapplicaties, spearphishing en supply-chain-aanvallen. Wat houden dit soort aanvallen in en hoe kan worden voorkomen dat jouw organisatie slachtoffer wordt?
Misbruik van VPN-verbindingen en e-mailservers
Er wordt tegenwoordig veel thuisgewerkt door medewerkers. VPN-servers voor thuiswerkers hebben vaak vergaande toegang tot organisatienetwerken.
Als zo'n server wordt aangevallen of misbruikt, kan de aanvaller toegang krijgen tot het organisatienetwerk. Dit geldt voor alle systemen die met het internet verbonden zijn. Doordat communicatie met deze apparaten mogelijk is, zijn ze ook makkelijker te misbruiken.
Stappenplan: misbruik via VPN-verbindingen en mailservers
Maak een overzicht van actieve systemen en apparaten in de organisatie die verbonden zijn met internet en het bedrijfsnetwerk. Met een actueel overzicht van actieve systemen en apparaten is het mogelijk om tijdig een risico-inschatting te maken en (waar nodig) de juiste maatregelen te nemen.
Breng hiervoor goed in kaart op wat voor manier deze systemen verbonden zijn met de rest van het bedrijfsnetwerk.
Een goede analyse maakt het risico op (en de impact van) een kwetsbaarheid snel inzichtelijk.
Het Nationaal Cyber Security Centrum (NCSC) houdt de ontwikkelingen van publieke kwetsbaarheden scherp in de gaten en brengt advies en informatie naar buiten als een nieuwe kwetsbaarheid in een softwareproduct gevonden is.
Wees alert op nieuwe bekendmakingen, zodat nieuwe kwetsbaarheden snel kunnen worden gepatcht en de impact en schade beperkt.
Niet elke kwetsbaarheid heeft voor iedere organisatie dezelfde impact. Dit betekent dat een kwetsbaarheid waarvan het risico als laag wordt ingeschat op bepaalde organisaties wel degelijk een grote impact kan hebben.
Daarom is het belangrijk om een afweging van de risico's van een kwetsbaarheid te maken. Die afwegingen kunnen worden afgezet tegen de kosten om deze kwetsbaarheid te verhelpen.
Binnen welke termijn moeten verschillende type kwetsbaarheden in een organisatie worden gepatcht? En hoe lang mag het duren voor een kwetsbaarheid met een laag of juist hoog risico gepatcht is?
Zelf heldere termijnen vaststellen zorgt ervoor dat risicovolle kwetsbaarheden zo snel mogelijk zijn verholpen en kwetsbaarheden met een laag risico niet worden vergeten.
Dat laatste is belangrijk, omdat verschillende kwetsbaarheden met een laag risico samen alsnog een groot risico kunnen vormen.
Spearphishing
Spearphishing is een effectieve manier om toegang te verkrijgen tot het bedrijfsnetwerk. Deze methode verleidt de ontvanger van een e-mail om op een link te klikken of een bijlage te openen.
Dit gebeurt vaak door specifieke informatie over deze gebruiker in de mail te verwerken. Denk hierbij aan naam en functie, maar ook interesses die iemand via social media gedeeld heeft. Neem de volgende stappen om geen slachtoffer te worden.
Via macro's kan een aanvaller een script uitvoeren en toegang krijgen tot een computer.
Het overgrote deel van de medewerkers maakt geen gebruik van macro's. Daarom kunt u deze voor de meeste collega's uitschakelen. Voor werknemers die deze functie wel nodig hebben, kunnen gepaste maatregelen worden genomen. Bijvoorbeeld met logging en detectie.
Het filteren van toegang voorkomt dat deze applicaties malware kunnen downloaden van internet. Op deze manier kunnen de scripts van de aanvaller niet worden gedownload en uitgevoerd.
Op deze manier wordt voorkomen dat een aanvaller zich kan voordoen als een medewerker en het bedrijfsdomein kan misbruiken. Dit wordt spoofing genoemd.
Deze factsheet van het NCSC helpt bij het beveiligen van de verbindingen tussen mailservers.
Een sandbox is een beschermde omgeving waarin bijlagen kunnen worden gecontroleerd op malafide toevoegingen, zonder dat deze in verbinding staan met andere processen. Zit er malware in een geopende bijlage? Dan wordt deze gedetecteerd door de virusscanner zonder dat een malafide toevoeging de kans krijgt om zich in het systeem te nestelen.
Sandboxen zijn in verschillende vormen verkrijgbaar. Er bestaan eenvoudige varianten die - vaak gratis - kunnen worden geïnstalleerd en door medewerkers zelf worden gebruikt.
Er zijn ook varianten die in het netwerk kunnen worden geïntegreerd en direct al het e-mailverkeer eerst checken op kwaadaardige toevoegingen. Een organisatie kan zelf afwegen welke sandbox-mogelijkheid het beste werkt voor die specifieke situatie.
Het beperken van dit soort rechten voorkomt dat aanvallers via een aangeklikte link onbekende programma's kunnen installeren. Een groot deel van de medewerkers gebruikt een gelimiteerd aantal programma's en installeert zelden of nooit zelf nieuwe programma's.
Daarom zal er weinig hinder worden ondervonden van deze maatregel. Voor werknemers waarvoor deze functie wel belangrijk is, kunnen andere gepaste maatregelen worden genomen.
Dit onderwerp onder de aandacht brengen bij medewerkers kan bijvoorbeeld via een interne informatiecampagne. Of stuur eens wat test e-mails rond om te ontdekken waarvoor werknemers gevoelig zijn.
Dit kan de organisatie natuurlijk zelf doen, maar het is ook mogelijk om deze dienst commercieel af te nemen. Online staat ook veel informatie over hoe een organisatie de awareness van medewerkers kan verhogen.
Misbruik via supply-chain-aanvallen
Organisaties die in beveiligingsmaatregelen hebben geïnvesteerd, zijn moeilijker te hacken. Daarom richten statelijke actoren zich steeds vaker op de minder goed beveiligde samenwerkingspartners en toeleveranciers van deze organisatie om zo toegang te krijgen tot hun daadwerkelijke doelwitten.
Maak daarnaast inzichtelijk van welke leveranciers de organisatie diensten of producten afneemt.
Als er iets met zo'n specifiek product of dienst gebeurt en de aanval bekend wordt, kan des te sneller het risico voor de organisatie worden bepaald en waar nodig maatregelen te treffen.
Welke organisaties, mensen of beheerders hebben zelf toegang tot het bedrijfsnetwerk? Houd het aantal koppelingen zo klein mogelijk en zorg ervoor dat ongebruikte koppelingen tijdig worden opgeruimd.
Gebruik de hierboven genoemde punten als input. Wat is de bedrijfspositie in de leveranciersketen? Bij welke partijen zitten risico's en voor welke partijen vormt jouw organisatie mogelijk een risico?
Tip: het Britse NCSC heeft eensupply chain security guide opgesteld die niet alleen ondersteuning biedt bij het analyseren van het supply-chainonderdeel, maar ook richting geeft bij het nemen van de juiste maatregelen.
