Succesvolle cyberincidenten vaak veroorzaakt door misbruik monitoring- en beheersoftware

| Kaspersky | 3 min | 06 augustus 2020 18:36
Copyright: Kaspersky
Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur van 122 dagen. Deze bevindingen komen uit Kaspersky's nieuwe Incident Response Analytics Report.

Monitoring- en beheersoftware helpen IT- en netwerkbeheerders bij het uitvoeren van hun dagelijkse taken, zoals het oplossen van problemen en het bieden van technische ondersteuning aan medewerkers. Deze legitieme software, ontwikkeld voor normale gebruikersactiviteiten, beheertaken en systeemdiagnostiek, wordt veelvuldig door cybercriminelen gebruikt om informatie over bedrijfsnetwerken te verzamelen en vervolgens laterale bewegingen uit te voeren, software- en hardware-instellingen te wijzigen of een of andere vorm van kwaadwillige actie uit te voeren, zoals klantgegevens versleutelen.

Cybercriminaliteit onder de radar

Het is voor beveiligingsoplossingen moeilijker om dergelijke aanvallen op te sporen. Aanvallers blijven via legitieme software makkelijker onder de radar van veiligheidsanalisten, omdat deze acties zowel deel kunnen uitmaken van een geplande cybercriminaliteit activiteit, als van een reguliere systeembeheerderstaak. Zo wordt de aanval vaak pas gedetecteerd nadat de schade is aangericht. In het segment van de aanvallen die meer dan een maand duurden, hadden de cyberincidenten bijvoorbeeld een mediaanduur van 122 dagen. Aan de andere kant merken experts van Kaspersky op dat in sommige gevallen kwaadaardige acties met legitieme software zich juist vrij snel openbaren. Zoals bij een ransomware-aanval waarbij de schade duidelijk zichtbaar is. De mediane aanvalsduur voor korte aanvallen was een dag.

Incident Response bevindingen

In totaal bleek uit de analyse van geanonimiseerde gegevens uit incident response (IR) zaken dat 18 verschillende legitieme instrumenten door aanvallers werden misbruikt voor kwaadaardige doeleinden. De meest gebruikte was PowerShell (25% van de gevallen). Deze krachtige administratietool kan voor vele doeleinden worden gebruikt, van het verzamelen van informatie tot het uitvoeren van malware. PsExec werd in 22% van de aanvallen gebruikt. Deze console-applicatie is bedoeld voor het opstarten van processen op externe eindpunten. Dit werd gevolgd door SoftPerfect Network Scanner (14%), die bedoeld is om informatie over netwerkomgevingen op te halen.

"Het is niet mogelijk om dergelijke hulpmiddelen uit te sluiten om vele redenen. Echter, zal het goed registreren en controleren van systemen helpen om verdachte activiteiten in het netwerk en complexe aanvallen in vroegere stadia te ontdekken", aldus Konstantin Sapronov, Head of Global Emergency Response Team bij Kaspersky.

Incidenten tijdig detecteren

Om dergelijke aanvallen tijdig op te sporen en hierop te reageren, kunnen organisaties overwegen om een Endpoint Detection and Response-oplossing met een MDR-dienst te implementeren. MITRE ATT&CK® Round 2 Evaluation kan klanten helpen bij het kiezen van EDR-producten die overeenkomen met de behoeften van hun specifieke organisatie. De resultaten van de ATT&CK Evaluatie bewijzen het belang van een uitgebreide oplossing die een volledig geautomatiseerd meerlaags beveiligingsproduct combineert met een handmatige dreigings-detectiedienst.

Om de kans te minimaliseren dat software voor beheer op afstand wordt gebruikt om door te dringen tot een infrastructuur, adviseert Kaspersky het volgende:
  • Beperk de toegang tot externe beheertools vanaf externe IP-adressen. Zorg ervoor dat de interfaces van de bediening op afstand alleen toegankelijk zijn vanaf een beperkt aantal eindpunten.
  • Een strikt wachtwoordbeleid afdwingen voor alle IT-systemen en multi-factor authenticatie inzetten.
  • Volg het principe om het personeel beperkte privileges te bieden en geef alleen hoog geprivilegieerde accounts aan degenen die dit nodig hebben om hun werk te kunnen doen.
Voor meer informatie over Kaspersky EDR kunt u terecht op de officiële website. Het volledige Incident Response Analytics Report is beschikbaar via de link.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Marktplaats

In aanvulling op dit artikel is het onderstaande item tijdelijk op de marktplaats beschikbaar.

Over Kaspersky

Kaspersky is een wereldwijd opererend cybersecuritybedrijf opgericht in 1997. Zowel consumenten, overheidsinstanties als bedrijven vertrouwen op de uitgebreide expertise op het vlak van dreigingsinformatie en de meest geavanceerde beveiligingsoplossingen en -diensten van Kaspersky ter bescherming van kritieke infrastructuren en (eco)systemen.

Disclaimer

Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.
20191030104826.jpg
We make IT spark!
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030100036.png
Voor professionals met passie voor digitale revolutie!
20191030103431.png
Conference by app developers, for app developers!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20191030102114.jpg
Deliver measurable impact on your business
20191029224512.jpg
Het no-nonsense internetbureau
20191105203105.png
Krijg inzicht in bedrijfsprocessen!
Alle rechten voorbehouden © 2019-2020, TechVisor