Iedere aanval, ongeacht het uiteindelijke doel, doorloopt dezelfde fases. Helemaal aan het begin breekt de hacker binnen en op het einde berokkent hij schade. Wat in het midden gebeurt, is voorspelbaar maar wordt vaak over het hoofd gezien.
De initiële inbraak van een aanvaller bij een IT-systeem is de eerste fase van een cyberaanval. Diefstal van data, ransomware of een ander zichtbaar gevolg is de laatste. Daartussen volgen hackers een complex maar voorspelbaar parcours waar organisaties al te vaak blind voor zijn. Daardoor duurt het gemiddeld meer dan zeven maanden alvorens een organisatie doorheeft dat ze gehackt is. Bovendien is het al te vaak te laat om de schade nog te beperken wanneer de alarmbellen eindelijk afgaan.
Om hackers vroeger te detecteren, is het volgens Stijn Rommens van beveiligingsbedrijf Vectra belangrijk om naar de vijf fases te kijken die iedere cyberaanval doorloopt. Wie die fases kent, kan vroeger ingrijpen en ernstige problemen voorkomen.
Een aanvaller die echt binnen wil, zal wel een weg vinden door de preventielagen.
Stijn Rommens, Director Security Engineering Vectra
“Je kan zoveel investeren als je wil”, zegt Rommens, “maar een aanvaller die echt binnen wil, zal wel een weg vinden door de preventielagen. Dat wil niet zeggen dat je alle perimeterbeveiliging moet laten vallen, wel dat je ook moet inzetten op detectie.”
Fase 1: De landing
De eerste fase is de gekendste. “Aanvallers moeten eerst en vooral ergens binnen geraken”, zegt Rommens. “Ze verwerven controle over een eerste machine, bijvoorbeeld via phishing of een zeroday.” Voor de initiële aanval zoekt een hacker naar kwetsbaarheden in een systeem en die zal die in de praktijk vaak wel vinden.
Rommens: “Jaarlijks worden er een 9.000-tal nieuwe CVE-kwetsbaarheden ontdekt waarvan er zo’n 2.000 kritiek zijn. Stel dat je er maar 200 hebt in je bedrijf, dan nog moet je iedere twee dagen patchen. In het geval van een zeroday loop je bovendien het risico dat aanvallers die al wekenlang aan het uitbuiten waren.”
Om hackers buiten te houden, zijn er heel wat tools. Denk aan firewalls, IPS of endpointbeveiliging. Al die oplossingen slaan alarm wanneer ze onregelmatigheden detecteren. Een hacker die echt wil, kan de perimeterbeveiliging echter vroeg of laat omzeilen en zich een weg naar binnen werken.
“Op dat moment probeert de hacker de controle op lange termijn te garanderen door een communicatiekanaal op te zetten met de thuisbasis”, weet Rommens. “Dat gebeurt doorgaans via een SSL-tunnel. Voor het netwerk lijkt die op een gewone versleutelde connectie naar een website. Je ziet niet wat er gebeurt, want het is versleuteld. Op die manier is het mogelijk om op termijn een machine vanop afstand te blijven controleren.”
Fase 2: Stiekeme verkenning
Met voet aan wal is het tijd om het IT-landschap te verkennen, zonder gedetecteerd te worden. Living of the land noemt Rommens dat. “Zodra een aanvaller binnen is, gaat die geen speciale tools meer inzetten. De hacker gebruikt dezelfde toepassingen als een beheerder. In een Microsoft-omgeving gaat het bijvoorbeeld om Powershell, Intune of Active Directory. Dat maakt het zo moeilijk voor klassieke beveiligingstools om in deze tweede fase nog afwijkingen te zien. Ze zoeken naar kwaadaardige code, maar die gebruikt de aanvaller op dit moment niet meer.”
De hacker gebruikt dezelfde toepassingen als een beheerder.
Stijn Rommens, Director Security Engineering Vectra
Met de beschikbare tools doorzoekt de aanvaller nu het netwerk. Op welke machine is hij of zij terechtgekomen? Welke rechten heeft die? Is er een pad naar de servers, of misschien zelfs het systeem van een beheerder? De aanvaller zal al die informatie vergaren zonder argwaan te wekken via legitieme tools die al op het gekraakte netwerk aanwezig zijn.
Fase 3: Rondsluipen
Met een kaart van het gekraakte netwerk in de hand, gaat de aanvaller zogenaamde laterale bewegingen maken. De hacker onderzoekt hoe die naar de servers of de beheerdersmachine kan geraken. Opnieuw gebeurt dit zonder speciale tools of malware. De vijand sluipt in alle stilte rond in het gekraakte netwerk zonder acties te ondernemen die er verdacht uitzien.
Vanaf deze fase wordt de aanval gevaarlijk. De crimineel brengt als het ware alle stukken in stelling om tot actie over te gaan. “De protocollen die de aanvaller misbruikt, zijn opnieuw niet onveilig. Traditionele signatuur-gebaseerde detectie gaat daarom niets zien”, zegt Rommens. “Op dit moment is er nog niets definitief misgelopen. De aanvaller gaat low and slow, maar komt stilaan in de buurt van zijn einddoel.”
Het is niet ongewoon dat verkennen en rondsluipen weken of zelfs maanden in beslag neemt. Precies daarom duurt het zo lang voor een aanval effectief wordt ontdekt door het slachtoffer, al gebeurt dat al te vaak pas in de volgende fase.
Fase 4: Exfiltratie van data
De aanvaller kan nu data samenbrengen en via de SSL-tunnel ontvoeren. “Het kan een doel op zich zijn om data te stelen en/of publiek te maken”, zegt Rommens. “Omdat de exfiltratie via de SSL-tunnel gebeurt, is de kans groot dat een aanvaller die in deze fase geraakt, nog steeds ongestoord zijn gang kan gaan.”
Ook het stelen van de data gaat niet noodzakelijk snel. De hacker heeft immers tijd. Soms verdwijnen gegevens aan een gezapig tempo, kilobyte per kilobyte. Zo werkt de SSL-tunnel geen argwaan voor tools die een grote datatransfer van gigabytes naar een extern adres misschien wel zouden opmerken.
“De hacker kan ervoor kiezen om de aanval hier te stoppen en de tunnel actief te houden.” Zo lijkt het alsof er niets gebeurd is, maar staan gevoelige gegevens misschien wel te koop op het dark web. Aangezien de toegangspoort openblijft, kan de crimineel naar believen terugkeren naar het netwerk.
Fase 5: Vernietiging
Wil de aanvaller niet meer terugkeren, dan is het tijd voor totale vernietiging. “Misschien wil de hacker het netwerk platleggen, of het slachtoffer uitbuiten met ransomware”, illustreert Rommens. In deze laatste fase laat de hacker opnieuw malware los op het systeem om bijvoorbeeld bestanden te versleutelen.
De kans is groot dat beveiligingssystemen deze fase detecteren, maar niet voor er schade is aangericht. In de vierde fase heeft de aanvaller bovendien al alle data gestolen de relevant was. De vernietiging is de kers op de taart: een hacker die fase vijf bereikt, heeft eigenlijk gewonnen.
Bescherming in de tussenfases
Het valt Rommens op dat veel organisaties inzetten op bescherming tegen de eerste en de laatste fases van een aanval, terwijl de activiteit in het midden over het hoofd wordt gezien. “Dat is jammer, want alle aanvallen volgen hetzelfde stramien. Of het nu de bedoeling is om data te stelen dan wel ransomware los te laten, de tweede en de derde fase komen steeds terug.”
Wanneer de hacker verkent en rondsluipt, is het volgens Rommens nog niet te laat. “Eigenlijk is er dan nog geen schade aan het bedrijfsnetwerk aangericht.” Preventieve perimeterbescherming heeft in dit geval gefaald, en endpointdetectie gaat geen alarm slaan aangezien er geen verdachte software wordt gebruikt. Toch zijn organisaties niet kansloos.
NDR
“Netwerkdetectie en respons is daarom essentieel”, zegt Rommens. Een zogenaamde NDR-oplossing kijkt niet alleen naar de gebruikte protocollen, maar ook de intentie. “Een computer van een beheerder die via een vertrouwd protocol verbinding maakt met een systeem van de boekhouding, is niet verdacht. Wordt datzelfde protocol andersom gebruikt, dan is er misschien meer aan de hand.”
Een NDR-oplossing kijkt naar dergelijke intenties en vooral een opeenvolging van vreemde intenties. Die legt malafide praktijken bloot, zelfs wanneer die voorzichtig en met betrouwbare tools gebeuren. Zo gaan de alarmbellen wel op het juiste moment af, en kunnen IT-teams actie ondernemen voor de hacker aan fase vier of vijf van de aanval geraakt.
Hedendaagse NDR-oplossingen maken gebruik van machine learning om bepaalde verdachte gedragingen te identificeren. “Zerodays zijn heel divers, maar de acties die een aanvaller in de daaropvolgende fases van een aanval uitvoert, eigenlijk niet”, licht Rommens toe.
Broodnodig voor iedereen?
Heeft iedereen nu extra detectie nodig? Rommens en Vectra zijn erin gespecialiseerd, maar ook de expert ziet in dat de investering niet voor iedereen zijn vruchten zal afwerpen. NDR is immers vooral belangrijk wanneer een organisatie echt het doelwit wordt van een hacker met tijd en ambitie. Rommens benadrukt wel dat het daarbij echt niet alleen om banken of overheidsbedrijven gaat.
“Eigenlijk zijn alle organisaties met honderd of meer IP’s een mogelijk doelwit. Ook de aanvaller zal een kosten-batenanalyse maken. De focus ligt op bedrijven waar die meer kan vinden, of die vrijwel zeker losgeld zullen betalen wanneer ze worden getroffen.” In de praktijk ziet Rommens vooral klanten in de financiële sector, productie, de overheid en healthcare.
Point solutions
Voegen dergelijke organisaties dan niet gewoon een extra point solution toe aan hun gamma aan beveiligingstools, net nu Gartner pleit voor een mesh-aanpak waarin beveiligingstools van eenzelfde vendor met elkaar praten?
Volgens Rommens moeten we het zo zwart-wit niet zien. “Ecosysteem-organisaties met een breed pallet aan oplossingen garanderen inderdaad dat componenten goed met elkaar praten en het beheer eenvoudig is”, zegt hij. “Bovendien kan je oplossingen bundelen voor een mooiere licentie. Het probleem is tunnelvisie. Je moet synergie zoeken, maar oplossingen van één speler zien niet wat ze niet zien. Daarom is het een goed idee om wel voor bijkomende detectie te zorgen.”
“NDR is complementair”, besluit Rommens. “Er is altijd dat gaatje als je te maken hebt met een persistente aanvaller met een objectief. Daarom moet je in staat zijn in latere fases op te sporen wat door de mazen van het net is geglipt.”