Succesvolle cyberincidenten vaak veroorzaakt door misbruik monitoring- en beheersoftware

kaspersky-lab

Bijna een derde (30%) van de cyberaanvallen die in 2019 door het Kaspersky Global Emergency Response-team werden onderzocht, gebeurde via legitieme instrumenten voor beheer en administratie op afstand. Hierdoor kunnen aanvallers langer onopgemerkt blijven. Zo hadden continue cyberspionage-aanvallen en diefstal van vertrouwelijke gegevens een mediaanduur van 122 dagen. Deze bevindingen komen uit Kaspersky's nieuwe Incident Response Analytics Report.

Monitoring- en beheersoftware helpen IT- en netwerkbeheerders bij het uitvoeren van hun dagelijkse taken, zoals het oplossen van problemen en het bieden van technische ondersteuning aan medewerkers. Deze legitieme software, ontwikkeld voor normale gebruikersactiviteiten, beheertaken en systeemdiagnostiek, wordt veelvuldig door cybercriminelen gebruikt om informatie over bedrijfsnetwerken te verzamelen en vervolgens laterale bewegingen uit te voeren, software- en hardware-instellingen te wijzigen of een of andere vorm van kwaadwillige actie uit te voeren, zoals klantgegevens versleutelen.

 

Cybercriminaliteit onder de radar

Het is voor beveiligingsoplossingen moeilijker om dergelijke aanvallen op te sporen. Aanvallers blijven via legitieme software makkelijker onder de radar van veiligheidsanalisten, omdat deze acties zowel deel kunnen uitmaken van een geplande cybercriminaliteit activiteit, als van een reguliere systeembeheerderstaak. Zo wordt de aanval vaak pas gedetecteerd nadat de schade is aangericht. In het segment van de aanvallen die meer dan een maand duurden, hadden de cyberincidenten bijvoorbeeld een mediaanduur van 122 dagen. Aan de andere kant merken experts van Kaspersky op dat in sommige gevallen kwaadaardige acties met legitieme software zich juist vrij snel openbaren. Zoals bij een ransomware-aanval waarbij de schade duidelijk zichtbaar is. De mediane aanvalsduur voor korte aanvallen was een dag.

 

Incident Response bevindingen

In totaal bleek uit de analyse van geanonimiseerde gegevens uit incident response (IR) zaken dat 18 verschillende legitieme instrumenten door aanvallers werden misbruikt voor kwaadaardige doeleinden. De meest gebruikte was PowerShell (25% van de gevallen). Deze krachtige administratietool kan voor vele doeleinden worden gebruikt, van het verzamelen van informatie tot het uitvoeren van malware. PsExec werd in 22% van de aanvallen gebruikt. Deze console-applicatie is bedoeld voor het opstarten van processen op externe eindpunten. Dit werd gevolgd door SoftPerfect Network Scanner (14%), die bedoeld is om informatie over netwerkomgevingen op te halen.

"Het is niet mogelijk om dergelijke hulpmiddelen uit te sluiten om vele redenen. Echter, zal het goed registreren en controleren van systemen helpen om verdachte activiteiten in het netwerk en complexe aanvallen in vroegere stadia te ontdekken", aldus Konstantin Sapronov, Head of Global Emergency Response Team bij Kaspersky.


Incidenten tijdig detecteren

Om dergelijke aanvallen tijdig op te sporen en hierop te reageren, kunnen organisaties overwegen om een Endpoint Detection and Response-oplossing met een MDR-dienst te implementeren. MITRE ATT&CK® Round 2 Evaluation kan klanten helpen bij het kiezen van EDR-producten die overeenkomen met de behoeften van hun specifieke organisatie. De resultaten van de ATT&CK Evaluatie bewijzen het belang van een uitgebreide oplossing die een volledig geautomatiseerd meerlaags beveiligingsproduct combineert met een handmatige dreigings-detectiedienst.

Om de kans te minimaliseren dat software voor beheer op afstand wordt gebruikt om door te dringen tot een infrastructuur, adviseert Kaspersky het volgende:

  • Beperk de toegang tot externe beheertools vanaf externe IP-adressen. Zorg ervoor dat de interfaces van de bediening op afstand alleen toegankelijk zijn vanaf een beperkt aantal eindpunten.

  • Een strikt wachtwoordbeleid afdwingen voor alle IT-systemen en multi-factor authenticatie inzetten.

  • Volg het principe om het personeel beperkte privileges te bieden en geef alleen hoog geprivilegieerde accounts aan degenen die dit nodig hebben om hun werk te kunnen doen.

Voor meer informatie over Kaspersky EDR kunt u terecht op de officiële website. Het volledige Incident Response Analytics Report is beschikbaar via de link.

Lees ook
Flowmon versnelt anomaliedetectie tegen cyberaanvallen

Flowmon versnelt anomaliedetectie tegen cyberaanvallen

Flowmon Networks introduceert ADS 11, een nieuw ontworpen versie van het Anomaly Detection System. Dankzij diverse interface- en performanceverbeteringen, ruisvrije inzichten en rapportages en een grotere schaalbaarheid, kunnen klanten veel sneller reageren op cyberaanvallen en andere security-incidenten. ADS 11 maakt tevens een aantal handmatige controles...

IDC MarketScape: NTT gepositioneerd als leider in IDC MarketScape for Worldwide Managed Security Services 2020

IDC MarketScape: NTT gepositioneerd als leider in IDC MarketScape for Worldwide Managed Security Services 2020

NTT Ltd, de wereldwijde global technology services provider, is gepositioneerd als leider in IDC MarketScape: Worldwide Managed Security Services (MSS) 2020 (doc #US46235320, september 2020). Het rapport benadrukt het gemak van zakendoen met NTT, en erkent NTT’s threat intelligence en nauwkeurige threat-detectiecapaciteiten.

De cijfers achter Business Email Compromise (BEC)-aanvallen

De cijfers achter Business Email Compromise (BEC)-aanvallen

Vorige week werd aangekondigd dat diverse handhavingsinstanties gaan samenwerken om CEO-fraude aan te pakken. Het doel van deze samenwerking is om meer inzicht te krijgen in hoe cybercriminelen te werk gaan en hoe ze gestopt kunnen worden.