Cyber Attack Lifecycle: de zes stappen van beveiligingslek naar blamage
Door Rob Pronk
Tech-bedrijven zoals Apple, Google en zelfs Snapchat bieden bijvoorbeeld steeds meer financiële diensten aan, en veel particulieren ontwijken de bank en gaan voor hun lening naar een kredietverstrekker. De sector wordt meer dan ooit bedreigd door deze concurrentie en mogelijke verstoringen. Om zekerheid te blijven bieden – en extra kosten en imagoschade te voorkomen – moeten bedrijfssystemen daarom zeer goed beveiligd zijn, en vroegtijdig lekken en potentiële aanvallen door hackers kunnen opsporen. Onderstaande Cyber Attack Lifecycle – de stappen van een cyberaanval – biedt alvast de eerste inzichten.
Fase 1: Verkenning
Om te beginnen gaan hackers op jacht naar hun potentiële doelwitten: bedrijven of personen. Het kan hen bijvoorbeeld gaan om geld, toegang tot gevoelige informatie, imagoschade, etc. Op basis van het doelwit en de missie bepalen de aanvallers hun strategie. Ze kunnen ervoor kiezen binnen te dringen via de aanwezige beveiliging, webapplicaties, interne apparaten of via met internet verbonden systemen. Hoe? Bijvoorbeeld door een gat te slaan in de beveiliging, phishing-mails, een inbraak in het pand of door een medewerker om te kopen.
Fase 2: De eerste aanval
Een aanval betekent vaak dat een hacker uw beveiliging doorbreekt en hiermee toegang krijgt tot uw interne netwerk via een gehackt systeem of gebruikersaccount. Besmette systemen zijn dan bijvoorbeeld computerservers of apparaten van eindgebruikers, zoals laptops en desktopcomputers. Soms gebeurt een aanval juist via een onverwachte ingang, zoals point-of-sale-apparaten, medische apparatuur, persoonlijke smartphones of tablets, printers en Internet of Things-devices zoals slimme thermostaten.
Fase 3: Hacker aan de macht
Het eerste binnengedrongen apparaat wordt gebruikt als springplank naar uw organisatie. De hacker plaatst stiekem een virus op uw computer, wat hem op afstand doorlopende toegang geeft tot uw omgeving. Wanneer het virus is geplaatst, kan de hacker zijn volgende actie plannen en uitvoeren met behulp van verborgen verbindingen van online hacksystemen.
Fase 4: Tijd om te verspreiden
Wanneer de aanvaller stevig is verbonden met uw interne netwerk, zoekt hij een weg naar andere systemen en gebruikersaccounts. Eerst neemt hij het account over van het al binnengedrongen systeem. Dit account helpt hem de overige systemen waaruit hij gebruikersinformatie kan stelen, te doorzoeken en besmetten. Let op: de hacker doet zich vaak voor als geautoriseerde gebruiker, dus zijn bestaan blijft meestal onopgemerkt. Dit proces wordt ook wel ‘lateral movement’ genoemd.
Fase 5: Doel bereikt
In deze fase heeft de hacker meerdere ingangen tot uw systeem en zijn er mogelijk al honderden of duizenden interne systemen of gebruikersaccounts besmet. De aanvaller heeft uw hele IT-omgeving in kaart gebracht en weet precies waar hij moet zijn. Met zijn doelwit in het vizier kan de hacker zijn ultieme plan op elk gewenst moment uitvoeren.
Fase 6: Exfiltratie, besmetting en verstoring
In de laatste fase van de Cyber Attack Lifecycle is de schade voor uw bedrijf aanzienlijk, wanneer de aanval niet tijdig wordt afgeslagen. De hacker steelt geld of belangrijke gegevens, hij besmet kritische bedrijfssystemen en verstoort uw gehele bedrijfsvoering. Hackers zullen hun diefstal verbergen door op het eerste oog legitieme cloud-applicaties te gebruiken, zoals Dropbox en Google Drive. De gegevens worden meestal verstuurd via verborgen netwerkverbindingen, soms dagen-, weken- of zelfs maandenlang.
Hoeveel risico loopt uw bedrijf? Firewalls en antivirus-software zijn belangrijk, maar onvoldoende om een financiële organisatie volledig te beveiligen tegen cyberaanvallen. Slimme, zelflerende beveiligingssoftware kan hierbij helpen. Deze intelligente beveiliging verzamelt bedrijfsgegevens op één locatie en levert rapportages, inzichten en waarschuwingen om op te reageren. Met deze software, die onderdeel uitmaakt van een compleet Security Intelligence Platform en die bijvoorbeeld afwijkend gebruikersgedrag signaleert, creëert u dus een proactieve verdedigingslinie. Door op het juiste moment de juiste informatie te leveren, is er minder tijd en geld nodig om een bedreiging te ontdekken en aan te pakken. Zo behoud je als financiële dienstverleners je data, imago, omzet, én het vertrouwen van de klant.
Rob Pronk, Regional Director Northern Europe bij LogRhythm