.png)
Onze partner Sophos heeft met haar Sophos Rapid Response-team een lijst samengesteld van de meest voorkomende misvattingen over beveiliging die ze de afgelopen 12 maanden zijn tegengekomen tijdens het neutraliseren en onderzoeken van cyberaanvallen in een breed scala van organisaties.
Hieronder vindt u een lijst van de top 10 misvattingen, samen met een Sophos tegenargument dat elk van hen ontkracht op basis van de ervaring en observaties van incidentresponders in de frontlinie van aanvallen.
Misvatting 1: We zijn geen doelwit; we zijn te klein en/of hebben geen bezittingen die van waarde zijn voor cybercriminelen
Sophos Tegenargument: Veel slachtoffers van cyberaanvallen gaan ervan uit dat ze te klein zijn, in een sector zitten die niet interessant is of niet het soort lucratieve bezittingen hebben dat een tegenstander zou aantrekken. De waarheid is dat het niet uitmaakt: als je verwerkingskracht en een digitale aanwezigheid hebt, ben je een doelwit. Ondanks de krantenkoppen in de media worden de meeste aanvallen niet uitgevoerd door geavanceerde aanvallers van natiestaten; ze worden gelanceerd door opportunisten die op zoek zijn naar een gemakkelijke prooi en laaghangend fruit, zoals organisaties met gaten in de beveiliging, fouten of misconfiguraties waar cybercriminelen gemakkelijk misbruik van kunnen maken.
Als u denkt dat uw organisatie geen doelwit is, zoekt u waarschijnlijk niet actief naar verdachte activiteiten op uw netwerk - zoals de aanwezigheid van Mimikatz (een open-source toepassing waarmee gebruikers authenticatiegegevens kunnen bekijken en opslaan) op uw domeincontroller - en zou u de eerste tekenen van een aanval kunnen missen.
Misvatting 2: We hoeven niet overal geavanceerde beveiligingstechnologieën te installeren
Sophos Tegenargument: Sommige IT-teams denken nog steeds dat endpoint-beveiligingssoftware voldoende is om alle bedreigingen tegen te houden en/of dat ze geen beveiliging voor hun servers nodig hebben. Aanvallers maken optimaal gebruik van dergelijke aannames. Fouten in de configuratie, patching of bescherming maken servers tot een primair doelwit, niet een secundair doelwit zoals in het verleden misschien het geval was.
De lijst van aanvalstechnieken waarmee wordt geprobeerd endpointsoftware te omzeilen of uit te schakelen en detectie door IT-beveiligingsteams te voorkomen, wordt met de dag langer. Voorbeelden zijn aanvallen door mensen die gebruik maken van social engineering en meerdere kwetsbaarheden om toegang te krijgen; zwaar verpakte en versluierde kwaadaardige code die rechtstreeks in het geheugen wordt geïnjecteerd; 'bestandsloze' malware-aanvallen zoals het reflectief laden van DLL's (Dynamic Link Library); en aanvallen waarbij gebruik wordt gemaakt van legitieme agents voor toegang op afstand, zoals Cobalt Strike, naast alledaagse IT-beheertools en -technieken. Basis antivirustechnologieën hebben moeite om dergelijke activiteiten te detecteren en te blokkeren.
Ook de aanname dat beschermde endpoints kunnen voorkomen dat indringers hun weg vinden naar onbeschermde servers is een vergissing. Volgens de incidenten die Sophos Rapid Response heeft onderzocht, zijn servers nu het belangrijkste doelwit voor aanvallen en kunnen aanvallers gemakkelijk een directe route vinden met behulp van gestolen toegangsgegevens. De meeste aanvallers weten ook de weg op een Linux-machine. In feite hacken aanvallers vaak en installeren backdoors in Linux-machines om deze te gebruiken als veilige havens en om toegang te houden tot het netwerk van een doelwit.
Als uw organisatie alleen vertrouwt op basisbeveiliging, zonder meer geavanceerde en geïntegreerde tools zoals gedragsgebaseerde en AI-gebaseerde detectie en een 24/7 door mensen geleid centrum voor beveiligingsoperaties - dan zullen indringers waarschijnlijk uiteindelijk hun weg langs uw verdediging vinden.
Tot slot is het altijd goed om te onthouden dat hoewel preventie ideaal is, detectie een must is.
Misvatting 3: We hebben een robuust beveiligingsbeleid
Sophos Tegenargument: Het hebben van beveiligingsbeleid voor applicaties en gebruikers is van cruciaal belang. Ze moeten echter voortdurend worden gecontroleerd en bijgewerkt wanneer nieuwe functies en functionaliteit worden toegevoegd aan apparaten die op het netwerk zijn aangesloten. Verifieer en test beleidsregels met behulp van technieken zoals penetratietests, tabletop-oefeningen en proefdraaien van uw noodherstelplannen.
Misvatting 4: Remote Desktop Protocol (RDP)-servers kunnen worden beschermd tegen aanvallers door de poorten waarop ze staan te wijzigen en multifactorauthenticatie (MFA) in te voeren
Sophos Tegenargument: De standaardpoort die wordt gebruikt voor RDP-services is 3389, dus de meeste aanvallers zullen deze poort scannen om open servers voor externe toegang te vinden. Het scannen zal echter alle open services identificeren, ongeacht de poort waarop ze staan, dus het wijzigen van poorten biedt op zichzelf weinig of geen bescherming.
Hoewel het invoeren van multifactorauthenticatie belangrijk is, zal het de beveiliging niet verbeteren tenzij het beleid voor alle medewerkers en apparaten wordt afgedwongen. RDP-activiteiten moeten plaatsvinden binnen de beschermende grenzen van een virtueel privénetwerk (VPN), maar zelfs dat kan een organisatie niet volledig beschermen als de aanvallers al voet aan de grond hebben in een netwerk. In het ideale geval, tenzij het gebruik ervan essentieel is, zou IT-beveiliging het gebruik van RDP intern en extern moeten beperken of uitschakelen.
Misvatting 5: Het blokkeren van IP-adressen uit regio's met een hoog risico, zoals Rusland, China en Noord-Korea, beschermt ons tegen aanvallen uit die regio's
Sophos Tegenargument: Het blokkeren van IP-adressen uit specifieke regio's zal waarschijnlijk geen kwaad kunnen, maar het kan een vals gevoel van veiligheid geven als u alleen hierop vertrouwt voor bescherming. Cybercriminelen hosten hun kwaadaardige infrastructuur in veel landen, met hotspots waaronder de VS, Nederland en de rest van Europa.
Misvatting 6: Onze back-ups bieden immuniteit tegen de impact van ransomware
Sophos Tegenargument: Het bijhouden van up-to-date back-ups van documenten is bedrijfskritisch. Als uw back-ups echter op het netwerk zijn aangesloten, zijn ze binnen het bereik van aanvallers en kwetsbaar voor versleuteling, verwijdering of uitschakeling bij een ransomware-aanval.
Het is de moeite waard op te merken dat het beperken van het aantal mensen met toegang tot uw back-ups de beveiliging wellicht niet wezenlijk verbetert, aangezien de aanvallers tijd in uw netwerk zullen hebben gestoken om deze mensen en hun toegangsgegevens te zoeken.
Ook het opslaan van back-ups in de cloud moet met zorg gebeuren - bij een incident dat Sophos Rapid Response onderzocht, e-mailden de aanvallers de cloudserviceprovider vanaf een gehackte IT-beheerdersaccount en vroegen hen alle back-ups te verwijderen. De provider gaf hieraan gehoor.
De standaardformule voor veilige back-ups die kunnen worden gebruikt om gegevens en systemen te herstellen na een ransomware-aanval is 3:2:1: drie kopieën van alles, met behulp van twee verschillende systemen, waarvan er één offline is.
Een laatste waarschuwing: offline back-ups beschermen uw informatie niet tegen ransomware-aanvallen op basis van afpersing, waarbij de criminelen uw gegevens stelen en ermee dreigen ze te publiceren in plaats van ze te versleutelen.
Misvatting 7: onze medewerkers begrijpen beveiliging
Sophos Tegenargument: Volgens de State of Ransomware 2021 denkt 22% van de organisaties dat ze in de komende 12 maanden door ransomware zullen worden getroffen, omdat het moeilijk is om eindgebruikers ervan te weerhouden de beveiliging te compromitteren.
Social engineering-tactieken zoals phishing-e-mails zijn steeds moeilijker te herkennen. Berichten zijn vaak met de hand opgesteld, nauwkeurig geschreven, overtuigend en zorgvuldig gericht. Uw medewerkers moeten weten hoe ze verdachte berichten kunnen herkennen en wat ze moeten doen als ze er een ontvangen. Wie waarschuwen ze, zodat andere medewerkers op hun hoede kunnen worden gesteld?
Misvatting 8: Incident response teams kunnen mijn gegevens herstellen na een ransomware-aanval
Sophos Tegenargument: Dit is zeer onwaarschijnlijk. Aanvallers maken tegenwoordig veel minder fouten en het encryptieproces is verbeterd, dus erop vertrouwen dat responders een maas in de wet vinden die de schade ongedaan kan maken, is uiterst zeldzaam. Automatische back-ups zoals Windows Volume Shadow Copies worden ook verwijderd door de meeste moderne ransomware en overschrijven de originele gegevens die op schijf zijn opgeslagen, waardoor herstel onmogelijk is, behalve het betalen van losgeld.
Misvatting 9: Als we losgeld betalen, krijgen we onze gegevens terug na een ransomware-aanval
Sophos Tegenargument: Volgens het State of Ransomware-onderzoek 2021 krijgt een organisatie die het losgeld betaalt gemiddeld ongeveer tweederde (65%) van zijn gegevens terug. Slechts 8% kreeg alle gegevens terug, en 29% kreeg minder dan de helft terug. Losgeld betalen - zelfs als dat de makkelijkste optie lijkt en/of wordt gedekt door uw cyberverzekering - is dus geen eenvoudige oplossing om er weer bovenop te komen.
Bovendien is het herstellen van gegevens slechts een deel van het herstelproces - in de meeste gevallen schakelt de ransomware de computers volledig uit, en moeten de software en systemen van de grond af aan opnieuw worden opgebouwd voordat de gegevens kunnen worden hersteld. Uit het onderzoek van 2021 blijkt dat de herstelkosten gemiddeld tien keer zo hoog zijn als het losgeld dat wordt gevraagd.
Misvatting 10: De release van ransomware is de hele aanval - als we dat overleven zijn we OK
Sophos Tegenargument: Helaas is dit zelden het geval. De ransomware is slechts het punt waarop de aanvallers willen dat u zich realiseert dat ze er zijn en wat ze hebben gedaan.
De tegenstanders zijn waarschijnlijk al dagen, zo niet weken, in uw netwerk aanwezig voordat ze de ransomware vrijgeven, om back-ups te onderzoeken, uit te schakelen of te verwijderen, de machines te vinden met informatie van hoge waarde of applicaties om te versleutelen, informatie te verwijderen en extra payloads te installeren, zoals backdoors. Door aanwezig te blijven in de netwerken van het slachtoffer kunnen aanvallers een tweede aanval lanceren als ze dat willen.