Veel voorkomende initiële aanvalsvectoren

Hoe aanvallers het meest geneigd zijn om de infrastructuur van doelbedrijven binnen te dringen.

Andere bedrijven vragen regelmatig om de hulp van onze experts voor dringende assistentie met de reactie op incidenten, om onderzoek te doen (of om daarbij te helpen), of om de tools van cybercriminelen te analyseren. In 2020 hebben we een schat aan gegevens verzameld voor een overzicht van het moderne bedreigingslandschap dat ons helpt de meest waarschijnlijke aanvalsscenario’s te voorspellen – inclusief de meest voorkomende aanvalsvectoren – en zo de beste verdedigingstactieken te kiezen.

Als we een cyberincident onderzoeken, besteden we altijd extra aandacht aan de initiële aanvalsvector. Simpel gezegd: de weg naar binnen is een zwak punt, en om herhaling te voorkomen is het van cruciaal belang de kwetsbaarheden van afweersystemen te identificeren.

Helaas is dat niet altijd mogelijk. In sommige gevallen is er te veel tijd verstreken tussen het incident en de ontdekking ervan; in andere gevallen heeft het slachtoffer geen logboeken bijgehouden of zijn de sporen vernietigd (per ongeluk of opzettelijk).

Het wordt nog ingewikkelder wanneer cybercriminelen aanvallen via de supply chain (een methode die steeds vaker wordt toegepast), en de initiële vector niet bij het eindslachtoffer ligt, maar bij een programma-ontwikkelaar of dienstverlener van derden. Bij meer dan de helft van alle incidenten konden onze deskundigen echter de initiële aanvalsvector nauwkeurig bepalen.

Eerste en tweede plek: brute-force-aanvallen en het benutten van openbaar toegankelijke toepassingen

Brute-force-aanvallen en exploitatie van kwetsbaarheden in toepassingen en systemen die van buiten de bedrijfsperimeter toegankelijk zijn, delen de eerste twee plaatsen. Elk diende in 31,58% van de gevallen als de initiële aanvalsvector voor penetratie.

Zoals we in voorgaande jaren hebben kunnen vaststellen, is geen enkele andere methode zo doeltreffend voor het lanceren van een aanval als de exploitatie van kwetsbaarheden. Uit een gedetailleerdere analyse van de benutte kwetsbaarheden blijkt dat dit in de eerste plaats te wijten is aan het feit dat bedrijven updates niet tijdig installeerden. Op het moment dat de aanvallen plaatsvonden, waren voor elke kwetsbaarheid immers al patches beschikbaar. Door deze toe te passen, zouden de slachtoffers gewoon beschermd zijn gewest.

De massale overstap van bedrijven naar werken op afstand en het gebruik van diensten voor toegang op afstand verklaren de toename van de populariteit van brute-force-aanvallen. Bij de overgang hebben veel organisaties de beveiliging onvoldoende aangepakt, met als gevolg dat het aantal aanvallen op verbindingen op afstand vrijwel van de ene op de andere dag omhoogschoot. In de periode van maart tot december 2020 was er bijvoorbeeld sprake van een toename van 242% in RDP-gebaseerde brute-force-aanvallen.

Derde plek: schadelijke e-mail

In 23,68% van de gevallen was de initiële aanvalsvector een schadelijke e-mail, met malware als bijlage of in de vorm van phishing. Zowel operators van gerichte aanvallen als massa-mailers maken al lang gebruik van beide soorten schadelijke berichten.

Vierde plek: drive-by compromise

Soms proberen aanvallers toegang tot het systeem te krijgen via een website die het slachtoffer periodiek bezoekt of waar hij/zij toevallig op terechtkomt. Om een dergelijke tactiek te gebruiken, die we al hebben gezien in enkele complexe APT-aanvallen,  voorzien cybercriminelen de site van scripts die misbruik maken van een kwetsbaarheid in de browser om schadelijke code op de computer van het slachtoffer uit te voeren, of verleiden ze het slachtoffer om de malware te downloaden en te installeren. In 2020 was dit de initiële aanvalsvector in 7,89% van de gevallen.

Vijfde en zesde plek: Draagbare drives en insiders

Het gebruik van USB-drives om bedrijfssystemen te infiltreren is zeldzaam geworden. Niet alleen behoren virussen die de flashdrive infecteren grotendeels tot het verleden, de tactiek om iemand een schadelijke USB-stick toe te schuiven is ook niet erg betrouwbaar. Niettemin was deze methode goed voor 2,63% van de initiële netwerkpenetraties.

Insiders veroorzaakte hetzelfde aandeel aan incidenten (2,63%). Dat waren dus medewerkers die, om wat voor reden dan, ook hun eigen bedrijven schade wilden berokkenen.

Hoe u de kans op cyberincidenten en de consequenties daarvan kunt beperken

De meeste incidenten die onze experts analyseerden hadden voorkomen kunnen worden. Op basis van hun bevindingen, komen ze met de volgende adviezen:

  • Een strikt wachtwoordbeleid invoeren en het gebruik van meerstapsverificatie afdwingen;
  • Een verbod op het gebruik van openbaar toegankelijke diensten voor beheer op afstand;
  • Het zo snel mogelijk installeren van software-updates;
  • Het beschermen van mailservers met anti-phishing- en anti-malware-tools;
  • Het regelmatig zorgen voor bewustzijn bij medewerkers op het gebied van moderne cyberdreigingen.

Vergeet bovendien niet alle audit- en loggingsystemen te configureren en regelmatig back-ups te maken van uw gegevens. Dit niet alleen om onderzoeken te vergemakkelijken, maar ook om de schade van cyberincidenten tot een minimum te beperken.

Natuurlijk vormen de bovenstaande statistieken slechts een klein deel van de nuttige informatie die onze deskundigen hier te bieden hebben. De volledige tekst van ons Incident Response Analyst Report 2021 vindt u hier.

Tips