CrowdStrike beschermt klanten al sinds 2011 tegen cyberaanvallen. Daar waar andere vendors zich echter richtten op malware, keek CrowdStrike naar meer verfijnde aanvallen. In het nieuwe 2023 Threat Hunting Report doet het bedrijf uit de doeken hoe eenvoudig het kan zijn voor threat actors om een organisatie binnen te treden. Maar ook: “Je moet je realiseren hoe snel aanvallers hun slag slaan. Binnen zeven minuten kan het al voorbij zijn.”
CrowdStrike keek voor het jaarlijkse onderzoek enkel naar interactieve inbraken; dat wil zeggen, aanvallen waarbij een cybercrimineel handmatig in de IT-omgeving van een slachtoffer aan het sleutelen was. Gemiddeld weten deze hackers binnen 79 minuten van een initial compromise naar verdere infiltratie van het bedrijfsnetwerk te bewegen. Het Falcon OverWatch-team van CrowdStrike zag zelfs één aanvaller dit binnen zeven minuten te bewerkstelligen.
“Minder dan de tijd die het kost om een kopje koffie te schenken”, aldus Dave van den Heuvel, Managing Director Benelux bij CrowdStrike. Hij vertelt ons dat aanvallen tegenwoordig niet alleen snel, maar ook veelal met legitieme credentials plaatsvinden. Dit is wat men onder “identiteit” verstaat: niet alleen inloggegevens, maar ook het misleiden van personeel om voorbij identificatie- en autorisatiestappen te komen. Cybercriminelen bemachtigen legitieme credentials veelal op de darkweb. Een andere kwaadwillende heeft ze dus al eerder buitgemaakt. Zo kunnen aanvallers dus “via de voordeur naar binnen lopen”, zoals Van den Heuvel het verwoordt. Als je die op een kier laat staan, is het vrij spel voor kwaadwillenden. 80 procent van alle breaches gebruiken gecompromitteerde identiteitsgegevens.
Het afgelopen jaar bleken deze identiteitsgevaren erg prominent aanwezig te zijn, waarbij aanvallers continu probeerden om snel hun impact te vergroten voorbij de aanvankelijke doorbraak.
Kerberoasting
De 2023 Threat Hunting Report van CrowdStrike laat een toename van 583 procent (!) zien in het aantal incidenten waar “Kerberoasting” plaatsvond. Deze techniek misbruikt de Kerberos-authentication protocol binnen Windows-devices. Dit protocol geeft versleutelde tickets aan SPN’s (service principal names) om gebruikers toegang te verlenen. Nadat men een ticket bemachtigt, kan een cybercrimineel de versleuteling met een brute-force techniek kraken.
De SPN’s waar kwaadwillenden op uit zijn, zijn gelinkt aan een Azure Active Directory-account. Deze gebruikers hebben veelal geprivilegieerde toegang tot gevoelige data. Zo kan het kraken van een enkel ticket leiden tot een groot lek.
Wat opvalt, is dat een enkele criminele speler (VICE SPIDER) 27 procent van alle Kerberoasting-incidenten voor zijn rekening neemt. Een partij als deze maakt gebruik van veel andere technieken om hun aanvallen mogelijk te maken: password spraying, web application-aanvallen en om lateraal binnen de omgeving van een getroffen organisatie te bewegen.
Veranderend landschap van dreigingen
In het Threat Hunting Report schenkt CrowdStrike ook aandacht aan verschillende dreigingen die legitieme tools gebruiken om ongedetecteerd hun gang te gaan binnen het netwerk van een organisatie. Van den Heuvel haalt SCATTERED SPIDER aan, dat onder meer prominente casino’s in Las Vegas aanviel. Het Falcon OverWatch-team zag dat deze partij onder meer RustDesk heeft ingezet, een open-source remote monitoring & management (RMM)-tool. Naar alle waarschijnlijkheid hebben kwaadwillenden als SCATTERED SPIDER RustDesk en andere alternatieven aangepast om heimelijk op afstand te werk te gaan. “Als je naar de attack surface kijkt, is dat allang niet meer alleen malware”, stelt Van den Heuvel. Organisaties zullen dat lang niet allemaal al doorhebben. “Het vereist een stukje bewustwording.”
Daarnaast zijn threat actors inmiddels steeds beter geworden in het profiteren van cloud-misconfiguraties. Ook maakt men misbruik van ingebouwde cloud management-tooling. Kortom: de aanvallers weten inmiddels erg goed hoe ze in de cloud opereren. Voor aanhoudend succes moet cybercrime zich continu evolueren, waarmee het dreigingslandschap weer verandert. “Wat we vandaag leren, is morgen weer oud nieuws”, duidt Van den Heuvel.
Wie beveiligt?
De ene sector heeft meer te maken met cybercrime dan andere. Dit jaar zag CrowdStrike dat de technologie-vertical nog altijd het meest aangepakt wordt. Dat is al zes jaar op rij het geval. Echter zijn financiële bedrijven dit jaar vaker de dupe geweest van aanvallen dan telco, een verschuiving ten opzichte van vorig jaar.
Toch is cybersecurity voor iedere organisatie relevant. Kwaadwillenden zetten automatische scanners in om aan het internet blootgestelde kwetsbaarheden op te sporen, waardoor ze zich ook kunnen richten op kleinere partijen. Ook zorgen de beweging naar de cloud en de opkomst van hybride cloud- en on-prem-omgevingen voor een grotere attack surface. Identiteit, software en cloud zorgen voor heel verschillende uitdagingen. De vraag is: wie beveiligt dat allemaal? En hoe?
Een verenigd front
Gezien de snelheid en effectiviteit van kwaadwillenden, heeft CrowdStrike ingezien dat het een nauwere band tussen threat hunting en intelligence moest creëren. Een nieuwe defensieve unit is dit jaar opgericht: CrowdStrike Counter Adversary Operations. Deze groep heeft als voornaamste doel om de prijs die een kwaadwillende betaalt voor een cyberaanval, te verhogen.
CrowdStrike voorziet daarmee allerlei partijen van de bescherming die ze nodig hebben, want voor iedereen is deze informatie relevant. “We werken voor de grootste bedrijven ter wereld, maar bieden ook managed-oplossingen voor kleinere partijen”, laat Van den Heuvel weten. Met het eigen dienstenpakket richt het securitybedrijf zich met name op XDR (extended detection and response). Het is volgens Van den Heuvel een zeer bewuste strategie. Met een enkel controlepaneel (single pane of glass) kunnen klanten gebruikmaken van het dienstenpakket van CrowdStrike. “Klanten kunnen ook onze software zelf deployen met een eigen SOC, of kiezen voor managed. Het is een complete offering”, zegt Van den Heuvel.
Wie voor CrowdStrike kiest, kan het dienstenpakket volgens Van den Heuvel eenvoudig installeren. “Niets hoeft herstart te worden. Wij zorgen er ook voor dat we integreren met onze partners, zoals network security-leveranciers en e-mailbescherming.”
Wel benadrukt hij dat je altijd mensen moet opleiden, alleen al om basisvaardigheden over de gehele organisatie na te leven. Dat betekent dus ook zero-trust principes naleven om zo min mogelijk gegevens bloot te stellen bij een hack. Least-privilege access is belangrijk om gebruikers alleen toegang te verlenen waar nodig.
Resultaten
De resultaten van Falcon OverWatch liegen er niet om. In een jaar tijd heeft het team gemiddeld elke zeven minuten een mogelijke inbraak geïdentificeerd. Wie CrowdStrike Falcon Intelligence afneemt, krijgt continu inzichten over deze incidenten om een betere cyberweerbaarheid te garanderen. Het is zelfs mogelijk om een intelligence-analist persoonlijk in te schakelen die zich toewijdt aan het beschermen van een specifieke organisatie.
Het werk van de CrowdStrike-onderzoekers leidt dus tot nieuwe openbaringen en de mogelijkheid om preventief op te treden tegen nieuwe dreigingen. Kerberoasting werd dit jaar opeens een gevaar van formaat, dat andermaal laat zien hoe de cybercrimewereld zich constant aanpast. De enige manier om beschermd te zijn, is dus door op de hoogte te blijven van de meest recente cyber-ontwikkelingen.
Samen met dit artikel hebben we een whitepaper gepubliceerd, waarin CrowdStrike het 2023 Threat Hunting Report presenteert. Men gaat in detail over de werkwijzen van VICE SPIDER en SCATTERED SPIDER, hoe ertegen op te treden is en welke andere dreigingen het team gedetecteerd heeft. Ook biedt het een overzicht van de diensten die CrowdStrike aanbiedt, van Cloud Security tot Automated Malware Analysis. Het complete onderzoek kan je via de whitepaperpagina downloaden.
2 dagen geleden
