3min

Tags in dit artikel

, , ,

Het enige voorspelbare aan het landschap van cyberdreigingen is dat je erop kunt rekenen dat veranderingen steeds sneller plaatsvinden. Kijken we naar het huidige dreigingslandschap, dan is duidelijk dat advanced persistent threats (APT’s) en financieel gemotiveerde cybercriminelen succes boeken. Een belangrijk element van deze moderne dreigingen is laterale beweging of laterale verspreiding. Dit gaat over de beweging van een threat actor binnen een gecompromitteerd netwerk. Met deze techniek kunnen zij voet aan de grond krijgen en lateraal door de rest van een netwerk gaan om gevoelige activa en data te lokaliseren, te stelen en te versleutelen voor losgeld.

De lifecycle van cyberaanvallen onderzoeken

Threat actors verplaatsen zich door een gecompromitteerde omgeving volgens een gedefinieerd proces dat we de attack-lifecycle of kill-chain noemen. De lifecycle van een cyberaanval verloopt doorgaans via de volgende fasen:

  1. Verkenning/planning – Om het proces een kickstart te geven, selecteren threat actors hun doelen en voeren ze zoveel mogelijk onderzoek uit. Zo verzamelen ze gegevens over de netwerkinfrastructuur, gebruikers en systemen van het doelwit. Met deze informatie kunnen ze hun doelwit beter exploiteren en eventuele gevonden kwetsbaarheden benutten.
  2. Credential dumping – Na het verkennen van hun doelwit, zullen de aanvallers zich concentreren op het verkrijgen van de eerste toegang tot de omgeving. Dit is het moment waarop ze proberen op frauduleuze wijze legitieme inloggegevens te verkrijgen en zoveel mogelijk hosts te compromitteren.
  3. Enumeration – In deze fase hebben de aanvallers toegang gekregen en moeten ze snel uitzoeken waar ze zich in de omgeving bevinden, welke toegang ze hebben en waar ze kunnen beginnen. Dit is de fase waarin ze machinenamen, netwerkbronnen en meer extraheren door gerichte query’s uit te voeren.
  4. Lateral movement access – Dit is het meest cruciale onderdeel van de lifecycle van een aanval vanuit het oogpunt van de aanvaller. Zodra ze hebben wat ze nodig hebben, zullen ze hun positie in het hele netwerk beginnen uit te breiden met behulp van kwaadaardige tools om hun rechten voortdurend te upgraden, toegang te krijgen tot kritieke gegevens en systemen, en malware en toolsets te verspreiden.
  5. Missie voltooien – Na de implementatie van malware of toolsets, exfiltreren de threat actors tegenwoordig steeds vaker gevoelige gegevens voordat ze ze versleutelen. Dit geeft hen nog meer macht over hun slachtoffer.

De uitdaging van kortere ‘dwell times’

Bij een cyberaanval verwijst de ‘dwell time’ naar de tijdsduur tussen een eerste inbreuk en de detectie van de threat actor. Onderzoek toont aan dat aanvallers efficiënter worden, waardoor de totale gemiddelde tijdsduur voor een aanval veel korter is dan in de jaren daarvoor. De tijd dat ze hier weken of maanden voor hadden, is voorbij. De grootste uitdaging voor bedrijven is nu om de aanwezigheid van cyberdreigingen zo snel mogelijk te detecteren. Veel campagnes, met name ransomware-campagnes, duren slechts een paar uur en aanvallers bevinden zich vaak al binnen het netwerk van een slachtoffer, wachtend om hun slag te slaan.

Helaas zijn beveiligingsoplossingen zoals traditionele SIEM’s, next-gen antivirus-oplossingen en antimalware gewoon niet efficiënt genoeg als het gaat om het snel detecteren van moderne aanvallers.

Laterale beweging voorkomen via autonome detectie

Dus, hoe snel moet detectie plaatsvinden voordat het te laat is? Kijkend naar de tijdlijn van de cyberaanvallen, vormen de fases van verkenning en credential dumping de meest kritieke periode. De aanvallers zijn dan nog niet diep doorgedrongen in het gecompromitteerde netwerk via laterale beweging. Ze zijn er dan ook nog niet in geslaagd om zich aan te passen aan het normale netwerkverkeer en ‘live off the land’, wat inhoudt dat ze native tools en processen gebruiken om hun positie uit te breiden.

Het belangrijkste doel is dan om te voorkomen dat aanvallers de laterale bewegingsfase kunnen bereiken en kritieke schade kunnen aanrichten. De tijd tussen de eerste inbraak en laterale beweging wordt steeds korter, waardoor die snelle detectietijd nog belangrijker wordt.

Hoe Vigilance Respond de cyberkill-chain verstoort

SentinelOne’s wereldwijde Managed Detection and Response (MDR)-service, Vigilance Respond, gebruikt autonome detectie-EDR en verdedigt netwerken direct tegen cyberaanvallen. Met een hogere nauwkeurigheid dan welk menselijk team ook kan bieden. Vigilance monitort klantomgevingen 24/7/365, hunt op geavanceerde dreigingen en zorgt voor snellere gemiddelde time-to-respons (MTTR)-percentages.

Conclusie

De threat actors van vandaag gaan misschien sneller dan ooit, maar dat betekent niet dat bedrijven hen niet voor kunnen zijn. Detectietechnologie op machinesnelheid, uitgevoerd door toegewijde analisten, zorgt ervoor dat organisaties worden beschermd voordat aanvallers lateraal binnen hun omgevingen kunnen bewegen om gevoelige gegevens te exfiltreren en te versleutelen.