Denken als een bedreigingsacteur
Mijn team vertelt het verhaal over een end-to-end aanval . We verbinden de punten tussen de verschillende fasen van de kill chain van een aanvaller om in één oogopslag de hoofdoorzaken van een aanval beter te begrijpen, op het moment dat deze plaatsvindt.
We kopiëren ook technieken en denkwijzen van aanvallers.
Aanvallers zien de wereld in termen van doelen en opeenvolgingen van activiteiten. Ze koppelen verschillende technieken aan elkaar, vandaar dat deze aanvalsverhalen 'kill chains' worden genoemd, en kiezen voor de paden die voor hen het gunstigst zijn. Het is geen lineair proces. We noemen dit denken in grafieken.
Als verdedigers moeten we dezelfde denkwijze aannemen. We moeten onszelf niet verliezen in het denken in lijstjes, waarbij we de hele puzzel weer in elkaar proberen te zetten op het moment van een aanval. We moeten in één oogopslag weten hoe aanvallers toegang hebben gekregen, hoe ze zich lateraal verplaatsen en waar ze naartoe werken.
Verdedigers identificeren kwaadaardige activiteiten nauwkeuriger als ze de opeenvolging van die activiteiten als een geheel begrijpen, en niet alleen afzonderlijke technieken.
Een goed voorbeeld hiervan is toen we een recente serie aanvallen op financiële fraude analyseerden en zagen hoe aanvallers een reverse proxy gebruikten om meervoudige verificatie (MFA) te omzeilen. We merkten de signalen van de MFA-bypass op en maakten melding van andere gevallen waarin de opkomende techniek voorkwam. Wat we hebben geleerd over het stelen van gegevens via onze mogelijkheid om die punten te verbinden, biedt ons de kans om eerder in de aanval te reageren. Het maakt ons betere verdedigers.
Op de vraag wat er kan worden gedaan om een organisatie beter te beschermen, zeg ik altijd hetzelfde: Het is cruciaal om MFA consequent te gebruiken. Het is een van de belangrijkste aanbevelingen die we doen. Het streven naar die wachtwoordloze omgeving is een van de meest essentiële dingen die bedrijven kunnen doen om zich beter te verdedigen, omdat dat alle opkomende aanvalstechnieken uitschakelt. Als je MFA goed gebruikt, moeten aanvallers harder werken. En als ze geen toegang kunnen krijgen tot een identiteit en je organisatie, wordt het veel moeilijker om een aanval uit te voeren.
Volg Microsoft Beveiliging