Identiteit is het nieuwe strijdtoneel

Het aantal cyberaanvallen door nation-state actoren neemt toe. Ondanks hun enorme resources maken deze aanvallers vaak gebruik van simpele tactieken om eenvoudig geraden wachtwoorden te stelen. Hierdoor krijgen ze snelle en eenvoudige toegang tot klantaccounts. Wanneer een onderneming wordt aangevallen, kunnen nation-state actoren vaste voet in de organisatie krijgen door netwerkpenetratie. Ze kunnen daardoor verticaal verplaatsen naar soortgelijke gebruikers en resources of horizontaal voor toegang tot waardevollere referenties en resources.

Aanvallen met spear phishing, social engineering en grootschalige wachtwoordspray zijn basistactieken van nation-state actoren. Deze aanvallen worden gebruikt om wachtwoorden te stelen of te raden. Microsoft krijgt inzicht in de methoden en successen van aanvallers door te observeren in welke tactieken en technieken ze investeren en met welke ze succes boeken. Als gebruikersreferenties slecht worden beheerd of kwetsbaar zijn zonder cruciale beveiliging zoals meervoudige verificatie en functies zonder wachtwoord, blijven natiestaten dezelfde simpele tactieken gebruiken.

De noodzaak om de ingebruikname van meervoudige verificatie af te dwingen of om te kiezen voor functies zonder wachtwoord, is niet te overschatten. Vanwege de eenvoud en de lage kosten van identiteitsgerichte aanvallen zijn deze praktisch en effectief voor actoren. Hoewel meervoudige verificatie niet het enige hulpmiddel is voor identiteits- en toegangsbeheer, kan het voor organisaties als een krachtig afschrikmiddel werken tegen aanvallen.

Misbruik van referenties is een wapentooi van NOBELIUM, een vijandige nation-state actor die gekoppeld is aan Rusland. Andere aanvallers maken echter ook gebruik van wachtwoordspray, bijvoorbeeld het aan Iran gekoppelde DEV-0343. Activiteit van DEV-0343 is waargenomen bij defensiebedrijven die radars voor het leger, dronetechnologie, satellietsystemen en communicatiesystemen voor noodrespons produceren. Andere activiteiten zijn aanvallen op regionale havens van binnenkomst in de Perzische Golf en op verschillende maritieme en vrachttransportbedrijven met een bedrijfsfocus op het Midden-Oosten.

Meervoudige verificatie inschakelen: Hierdoor beperken ze het risico van wachtwoorden die in de verkeerde handen vallen. Het is zelfs nog beter om wachtwoorden volledig te elimineren door meervoudige verificatie zonder wachtwoord te gebruiken.

Accounts met bevoegdheden controleren: Gehackte accounts met bevoorrechte toegang zijn een krachtig wapen voor aanvallers om te gebruiken voor meer toegang tot netwerken en resources. Beveiligingsteams moeten regelmatig de toegangsbevoegdheden controleren en het principe van strikt noodzakelijke bevoegdheden toepassen voor werknemers om hun werk te kunnen uitvoeren.

Alle accounts van tenantbeheerders beoordelen, versterken en bewaken: Beveiligingsteams moeten alle accounts van tenantbeheerders of gebruikers die tenantbeheerder zijn grondig controleren. De authenticiteit van gebruikers en activiteiten van deze accounts of gebruikers met gedelegeerde beheerdersbevoegdheden moet geverifieerd worden. Vervolgens moeten ze alle ongebruikte gedelegeerde beheerdersbevoegdheden uitschakelen of verwijderen.

Een beveiligingsbasislijn instellen en handhaven om risico's te beperken: Natiestaten denken aan de lange termijn en hebben de financiering, wil en schaal om nieuwe aanvalsstrategieën en -technieken te ontwikkelen. Wanneer een initiatief om het netwerk te versterken vertraging oploopt vanwege bandbreedte of bureaucratie, werkt dat in hun voordeel. Beveiligingsteams moeten de prioriteit geven aan het implementeren van Zero Trust-praktijken zoals meervoudige verificatie en upgrades naar functies zonder wachtwoord . Voor snel meer beveiliging kunnen ze beginnen met accounts met bevoegdheden en vervolgens uitbreiden in incrementele en onafgebroken fasen.

De dominante verhaallijn laat het lijken dat een enorm aantal nieuwe ransomwarebedreigingen de verdedigende mogelijkheden voorbijstreven. Analyse door Microsoft toont echter aan dat dit onjuist is. Er bestaat ook een perceptie dat bepaalde ransomwaregroepen een enkele monolithische entiteit zijn, wat ook onjuist is. Wat er wel bestaat, is een cybercriminele economie waarin verschillende spelers bewuste keuzen maken in tot handelswaar gemaakte aanvalsketens. Ze worden gedreven door een economisch model om de opbrengst te maximaliseren op basis van de manier waarop ze gebruikmaken van de informatie waartoe ze toegang hebben. De graphic hieronder laat zien hoe verschillende groepen profiteren van verschillende cyberaanvalsstrategieën en informatie van gegevenslekken.

Begrijpen dat ransomware opbloeit door standaard- of gecompromitteerde referenties: Beveiligingsteams moeten als gevolg de beveiliging versnellen, bijvoorbeeld door het implementeren van meervoudige verificatie zonder wachtwoord voor alle gebruikersaccounts en door het prioriteren van uitvoerende, beherende en andere bevoorrechte rollen.

Identificeren hoe ze op tijd verradende afwijkingen kunnen herkennen om actie te ondernemen: Vroege aanmeldingen, bestandsverplaatsing en ander gedrag dat ransomware introduceert, kan onopvallend zijn. Teams moeten hoe dan ook bewaken of er afwijkingen zijn en er snel op reageren.

Een ransomware-reactieplan hebben en hersteloefeningen uitvoeren: We leven in het tijdperk van synchroniseren en delen via de cloud, maar gegevenskopieën zijn anders dan volledige IT-systemen en databases. Teams moeten visualiseren en oefenen hoe volledig herstel eruitziet.

Waarschuwingen beheren en snel beperken: Hoewel iedereen bang is voor ransomware-aanvallen, moeten beveiligingsteams zich primair focussen op het versterken van zwakke beveiligingsconfiguraties die een succesvolle aanval mogelijk maken. Ze moeten beveiligingsconfiguraties beheren zodat ze goed kunnen reageren op waarschuwingen en detecties.

Eindpuntbedreigingen:
Microsoft Defender voor Eindpunt heeft tussen januari en december 2021 meer dan 9,6 miljard malwarebedreigingen geblokkeerd die waren gericht op apparaten van klanten (ondernemingen en consumenten).

E-mailbedreigingen:
Microsoft Defender voor Office 365 heeft tussen januari en december 2021 meer dan 35,7 miljard phishing- en andere kwaadaardige e-mails geblokkeerd die waren gericht op klanten (ondernemingen en consumenten).

Identiteitsbedreigingen:
Microsoft (Azure Active Directory) heeft tussen januari en december 2021 meer dan 25,6 miljard pogingen tot het hacken (via gestolen wachtwoorden) van accounts van ondernemingsklanten gedetecteerd en geblokkeerd.