|

Kantoor: +31 (0)85 0043 532

|

Support: +31 (0)85 0043 821
Digitale illustratie met daarop de tekst: de Cyber Kill Chain doorbreken medewerkers zijn de sleutel

04 apr De Cyber Kill Chain doorbreken: Medewerkers zijn de sleutel

Geplaatst op 09:00h in Blogs, Nederlands door

Security Awareness in de Cyber Attack Kill Chain is van onschatbare waarde. Het staat buiten kijf dat technologie zeer belangrijk is in de Cyber Kill Chain. Wat echter net zo op waarheid is berust, is de onmiskenbare, maar immer onderschatte rol van de mens. In deze blog bekijken we de Cyber Kill Chain vanuit het menselijke perspectief. Hoe kunnen we als mens helpen om die zogenaamde Cyber Kill chain te doorbreken? Daarvoor dien je te begrijpen hoe elke fase in zijn werk gaat en wat we daar dus tegenover kunnen zetten.

Banner LinkedIn met de tekst: volg ons op LinkedIn, linkedin.com/company/behaav/

Wat is de Cyber Kill Chain?

De (Cyber) Kill Chain is ontstaan vanuit militaire operaties. Hier beschrijven zogenaamde ‘kill chains’ de verschillende fases en stappen die een vijand neemt om zijn aanval in te zetten. Bij een Cyber Kill Chain hebben we het dus over de verschillende fases en stappen die een cyberaanvaller neemt om jou of jouw organisatie aan te vallen.

Een digitale illustratie van een radar die scant naar actieve doelen.

De Cyber Kill Chain is opgebouwd uit 7 fases:

    1. Verkenning
    2. Bewapening
    3. Aflevering
    4. Uitbuiting
    5. Installatie
    6. Command & Control (contact leggen vanuit het doelwit met de aanvaller)
    7. Doelgerichte actie (bijv. datadiefstal, gijzeling etc.)

De Cyber Kill Chain is een uitkomst voor elke Threat Intelligence specialist, deze persoon maakt namelijk de verschillende aanvalsscenario’s op basis van diezelfde Cyber Kill Chain. Deze scenario’s resulteren dan in concrete plannen om de verdediging (=securitymaatregelen) te verbeteren en de kill chain van de aanvaller te stoppen. Helaas zien we dat dat in de praktijk blijft steken op de technologische maatregelen, die het menselijk handelen buiten schot laten. Men gaat ervanuit dat de medewerkers het toch niet zullen begrijpen en dat we met technologie alles op moeten oplossen. De mens wordt hierbij al snel gezien als de zwakte schakel.

Uit onderzoek van Verizon blijkt dat meer dan 74% van alle aanvallen vertrouwt op een menselijke fout om succesvol te zijn. Waarom bewapenen we onze medewerkers dan niet om die Cyber Kill Chain te breken en aanvallers af te wenden…? In elke fase kun je de medewerkers de juiste skillsets aanreiken om de geliefde securitytechnologie (en daarmee de informatiebeveiligingsstrategie) eindelijk effectief te laten zijn.

1 Verkenning

Het laat zich wellicht raden, maar in de verkenningsfase heeft een aanvaller maar één doel: zoveel mogelijk informatie verzamelen over het doelwit. Als de aanvaller dit als doel heeft, dan moeten we er aan de andere kant voor zorgen dat er zo min mogelijk informatie te vinden is. Dit is natuurlijk makkelijk gezegd dan gedaan, want in een tijd waarin sociale media en digitale verbindingen een grote rol spelen wordt er al snel te veel gedeeld. Daarbij zijn informatiebeveiliging en privacybescherming voor de meeste mensen geen dagelijkse bezigheid.

Naast sociale media zijn er nog tal van andere mogelijke manieren voor hackers om informatie te vergaren, denk hierbij aan pretexting, e-mail (phishing) en het doorspitten van containers op zoek naar niet vernietigde gevoelige informatie (dumpster diving).

Een digitale illustratie van een hacker achter een bureau die zoveel mogelijk informatie over een organisatie probeert te verzamelen.

In deze fase kunnen medewerkers al een enorme bijdrage leveren. Een paar simpele tips die je direct kunt toepassen:

  • Wees altijd terughoudend met wat je post op het internet. Soms lijkt een korte post heel onschuldig op zichzelf staand, maar verschillende posts bij elkaar verzameld zijn wellicht al een stuk minder onschuldig

  • Als je documenten weggooit, vernietig ze dan simpelweg in de papierversnipperaar.

  • Gebruik encryptiemogelijkheden zoals een Virtual Private Network.

  • Gebruik nooit openbare WiFi.

  • Verstrek nooit gevoelige persoonsgegevens zolang je de persoon aan de andere kant niet hebt geverifieerd.

  • Geef nooit meer informatie prijs dan nodig. Dit geldt ook voor IT-mensen die soms geen idee hebben hoeveel netwerksystemen onnodig bereikbaar zijn vanaf het internet.

Zorg dat jouw digitale voetafdruk zo minimaal mogelijk is. Een goed getrainde organisatie deelt dus niet overmatig op sociale media, herkent vreemde telefoontjes en e-mailtjes en verwijdert/vernietigt op de juiste manier informatie.

2 Bewapening

Tijdens de fase waarin de aanvaller zijn wapenarsenaal gaat uitwerken zeggen veel security professionals al gauw: “Er is hier weinig dat we kunnen doen.”

If you know the enemy and know yourself, you need not fear the result of a hundred battles.” –Sun Tzu

Wanneer je medewerkers leert over de verschillende type wapens (bijv. ransomware) wordt de kans groter dat zij aanvallen gaan herkennen en daar op de juiste manier mee om zullen gaan. Die kennis kan worden ingezet om direct te rapporteren aan het security team.

Ik hoor je al denken: ‘Je kunt toch niet van iedereen een security expert maken?’ Ik ben het met je eens, want dat is ook niet nodig. Wat je wel kunt doen zijn de kansen minimaliseren dat een aanvaller succesvol is en dat kan door middel van training.

3 Aflevering

Na de bewapening volgt de aflevering, die cruciaal is voor het succes van de gehele aanval. De reactie en weerbaarheid van de medewerkers in deze fase in beide erg belangrijk.

Hieronder volgen een aantal cyberwapens die hackers kunnen gebruiken:

Phishing

Dit is het meest gebruikte cyberwapen door aanvallers. Het is gemakkelijk, goedkoop en wellicht de snelste weg naar succes voor hackers. Als e-mail een belangrijke applicatie is voor de bedrijfsvoering, dan moet je medewerkers weerbaar maken op dit onderdeel. De oplossing ligt in training en simulaties.

Leer medewerkers hoe ze phishing kunnen herkennen en hoe ze verdachte e-mails moeten behandelen. Simuleer phishingaanvallen om te testen hoe medewerkers hierop reageren.

USB-sticks

Het simpel verspreiden van USB-sticks om een organisatie binnen te dringen is nog steeds een effectieve methode. Technisch gezien zou je zeggen dat het afdoende kan zijn om USB-sticks uit te schakelen voor alle laptops, maar dit is in de praktijk niet altijd haalbaar. Daarbij zijn er groepen die aan zulke maatregelen weet te ontsnappen. Denk bijvoorbeeld aan management, externen, ontwikkelaars en de IT-afdeling.

een foto van de hand van een hacker met een USB-stick die daarmee via een laptop een organisatie binnen wil dringen.

Leer medewerkers dat je nooit zomaar een USB-stick in je computer mag stoppen en dat je deze aflevert bij het securityteam. Zorg ervoor dat er geen uitzonderingen zijn voor mensen die op welke manier dan ook toegang hebben tot het netwerk en/of data van de organisatie.

4 Uitbuiting

Een foto van een vrouwelijke medewerker zittend achter een bureau met een computer. Het systeem is overgenomen en de hacker heeft toegang tot de organisatie.

In deze fase is iemand slachtoffer geworden van de aanval. Iemand heeft op een link geklikt, een foute bijlage geopend, een usb-stick in zijn laptop gestopt ofwel: het is foute boel! Toch kan het gedrag van de medewerkers nog steeds het verschil maken in deze fase. Hoe sneller het reactievermogen, hoe minder de impact van een succesvolle aanval zal zijn.

Er zijn een aantal zaken die hier direct het verschil kunnen maken:

  1. Leer medewerkers hoe ze kunnen herkennen wanneer ze zaken moeten melden aan het securityteam of de helpdesk. Bijvoorbeeld bij (extreem) trage applicaties, niet werkende systemen en vreemde meldingen.

  1. Zorg dat medewerkers altijd de laatste softwareversies hebben geïnstalleerd op de verbonden apparaten, inclusief privé-apparaten..

  1. Zorg ervoor dat medewerkers data opslaan op de juiste locaties. Denk hierbij aan gevoelige data op versleutelde locaties en dat (gevoelige) bedrijfsdata nooit lokaal wordt opgeslagen.

  1. Zorg dat IT-teams altijd op tijd de juiste patches hebben uitgerold.

Met bovenstaande acties creëer je naast de techniek ook menselijke sensoren die je helpen voorkomen dat een aanval geen verdere schade aan kan richten.

5 Installatie

Hoewel aanvalsvormen als CEO-fraude en diefstal van inloggegevens geen kwaadaardige software nodig hebben om hun doel te bereiken, hebben andere aanvalsvormen zoals ransomware dat wel. In deze fase zal de aanvaller daadwerkelijk kwaadaardige software (malware) installeren op de systemen van de organisatie.

Hoewel het lijkt alsof een medewerker hier nauwelijks een rol speelt, is het tegendeel waar. Zoals eerder gezegd is het van groot belang dat medewerkers altijd hun software hebben bijgewerkt, in dit geval voornamelijk de anti-malware software. Op deze manier verklein je de kans dat kwaadaardige software ook daadwerkelijk geïnstalleerd kan worden.

Ook hier gelden dezelfde basisregels als in de voorgaande fase:

  1. Leer medewerkers hoe ze kunnen herkennen wanneer ze zaken moeten melden aan het securityteam of de helpdesk. Bijvoorbeeld bij (extreem) trage applicaties, niet werkende systemen en vreemde meldingen.

  1. Zorg dat medewerkers altijd de laatste softwareversies hebben geïnstalleerd op de verbonden apparaten, inclusief privé-apparaten.

  1. Zorg ervoor dat medewerkers data opslaan op de juiste locaties. Gevoelige data moet worden opgeslagen op versleutelde locaties.

  1. Zorg dat IT-teams altijd de op tijd de juiste patches uitgerold hebben.

  1. Zorg dat je back-up plan waterdicht is zodat je hierop terug kunt vallen.

6 Command & Control (contact leggen vanuit het doelwit met de aanvaller)

Het klopt dat er steeds minder is wat een medewerker kan doen. Hoe verder een hacker in zijn of haar aanvalsplan komt, hoe dichter de aanvaller deze bij zijn of haar doel is. De hacker legt in de command & control fase contact vanuit de organisatie.

De eerder geïnstalleerde kwaadaardige software neemt contact op met de medewerker om de controle over het doelwit verder uit breiden. Het allerbelangrijkste dat je medewerkers in deze fase kunt leren is dat zij abnormaal gedrag op netwerken en systemen leren herkennen. Het is tenslotte zo dat personen die dagelijks met systemen en applicaties werken goed in staat zijn om afwijkingen te constateren. Laat medewerkers weten dat zij deze afwijkingen melden bij de securityafdeling.

7 Doelgerichte actie (bijv. datadiefstal, gijzeling etc.)

In deze fase wil de aanvaller een einddoel bereiken. Wat dit doel precies is hangt sterk af van de motivaties van een aanvaller. Als de aanvaller deze fase bereikt, dan zal het succes van zijn/haar aanval nog steeds sterk afhankelijk zijn van het menselijke gedrag:

  • Hoe goed zijn bestanden versleuteld in de organisatie?

  • Hoe sterk zijn de wachtwoorden?

  • Hoe is het gebruik van MFA (meervoudige verificatie)?

  • Hoe is het gebruik van algemene authenticatie vóórdat gevoelige data überhaupt kan worden gedeeld?

Conclusie: Technologie en de juiste toepassing gaan hand in hand

Zonder hulp van de juiste technologie is het doorbreken van de Cyber Kill Chain niet haalbaar. Maar alleen de technologie gebruiken is niet genoeg. Iets wat vaak onderschat wordt is dat de technologie zal falen zonder de juiste toepassing van de mensen die het gebruiken. Wanneer je de medewerkers in een organisatie leert, traint en ondersteund hoe hiermee om te gaan vergroot je de kans om de Cyber Kill Chain tijdig te doorbreken – en daarmee de organisatie veel ellende te besparen.

Onthoud dat een succesvolle aanval meestal berust op een menselijke fout. Door inzicht te krijgen in wat medewerkers moeten doen in welke fase kun je als bedrijf een verdedigingslinie vormen. Phishingaanvallen herkennen, terughoudend zijn met het delen van data, updaten, veilig omgaan met gebruikte apparatuur op zowel zakelijk als persoonlijk gebied en melden van verdacht gedrag zijn daarom sleutelelementen.

De impact van een aanval is in elke fase te minimaliseren door medewerkers over een langere periode te trainen op hun gedrag. Meer weten over hoe je dit nu aan moet pakken? Contacteer ons via het contactformulier.

[People Improve Security]