Security Awareness in de Cyber Attack Kill Chain is van onschatbare waarde. Het staat buiten kijf dat technologie zeer belangrijk is in de Cyber Kill Chain. Wat echter net zo op waarheid is berust, is de onmiskenbare, maar immer onderschatte rol van de mens. In deze blog bekijken we de Cyber Kill Chain vanuit het menselijke perspectief. Hoe kunnen we als mens helpen om die zogenaamde Cyber Kill chain te doorbreken? Daarvoor dien je te begrijpen hoe elke fase in zijn werk gaat en wat we daar dus tegenover kunnen zetten.
De (Cyber) Kill Chain is ontstaan vanuit militaire operaties. Hier beschrijven zogenaamde ‘kill chains’ de verschillende fases en stappen die een vijand neemt om zijn aanval in te zetten. Bij een Cyber Kill Chain hebben we het dus over de verschillende fases en stappen die een cyberaanvaller neemt om jou of jouw organisatie aan te vallen.
De Cyber Kill Chain is opgebouwd uit 7 fases:
De Cyber Kill Chain is een uitkomst voor elke Threat Intelligence specialist, deze persoon maakt namelijk de verschillende aanvalsscenario’s op basis van diezelfde Cyber Kill Chain. Deze scenario’s resulteren dan in concrete plannen om de verdediging (=securitymaatregelen) te verbeteren en de kill chain van de aanvaller te stoppen. Helaas zien we dat dat in de praktijk blijft steken op de technologische maatregelen, die het menselijk handelen buiten schot laten. Men gaat ervanuit dat de medewerkers het toch niet zullen begrijpen en dat we met technologie alles op moeten oplossen. De mens wordt hierbij al snel gezien als de zwakte schakel.
Uit onderzoek van Verizon blijkt dat meer dan 74% van alle aanvallen vertrouwt op een menselijke fout om succesvol te zijn. Waarom bewapenen we onze medewerkers dan niet om die Cyber Kill Chain te breken en aanvallers af te wenden…? In elke fase kun je de medewerkers de juiste skillsets aanreiken om de geliefde securitytechnologie (en daarmee de informatiebeveiligingsstrategie) eindelijk effectief te laten zijn.
Het laat zich wellicht raden, maar in de verkenningsfase heeft een aanvaller maar één doel: zoveel mogelijk informatie verzamelen over het doelwit. Als de aanvaller dit als doel heeft, dan moeten we er aan de andere kant voor zorgen dat er zo min mogelijk informatie te vinden is. Dit is natuurlijk makkelijk gezegd dan gedaan, want in een tijd waarin sociale media en digitale verbindingen een grote rol spelen wordt er al snel te veel gedeeld. Daarbij zijn informatiebeveiliging en privacybescherming voor de meeste mensen geen dagelijkse bezigheid.
Naast sociale media zijn er nog tal van andere mogelijke manieren voor hackers om informatie te vergaren, denk hierbij aan pretexting, e-mail (phishing) en het doorspitten van containers op zoek naar niet vernietigde gevoelige informatie (dumpster diving).
In deze fase kunnen medewerkers al een enorme bijdrage leveren. Hieronder zes simpele tips die je direct kunt toepassen:
Zorg dat jouw digitale voetafdruk zo minimaal mogelijk is. Een goed getrainde organisatie deelt dus niet overmatig op sociale media, herkent vreemde telefoontjes en e-mailtjes en verwijdert/vernietigt op de juiste manier informatie.
Tijdens de fase waarin de aanvaller zijn wapenarsenaal gaat uitwerken zeggen veel security professionals al gauw: “Er is hier weinig dat we kunnen doen.”
"If you know the enemy and know yourself, you need not fear the result of a hundred battles.” -Sun Tzu
Wanneer je medewerkers leert over de verschillende type wapens (bijv. ransomware) wordt de kans groter dat zij aanvallen gaan herkennen en daar op de juiste manier mee om zullen gaan. Die kennis kan worden ingezet om direct te rapporteren aan het security team.
Ik hoor je al denken: ‘Je kunt toch niet van iedereen een security expert maken?’ Ik ben het met je eens, want dat is ook niet nodig. Wat je wel kunt doen zijn de kansen minimaliseren dat een aanvaller succesvol is en dat kan door middel van training.
Na de bewapening volgt de aflevering, die cruciaal is voor het succes van de gehele aanval. De reactie en weerbaarheid van de medewerkers in deze fase in beide erg belangrijk.
Hieronder volgen een aantal cyberwapens die hackers kunnen gebruiken:
Dit is het meest gebruikte cyberwapen door aanvallers. Het is gemakkelijk, goedkoop en wellicht de snelste weg naar succes voor hackers. Als e-mail een belangrijke applicatie is voor de bedrijfsvoering, dan moet je medewerkers weerbaar maken op dit onderdeel. De oplossing ligt in training en simulaties.
Leer medewerkers hoe ze phishing kunnen herkennen en hoe ze verdachte e-mails moeten behandelen. Simuleer phishingaanvallen om te testen hoe medewerkers hierop reageren.
Het simpel verspreiden van USB-sticks om een organisatie binnen te dringen is nog steeds een effectieve methode. Technisch gezien zou je zeggen dat het afdoende kan zijn om USB-sticks uit te schakelen voor alle laptops, maar dit is in de praktijk niet altijd haalbaar. Daarbij zijn er groepen die aan zulke maatregelen weet te ontsnappen. Denk bijvoorbeeld aan management, externen, ontwikkelaars en de IT-afdeling.
Leer medewerkers dat je nooit zomaar een USB-stick in je computer mag stoppen en dat je deze aflevert bij het securityteam. Zorg ervoor dat er geen uitzonderingen zijn voor mensen die op welke manier dan ook toegang hebben tot het netwerk en/of data van de organisatie.
In deze fase is iemand slachtoffer geworden van de aanval. Iemand heeft op een link geklikt, een foute bijlage geopend, een usb-stick in zijn laptop gestopt ofwel: het is foute boel! Toch kan het gedrag van de medewerkers nog steeds het verschil maken in deze fase. Hoe sneller het reactievermogen, hoe minder de impact van een succesvolle aanval zal zijn.
Er zijn een aantal zaken die hier direct het verschil kunnen maken:
Met bovenstaande acties creëer je naast de techniek ook menselijke sensoren die je helpen voorkomen dat een aanval geen verdere schade aan kan richten.
Hoewel aanvalsvormen als CEO-fraude en diefstal van inloggegevens geen kwaadaardige software nodig hebben om hun doel te bereiken, hebben andere aanvalsvormen zoals ransomware dat wel. In deze fase zal de aanvaller daadwerkelijk kwaadaardige software (malware) installeren op de systemen van de organisatie.
Hoewel het lijkt alsof een medewerker hier nauwelijks een rol speelt, is het tegendeel waar. Zoals eerder gezegd is het van groot belang dat medewerkers altijd hun software hebben bijgewerkt, in dit geval voornamelijk de anti-malware software. Op deze manier verklein je de kans dat kwaadaardige software ook daadwerkelijk geïnstalleerd kan worden.
Ook hier gelden dezelfde basisregels als in de voorgaande fase:
Het klopt dat er steeds minder is wat een medewerker kan doen. Hoe verder een hacker in zijn of haar aanvalsplan komt, hoe dichter de aanvaller deze bij zijn of haar doel is. De hacker legt in de command & control fase contact vanuit de organisatie.
De eerder geïnstalleerde kwaadaardige software neemt contact op met de medewerker om de controle over het doelwit verder uit breiden. Het allerbelangrijkste dat je medewerkers in deze fase kunt leren is dat zij abnormaal gedrag op netwerken en systemen leren herkennen. Het is tenslotte zo dat personen die dagelijks met systemen en applicaties werken goed in staat zijn om afwijkingen te constateren. Laat medewerkers weten dat zij deze afwijkingen melden bij de securityafdeling.
In deze fase wil de aanvaller een einddoel bereiken. Wat dit doel precies is hangt sterk af van de motivaties van een aanvaller. Als de aanvaller deze fase bereikt, dan zal het succes van zijn/haar aanval nog steeds sterk afhankelijk zijn van het menselijke gedrag:
Zonder hulp van de juiste technologie is het doorbreken van de Cyber Kill Chain niet haalbaar. Maar alleen de technologie gebruiken is niet genoeg. Iets wat vaak onderschat wordt is dat de technologie zal falen zonder de juiste toepassing van de mensen die het gebruiken. Wanneer je de medewerkers in een organisatie leert, traint en ondersteund hoe hiermee om te gaan vergroot je de kans om de Cyber Kill Chain tijdig te doorbreken - en daarmee de organisatie veel ellende te besparen.
Onthoud dat een succesvolle aanval meestal berust op een menselijke fout. Door inzicht te krijgen in wat medewerkers moeten doen in welke fase kun je als bedrijf een verdedigingslinie vormen. Phishingaanvallen herkennen, terughoudend zijn met het delen van data, updaten, veilig omgaan met gebruikte apparatuur op zowel zakelijk als persoonlijk gebied en melden van verdacht gedrag zijn daarom sleutelelementen.