Verdedigingsstrategieën tegen cyberdreigingen: Lessen uit Kaspersky's incident response rapport 2023

Gepubliceerd op 23 mei 2024 om 15:00

Cyberaanvallen en trends in 2023

Het Kaspersky Incident Response Analyst Report 2023 biedt een uitgebreide analyse van de meest opvallende cyberaanvallen en trends die het afgelopen jaar zijn waargenomen. Dit rapport, gebaseerd op de bevindingen van Kaspersky's Global Emergency Response Team (GERT) en andere gespecialiseerde teams, biedt inzicht in de methoden en tools die cybercriminelen gebruiken, evenals aanbevelingen om organisaties beter te beschermen tegen deze dreigingen. Het rapport benadrukt dat incident response cruciaal is voor organisaties, vooral omdat de complexiteit en frequentie van cyberaanvallen blijven toenemen. Cyberaanvallen via serviceproviders waren in 2023 een opmerkelijke trend, omdat ze aanvallers de mogelijkheid boden om grootschalige aanvallen uit te voeren met aanzienlijk minder inspanning. De acties van deze aanvallers leken vaak sterk op die van onderaannemers, waardoor detectie moeilijker werd. De meeste van deze aanvallen werden pas ontdekt na een datalek, terwijl een kwart van de slachtoffers werd benaderd nadat hun data was versleuteld. Ransomware blijft een belangrijke bedreiging voor organisaties in alle sectoren van de economie. In 2023 was een derde van de incidenten gerelateerd aan ransomware, hoewel het aandeel van deze aanvallen iets daalde van 39,8% naar 33,3% vergeleken met het voorgaande jaar. Lockbit, BlackCat, Phobos en Zeppelin waren de meest voorkomende ransomwarevarianten. De meerderheid van de aanvallen begon met het compromitteren van een openbaar beschikbare applicatie of door gebruik te maken van gecompromitteerde inloggegevens.

Tools, technieken en beveiligingsaanbevelingen

Een belangrijk aspect van het rapport is de nadruk op de tools en exploits die door aanvallers worden gebruikt. Mimikatz en PsExec blijven de meest populaire tools, gebruikt in respectievelijk 15,58% en 13,64% van de incidenten. Deze tools worden vaak gebruikt in de Command and Control-fase en de Discovery-fase van aanvallen. Het rapport benadrukt ook het belang van snelle detectie en reactie op aanvallen. Veel aanvallen, vooral die met ransomware, eindigen binnen een dag. Het is daarom cruciaal dat organisaties goed voorbereid zijn en over de juiste tools en procedures beschikken om aanvallen snel te kunnen detecteren en erop te reageren. Kaspersky geeft verschillende aanbevelingen om organisaties te helpen hun beveiligingsniveau te verbeteren en beter voorbereid te zijn op incident response. Deze aanbevelingen omvatten onder andere het implementeren van een robuust wachtwoordbeleid en multifactor-authenticatie, het verwijderen van beheerspoorten uit openbare toegang, en het handhaven van een streng patchbeheerbeleid voor openbare applicaties. Daarnaast is het belangrijk dat werknemers een hoog niveau van beveiligingsbewustzijn behouden en dat organisaties regelmatig hun reactiecapaciteiten testen door middel van offensieve oefeningen. Het rapport benadrukt dat een groot deel van de aanvallen kon worden voorkomen door tijdig patchbeheer en de implementatie van beveiligingsoplossingen zoals anti-phishing software en beveiligingsbewustzijnstrainingen voor werknemers. Zelfs met deze maatregelen kunnen aanvallen nog steeds voorkomen, en het is belangrijk om sporen van een aanval zo snel mogelijk te detecteren. Tot slot benadrukt het rapport dat de misbruik van legitieme tools voor persistentie en command and control kan worden beheerd door beveiligingscontroles te implementeren die ongeautoriseerde installaties of tooluitvoeringen kunnen detecteren, ongeacht of het malware betreft. Managed Detection and Response (MDR) kan helpen beschermen tegen nieuwe tactieken die verschillende tools misbruiken voor uitvoering, toegang of enumeratie, en kan aanbevelingen geven op basis van het risico.

Kwetsbaarheden, aanvallen en voorbereiding op incidenten

Een ander belangrijk onderdeel van het rapport is de bespreking van de duur van aanvallen en hoe organisaties kunnen reageren. Aanvallen worden ingedeeld in drie categorieën: snelle aanvallen die minder dan een week duren, gemiddelde aanvallen die tot een maand duren, en langdurige aanvallen die meer dan een maand duren. Snelle aanvallen, zoals de meeste ransomware-aanvallen, presenteren een grote uitdaging voor zelfs de meest volwassen beveiligingsoperaties vanwege hun hoge snelheid en destructieve aard. Deze aanvallen maken vaak gebruik van gemakkelijk identificeerbare beveiligingsproblemen. Gemiddelde aanvallen, die enkele weken duren, hebben vaak een significante periode tussen de initiële toegang en de daaropvolgende aanvalsstadia. Deze onderbreking in de aanval biedt een kans voor organisaties om de aanwezigheid van de aanvaller te detecteren voordat de aanval verder escaleert. Langdurige aanvallen hebben een onregelmatig patroon van actieve en passieve fasen, waarbij de actieve fasen vergelijkbaar zijn met de gemiddelde aanvallen, maar de gehele duur langer is. Een van de belangrijkste aanbevelingen in het rapport is om regelmatig back-ups van gegevens te maken en samen te werken met een Incident Response Retainer-partner. Deze partners kunnen helpen bij het snel reageren op incidenten met strikte Service Level Agreements (SLA's). Daarnaast is het cruciaal om strikte beveiligingsprogramma's te implementeren voor applicaties die persoonlijk identificeerbare informatie (PII) bevatten en beveiligingscontrolemaatregelen te nemen over belangrijke gegevens met Data Loss Prevention (DLP) oplossingen. Het rapport benadrukt ook het belang van voortdurende training van incident response teams. Door regelmatige training kunnen deze teams hun expertise behouden en op de hoogte blijven van het veranderende dreigingslandschap. Deze training kan ook helpen bij het testen van de reactiecapaciteiten van de teams en het identificeren van eventuele tekortkomingen in hun reactievermogen.

Conclusie

Het Kaspersky Incident Response Analyst Report 2023 biedt diepgaand inzicht in de trends, tools en technieken die cybercriminelen gebruiken om organisaties aan te vallen. De bevindingen van het rapport onderstrepen de noodzaak voor organisaties om robuuste beveiligingsmaatregelen te implementeren en voortdurend hun strategieën te herzien en bij te werken om voorop te blijven lopen in de strijd tegen cyberdreigingen. Door proactieve maatregelen zoals netwerksegmentatie, strikte toegangscontroles en het gebruik van geavanceerde detectie- en responsoplossingen te implementeren, kunnen organisaties de kans op succesvolle aanvallen verminderen. Tegelijkertijd kunnen reactieve maatregelen zoals een goed voorbereid Incident Response Plan en regelmatige training van medewerkers helpen om de impact van aanvallen te minimaliseren en sneller te herstellen. Het rapport benadrukt ook het belang van samenwerking en informatie-uitwisseling om een breder inzicht te krijgen in opkomende dreigingen en best practices voor cyberbeveiliging. Door gezamenlijk op te treden kunnen organisaties sterker staan tegen de steeds evoluerende dreigingen in het cyberlandschap. Samenvattend biedt het Kaspersky Incident Response Analyst Report 2023 waardevolle inzichten en praktische aanbevelingen die organisaties kunnen helpen om hun beveiligingshouding te versterken en beter voorbereid te zijn op toekomstige uitdagingen. Het is essentieel dat organisaties blijven investeren in technologie, processen en mensen om hun weerbaarheid tegen cyberaanvallen te vergroten en een veilige digitale omgeving te waarborgen.

Begrippenlijst: Sleutelwoorden uitgelegd

  • Incident Response (IR):

    • Uitleg: Incident Response is het proces waarbij organisaties reageren op beveiligingsincidenten, zoals datalekken of cyberaanvallen. Het doel is om de schade te beperken, het incident te analyseren en maatregelen te nemen om toekomstige incidenten te voorkomen.
  • Ransomware:

    • Uitleg: Ransomware is een type schadelijke software (malware) die bestanden op een computer versleutelt. Aanvallers eisen vervolgens een losgeld (ransom) van het slachtoffer om de bestanden weer toegankelijk te maken.
  • Mimikatz:

    • Uitleg: Mimikatz is een open-source tool die door beveiligingsprofessionals wordt gebruikt om inloggegevens (zoals wachtwoorden) uit het geheugen van een Windows-systeem te halen. Het wordt echter ook vaak misbruikt door cybercriminelen.
  • PsExec:

    • Uitleg: PsExec is een tool van Microsoft die beheerders in staat stelt om programma's op andere computers binnen een netwerk uit te voeren. Het wordt vaak gebruikt voor beheerdoeleinden, maar kan ook door aanvallers worden misbruikt.
  • Endpoint Detection and Response (EDR):

    • Uitleg: EDR is een type beveiligingstechnologie die is ontworpen om verdachte activiteiten en beveiligingsincidenten op eindpunten (zoals computers en mobiele apparaten) te detecteren, te onderzoeken en erop te reageren.
  • Managed Detection and Response (MDR):

    • Uitleg: MDR is een dienst waarbij een externe beveiligingsprovider de monitoring, detectie en respons op cyberdreigingen beheert voor een organisatie. Dit helpt bedrijven om snel te reageren op incidenten en hun beveiliging te verbeteren.
  • MITRE ATT&CK:

    • Uitleg: MITRE ATT&CK is een kennisbank van tactieken en technieken die door aanvallers worden gebruikt. Het biedt een gestructureerd overzicht van de stappen die aanvallers ondernemen om een systeem binnen te dringen en te compromitteren.
  • Living off the Land (LOLBins):

    • Uitleg: Living off the Land verwijst naar het gebruik van legitieme, ingebouwde software en tools die al op een systeem aanwezig zijn om schadelijke activiteiten uit te voeren. Dit maakt het moeilijker voor traditionele beveiligingstools om deze activiteiten te detecteren.
  • Multifactor-authenticatie (MFA):

    • Uitleg: MFA is een beveiligingsmaatregel waarbij gebruikers meerdere vormen van identificatie moeten verstrekken om toegang te krijgen tot een systeem of account. Dit kan een combinatie zijn van iets wat ze weten (wachtwoord), iets wat ze hebben (smartphone) en iets wat ze zijn (vingerafdruk).
  • Patchbeheer:

    • Uitleg: Patchbeheer is het proces van het updaten van software om beveiligingsfouten en andere bugs te corrigeren. Dit helpt om systemen te beschermen tegen bekende kwetsbaarheden die door aanvallers kunnen worden misbruikt.
  • Data Loss Prevention (DLP):

    • Uitleg: DLP is een strategie en reeks tools die zijn ontworpen om gevoelige gegevens te beschermen tegen verlies, diefstal of misbruik. DLP-systemen monitoren en controleren gegevensstromen binnen en buiten een organisatie om ongeoorloofde toegang of overdracht van gevoelige informatie te voorkomen.
  • Threat Intelligence:

    • Uitleg: Threat Intelligence is informatie over huidige en potentiële dreigingen die is verzameld en geanalyseerd om organisaties te helpen begrijpen, detecteren en verdedigen tegen cyberdreigingen. Dit kan informatie omvatten over aanvallerstactieken, tools, infrastructuur en doelwitten.
Kaspersky IR Analyst Report 2023 Pdf
PDF – 7,6 MB 39 downloads