Voor de aanpak van cybercriminaliteit is het belangrijk om werkwijze en aanvalspatronen te (her)kennen. Het is daarom zaak om inzicht te hebben (en houden) in de methoden en technieken die cybercriminelen gebruiken. In dit artikel lichten we toe waarom het belangrijk is om een offensieve beveilgingsstrategie te hanteren. Een offensieve beveiligingsstrategie biedt ondersteuning bij het opsporen van cybercriminelen en bij het herkennen, verstoren en voornamelijk voorkomen van geavanceerde digitale criminele activiteiten. In dit artikel bieden we handvatten waarmee veelvoorkomende digitale criminele activiteiten actief kunnen worden bestreden, zoals het ongeautoriseerd verkrijgen van toegang tot vertrouwelijke gegevens, het uitvoeren van op maat gemaakte ransomware aanvallen en het besmetten van computernetwerken met schadelijke software.
Aanval is de beste verdediging
Tegenwoordig is het vrij eenvoudig om, waar dan ook ter wereld, cyberaanvallen te starten en organisaties binnen onze landsgrenzen aan te vallen. In een toespraak zei secretaris Kelly van het George Washington University Center for Cyber and Homeland Security dat een van de grootste bedreigingen voor cybersecurity kwam van Transnationale Criminele Organisaties (TCO’s). “Als je een terrorist bent met een internetverbinding, zoals die op je altijd aanwezige mobiele telefoon, kun je met slechts een paar klikken nieuwe soldaten rekruteren, aanvallen plannen en een video uploaden waarin wordt opgeroepen tot een terroristische aanval4“. Overigens kunnen deze organisaties ook in opdracht werken van statelijke actoren die digitale middelen inzetten om geopolitieke en economische doelstellingen te behalen ten koste van Nederlandse belangen5.
Deze aanvallen kunnen ook nog eens grote impact hebben en komen de laatste jaren steeds vaker voor. De meest recente randsomware-aanval in Nederland staat nog vers in ons geheugen. In december 2019 werd de Universiteit Maastricht zwaar getroffen door de Clop-ransomware6. Volgens de universiteit heeft de aanval “een ernstige inbreuk gepleegd op de ICT-systemen van de universiteit en daarmee de continuïteit van de instelling onder druk gezet”.
Net als een misdaad in de fysieke wereld doorloopt ook een ransomware aanval de volgende drie basis stappen: activiteiten vóór de aanval, tijdens de aanval en na de aanval. Daarom is het vroegtijdig detecteren van criminele communicatie en het verzamelen van bewijsmateriaal de sleutel tot het mogelijk voorkomen van (digitale) aanvallen. Daar staat tegenover dat het verzamelen van deze informatie steeds moeilijker wordt. Dit omdat cybercriminelen zeer geavanceerde communicatietechnieken gebruiken om hun sporen te verbergen, zoals anonimiseren, steganografie7, verduistering, maskerade8 en codering. Om cybercriminelen vroegtijdig op te sporen is het essentieel om je te verdiepen in offensieve beveiligingstechnieken. Hierdoor krijg je inzicht in waar, hoe en wanneer een crimineel toe wil of kan slaan.
Wat is offensieve beveiliging?
Met offensieve beveiliging kruip je als het ware in de huid van een cybercrimineel. Met een criminele mindset verdiep je je in de wereld van malware-ontwikkeling en het gebruik van cryptografie in de communicatie. Kortom, middels offensieve beveiliging heb je beter inzicht in de werkwijze van de cybercriminelen. Hiermee vergaar je informatie over hoe cybercriminelen stap voor stap hun aanval voorbereiden en uitvoeren. Met deze informatie kan je passende tegenmaatregelen nemen en eventueel overgaan tot politieke attributie.
Offensieve beveiliging is tevens een proactieve benadering om de computersystemen van de eigen organisatie te testen door georganiseerde aanvallen en technieken van een indringer te simuleren. En hierbij vanuit een hackersmentaliteit de zwakke punten en de kwetsbaarheden in de systemen en technologieën van de organisatie te ontdekken.
Om als een cybercrimineel te kunnen denken is het belangrijk om onderscheid te maken tussen reguliere offensieve beveiligingsactiviteiten en cyber criminele offensieve beveiligingsactiviteiten. De eerste categorie wordt vaak aangeduid als ethische hackers met een ‘white hat-mentaliteit’. De ethische hacker gaat middels zogenaamde penetratietesten op zoek naar kwetsbaarheden in de systemen. Deze heeft hiervoor toestemming van de betreffende organisatie en zal geen schade veroorzaken.
De tweede categorie zijn de ethische hackers met een ‘black hat-mentaliteit’. De black hat- mentaliteit houdt in dat deze hackers net als cybercriminelen (binnen de wettelijke bevoegdheden) acties uitvoeren die gericht zijn op financieel of politiek gewin of het verstoren en ontwrichten van de organisatie of samenleving. Ze doen dit echter zonder daadwerkelijk verstoringen te veroorzaken of zaken kapot te maken. Met andere woorden, ze gaan te werk als een cybercrimineel zonder het veroorzaken van schade en met medeweten van de beveiligingsmedewerkers van de betreffende organisaties.
Hoe offensieve beveiliging kan helpen
Door dezelfde activiteiten, middelen en technieken te gebruiken als cybercriminelen kun je je beter wapenen tegen hen en digitale criminaliteit vroegtijdig signaleren. De drie belangrijkste activiteiten die wij zien voor offensieve beveiliging zijn:
1. Social engineering: deze activiteit is gebaseerd op het testen van menselijk gedrag en zwakte door het ontwikkelen van aanval scenario’s. De aanval scenario’s worden op gecontroleerde wijze ingezet tegen de medewerkers van een organisatie. Voorbeelden van social engineering-activiteiten om vertrouwelijk informatie te verzamelen zijn: phishingaanvallen via e-mail, nabootsing van identiteit, proberen toegang te verkrijgen tot afgesloten ruimtes en telefoongesprekken voeren met werknemers.
2. Penetratietesten: het doel van een penetratietest is om voor een beperkte scope in een beperkte hoeveelheid tijd zoveel mogelijk kwetsbaarheden, exploits, configuratieproblemen en risico’s in systemen te ontdekken.
3. Red teaming: een red team- beoordeling lijkt sterk op een penetratietest. De activiteiten van een red team gaan echter niet alleen over het vinden van kwetsbaarheden en exploits, maar ook om de detectie- en responsmogelijkheden van een organisatie te testen bij het simuleren van real-world aanvallen.
- Om je op weg te helpen met het opzetten van een offensieve beveiliging strategie, geven wij hieronder vijf uitgangspunten.
- Zorg ervoor dat iemand binnen de organisatie beschikt over de kennis en vaardigheden om malware te reverse-engineeren: het demonteren van de malware. Hierdoor kun je kijken wat de malware doet en welke systemen het beïnvloedt. Alleen door de details te kennen, kun je tot een oplossing komen die de beoogde schadelijke effecten verminderen en kom je erachter waarvoor de malware is ontworpen en welke kwetsbaarheden het wilde misbruiken.
- Ontwikkel een cybersecuritylab: een faciliteit voor innovatief en experimenteel onderzoek naar kwaadaardige software en netwerkverkeerinspectie waar je een virtuele omgeving kunt bouwen. Hier kun je experimenteren met de effecten van malware op verschillende systemen.
- Gebruik bronnen zoals de Dark-web-zoekmachines en zoals .onion domeinen. Voorbeelden zijn Torch en DuckDuckGo. Dit zijn zoekmachines voor het niet standaard toegankelijke deel van het internet. De gegevens uit deze bronnen verschaffen waardevolle informatie over de actuele cyberbedreigingen en tools die worden gebruikt door cybercriminelen zoals Remote Access Trojans (RAT’s)9.
- Voer aanval-simulatieoefeningen uit op de digitale omgevingen. En voer deze oefeningen van zowel het externe als interne dreigingsperspectief uit. Voorbeelden van aanvals-simulatieoefeningen zijn het starten van Phishing campagnes, het uitvoeren van Compromise Assessments10, het uitvoeren van red teaming-oefeningen en het testen van draadloze netwerken (met tools als HackRF en Pineapple).
- Om inzicht te krijgen in ransomware aanvallen die daadwerkelijk plaatsvinden kun je gebruik maken van de MITRE ATT&CK kennisbank. In combinatie met door Lockheed Martin ontwikkelde stappenplan van cybercriminelen (de “Cyber Kill Chain”)12 biedt de MITRE ATT&CK kennisbank11 een goede basis voor de ontwikkeling van specifieke dreigingsmodellen en -methodologieën. Hierdoor krijg je beter inzicht in de aanvalsmethoden van cybercriminelen. Van de eerste toegang tot en met volledig controle van de doelsystemen. Het MITRE ATT&CK raamwerk kan ook worden gebruikt om de technische activiteiten die criminelen gebruiken te analyseren en te begrijpen. Deze kennis kan helpen bij het opbouwen van je technische kennisniveau over de huidige moderne cyberaanvallen.
Conclusie
Cybercriminelen ontwikkelen hun vaardigheden elke dag en lanceren hun aanvallen op alles wat voor hen economisch of politiek waardevol zou kunnen zijn. Om onszelf te beschermen, moeten we in dezelfde wapens investeren als de cybercriminelen. Wij geloven dat een offensieve beveiligingsstrategie de beste manier is om de cybercriminelen een stap voor te blijven. En om cybercriminaliteit beter te detecteren en aan te pakken. De vijf startpunten naar een offensieve beveiligingsstrategie zullen hierbij helpen. Door te beschikken over essentiële- en actuele dreigingsinformatie op basis van daadwerkelijke aanvallen zijn we in staat om de overstap te maken van defensieve naar offensieve beveiliging. Met een offensieve beveiliging strategie schakelen we de cyber criminele activiteiten uit en bouwen we aan een veiligere digitale samenleving.
1: Een Golden Ticket-aanval is wanneer een aanvaller volledige en onbeperkte toegang heeft tot een heel domein – alle computers, bestanden, mappen en vooral het toegangscontrolesysteem zelf.
2: Fully Undetectable Encrypters worden niet herkend door een antivirus en kunnen worden gebruikt om virussen, RAT’s, keyloggers en sommige spyware-tools te coderen. Een doelwit kan hierdoor niet zien dat het een virus is.
3: Domain Fronting is een techniek dat internetcensuur omzeilt door het domein van een HTTPS-verbinding te overschaduwen. Het biedt een gebruiker de mogelijkheid om verbinding te maken met een service die anders kan worden geblokkeerd door bijv. DPS of IP.
4: https://www.dhs.gov/news/2017/04/18/home-and-away-dhs-and-threats-america
5: https://www.nctv.nl/onderwerpen/cybersecuritybeeld-nederland/dreiging
6: https://nos.nl/artikel/2316120-universiteit-maastricht-kampt-met-ransomware-aanval.html
7: Steganografie is een methode om informatie op een ongewone plaats maar in het volle zicht te verstoppen: op een locatie opslaan waar niet-ingewijden klakkeloos aan voorbij gaan.
8: Maskerade is een type aanval waarbij de aanvaller zich voordoet als een geautoriseerde gebruiker van een systeem om er toegang toe te krijgen of grotere rechten te verkrijgen dan waarvoor hij is geautoriseerd.
9: https://veiliginternetten.nl/themes/situatie/wat-een-remote-access-tool/ Een RAT is software waarmee een ICT’er vanaf één basiscomputer kan inloggen op alle geregistreerde computers en deze op afstand kan beheren. Cybercriminelen maken gebruik hiervan om malware te maken en verspreiden.
