De sleutel tot het tijdig signaleren van zero-day-bedreigingen

Door de versnippering van data over eigen datacenters en cloud-applicaties zijn er steeds meer zorgen rondom het beveiligen van bedrijfsdata. IT-afdelingen hebben vaak niet de juiste tools om binnen dit versnipperde landschap ransomware-aanvallen snel genoeg te detecteren en succesvol te voorkomen. Vooral zero-day-bedreigingen vertegenwoordigen een probleem. Dit zijn nog onbekende kwetsbaarheden binnen applicaties waarvoor ontwikkelaars ‘zero days’ gehad hebben om ze op te lossen. Als deze kwetsbaarheden als eerste ontdekt worden door cybercriminelen, dan kunnen zij deze gebruiken voor cyberaanvallen of verkopen aan derden.

Accute gevaren van zero-day-bedreigingen

Zero-day-exploits zijn technieken voor het uitvoeren van aanvallen op systemen die een zero-day-kwetsbaarheid bevatten en kunnen maandenlang onopgemerkt blijven. Voor de beruchte SolarWinds-aanval misbruikten cybercriminelen een zero-day kwetsbaarheid om toegang te krijgen tot het netwerk en de data van Amerikaanse overheidsinstellingen en een groot aantal Fortune 500-ondernemingen. Daar werden miljarden gebruikers de dupe van.

Cybercriminelen gebruiken diverse technieken voor hun zero-day-aanvallen, zoals phishing. Daarbij verzenden ze een e-mail met een link of bijlage naar ontvangers bij uiteenlopende organisaties. Wanneer een ontvanger hierop klikt, kunnen cybercriminelen een zero-day-aanval uitvoeren op alle contactpersonen van deze ontvanger. Spear phishing is een variant, gericht op een specifiek persoon binnen een organisatie met speciale toegangsrechten. Cybercriminelen kunnen via deze persoon toegang krijgen tot zero-day-kwetsbaarheden en vervolgens tot bedrijfskritische systemen.

Een andere techniek is malvertising. Hierbij hacken cybercriminelen een website en injecteren ze code die hen in staat stelt om misbruik te maken van zero-day-kwetsbaarheden. Brute force wordt ook nog steeds vaak gebruikt. Daarbij voeren voeren cybercriminelen geautomatiseerd verschillende combinaties van gebruikersnamen en wachtwoorden in op een inlogscherm, net zo lang tot ze in het systeem zitten. Vervolgens maken ze misbruik van de zero-day-kwetsbaarheden.

Strategieën voor het detecteren van zero-day-exploits

Er zijn een paar manieren om verdacht gedrag te detecteren dat kan wijzen op een zero-day-exploit:

• Statistische monitoring – Leveranciers van anti-malwareoplossingen leveren statistieken aan over gedetecteerde exploits. Organisaties kunnen deze informatie in een machine learning-systeem zetten, zodat het nieuwe aanvallen kan identificeren. Deze aanpak is vatbaar voor false negatives (onterechte meldingen) en false positives (bedreigingen die als onschadelijk worden aangemerkt).
• Op signatures gebaseerde detectie van varianten – Alle exploits hebben een digitale handtekening (signature). Een organisatie kan die gebruiken als input voor machine learning-algoritmen en artificial intelligence-systemen, zodat die in staat zijn om varianten van eerdere cyberaanvallen te detecteren.
• Op gedrag gebaseerde monitoring – Op gedragspatronen gebaseerde detectiefunctionaliteit genereert meldingen als die verdachte scans en patronen in het netwerkverkeer bespeurt. In plaats van analyses van activiteit in het geheugen of het raadplegen van signatures worden cyberbedreigingen gedetecteerd op basis van hun interactie met apparaten.
• Hybride detectie – Een hybride detectieaanpak combineert al deze technieken om zero-day-exploits efficiënter te kunnen detecteren.

Hoe cyber deception-technologie zero-day-bedreigingen aanpakt

Cyber deception (cybermisleiding) speelt een steeds belangrijker rol binnen strategieën voor vroegtijdige bedreigingsdetectie. Deze methode maakt het mogelijk om zero-day-aanvallen te detecteren die door de mazen van conventionele beveiligingstools zijn geglipt. Cyber deception gebruikt op slimme wijze digitaal lokaas in de vorm van nepsystemen. Zodra hackers één van die systemen benaderen, worden IT-medewerkers attent gemaakt op de aanvalspoging. Doordat de hackers druk bezig zijn met de - losstaande - nepsystemen, , wint het IT-securityteamwaardevolle tijd om tegenmaatregelen te treffen.

Cyber deception-technologie kan tot wel honderden afleidingsmechanismen aan een netwerk toevoegen om cybercriminelen uit de buurt te houden van bedrijfskritische data en systemen. Die zien er voor cybercriminelen precies hetzelfde uit als reguliere IT-activa; pc’s, databases, netwerksystemen en IoT-apparatuur. De systemen zijn uitgerust met sensoren die een melding van het incident naar alle belangrijke betrokkenen en beveiligingssystemen sturen, voordat cybercriminelen toegang tot echte bedrijfssystemen of –gegevens kunnen krijgen. Deze meldingen bieden organisaties gedetailleerd inzicht in de activiteiten, aanvalstrajecten en technieken van cybercriminelen.

Alleen vroegtijdige detectie kan zero day-bedreigingen een halt toeroepen

Om beveiligingsrisico’s te reduceren, moeten organisaties hun focus richten op de ontwikkeling van effectievere oplossingen die op specifieke risico’s zijn gericht, zoals ransomware en andere geavanceerde cyberbedreigingen. Het is van cruciaal belang voor IT-afdelingen om aanvallen direct te detecteren, zodat cybercriminelen geen kans krijgen om data te versleutelen, wissen of naar buiten te smokkelen.

Organisaties die een gelaagde beveiligingsaanpak gebruiken, waarbinnen deception-technologie een kerncomponent vormt, bevinden zich in een ideale positie om de activiteiten van cybercriminelen te dwarsbomen, lang voordat deze de kans krijgen om hun aanval te voltooien..

Door: Dyon De Bruijne, Principal Consultant bij Commvault