Assume Breach scenario.
Vandaag de dag zien we vaak headlines als “Organisatie X getroffen door cyberaanval” het zijn veelvoorkomende items in de krant of andere mediakanalen. Uit een onderzoek van de Kamer van Koophandel blijkt dat Nederlandse bedrijven, groot en klein, per week gemiddeld 294 cyberaanvallen te verduren krijgen. Een geslaagde hack kost een getroffen bedrijf gemiddeld 67.000 euro en dan hebben we het nog niet over eventuele maatschappelijke gevolgen die daaruit kunnen voortvloeien.
Een recent voorbeeld is de Atlassian Confluence Server kwetsbaarheid. Het Nationaal Cyber Security Centrum (NCSC) sprak van een ‘ernstige kwetsbaarheid’ met potentieel hoge schade. Toen de initiële Atlassian Confluence Server kwetsbaarheid openbaar werd gemaakt, werd deze beschreven als een “zero-day”. Dit houdt in dat er al misbruik gemaakt werd van de kwetsbaarheid voordat de softwareleverancier, in dit geval Atlassian, van het lek op de hoogte was en er een patch voor ontwikkeld had. In de praktijk komt het geregeld voor dat zero-days worden verkocht bijvoorbeeld via het dark web. Mede door zero-days ligt er te allen tijde gevaar op de loer voor organisaties. Voor veel bedrijven zijn de nieuwste ontwikkelingen lastig bij te benen. Het is daarom verstandig om de IT in jouw organisatie in te richten op de aanname dat hackers al zijn binnengedrongen, een zogeheten assume breach, zero trust mentaliteit.
Zero trust
Assume breach is een mentaliteit dat investeringen in cyberbeveiliging, architectuur – en ontwerp beslissingen beinvloed en aanstuurt. Assume breach gaat uit van een Zero Trust scenario. Het limiteert het vertrouwen in applicaties, services en netwerken door ze allemaal – zowel intern als extern – standaard te behandelen als onveilig en waarschijnlijk gecompromitteerd. Een denkbaar scenario is onder andere een medewerker die slachtoffer wordt van Social Engineering of een schoonmaker die is omgekocht om iets kwaadaardigs in het netwerk van de organisatie te plaatsen zodat daardoor controle op afstand mogelijk is voor een buitenstaander. Het is daarom dan ook belangrijk om te realiseren wat de kroonjuwelen zijn en waar de kroonjuwelen van jouw organisatie zich bevinden. Kwaadwillenden zullen tijdens een cyberaanval opzoek zijn naar deze kroonjuwelen. Het hanteren van een assume breach-aanpak helpt met het beperken van de gevolgen van digitale aanvallen en geslaagde hacks.
Test of je veilig bent
Wij zetten het assume breach gebaseerd pentest scenario regelmatig in tijdens opdrachten die wij uitvoeren bij onze klanten. De resultaten hiervan zijn vaak echte “eye-openers”. Bijna altijd lukt het ons in dergelijke onderzoeken om door te dringen tot de klant z’n digitale kroonjuwelen en uiteindelijk de totale controle over hun IT omgeving te verkrijgen. Het is voor te stellen dat wanneer iemand met kwade intenties hiertoe in staat is, dit een hoop schade zou kunnen aanrichten. Denk hierbij aan scenario’s als het installeren van ransomware (gijzelsoftware) op alle systemen waardoor computer systemen niet meer kunnen werken en als gevolg daarvan het productieproces plat leggen of het buitmaken van gevoelige gegevens. Wij merken dat onze klanten ons na afloop erg dankbaar zijn met de inzichten en adviezen die wij ze meegeven waarmee ze de juiste maatregelen tijdig kunnen treffen en beter beschermd te zijn.
Aanpak
In praktijk komen we vaak IT-architectuur inrichtingen tegen die verouderd zijn. Ze zijn jaren geleden ontworpen op destijds geldende architectuur principes. Deze principes zijn vaak niet meer up to date waardoor ze niet meer de juiste bescherming bieden tegen hedendaagse bedreigingen. Een assume breach mentaliteit moedigt organisaties aan om bewuster te worden van de gevaren en risico’s en hoe je deze inzichtelijk kunt krijgen. Denk hierbij aan het simuleren van scenario’s waarbij een kwaadwillende toegang heeft verkregen tot het interne netwerk. Hierbij biedt een interne penetratietest uitkomst. Een interne penetratietest helpt bij het identificeren van de zwakke plekken in het interne netwerk. Onderzoeksvragen zoals “Waar is een aanvaller toe in staat als deze in mijn netwerk zit?” en “Welke schade kan de aanvaller mijn bedrijf toedoen dan?” zijn bij een interne penetratietest relevant en wordt antwoord op gegeven.
De samenleving digitaliseert in rap tempo, dit zorgt ervoor dat cyber security een steeds belangrijker onderwerp wordt voor bedrijven en organisaties. Slachtoffer worden van een succesvolle hack leidt vaak tot financiële- en imagoschade en kan daarnaast ook maatschappelijke gevolgen hebben. Een interne penetratietest simuleert een kwaadwillende met toegang tot het interne netwerk in een gecontroleerde setting. De assume breach-aanpak is tijdens zo’n test het uitgangspunt. De zwakke plekken in de IT-beveiliging van het interne netwerk worden in kaart gebracht tijdens een interne penetratietest. Uiteindelijk volgt hieruit een advies met verbeterpunten aan de organisatie in kwestie. De adviezen uit de penetratietest zorgen ervoor dat jouw organisatie de kwetsbare plekken vroegtijdig, en op een gecontroleerde manier op kan lossen voordat het kwaad is geschied.
Één van onze ethisch hackers aan het woord
“Ik voer namens RedTeam regelmatig penetratietesten uit met het ‘assume breach’ scenario. Dit zijn pentesten waarbij het vertrekpunt vaak een werkstation van een interne medewerker is waarna het doel is te onderzoeken wat een kwaadwillende kan doen wanneer het systeem gecompromitteerd blijkt te zijn. Hiervoor kom ik veel op locatie bij de klant. Belangrijk tijdens het uitvoeren van deze pentesten is het onderhouden van korte lijnen met de systeembeheeders van de klant. Je kunt op deze manier kennis overdragen en in het geval van een verstoring of calamiteit snel schakelen. Deze werkwijze wordt doorgaans als prettig ervaren door de klant en leidt tot samenwerkingen waar beide partijen van leren.
Active Directory is een veelgebruikte oplossing voor het centraal beheer van systemen en gebruikers, dit is echter zo uitgebreid dat misconfiguraties bijna onvermijdelijk zijn. Het slim gebruik maken van misconfiguraties heeft mijn voorkeur tijdens het uitvoeren van dergelijke pentesten, omdat dit lastig te detecteren is door bijvoorbeeld anti-virus en reguliere kwetsbaarhedenscans geven hier nauwelijks tot geen inzicht in. Daarnaast ‘vervuilen’ IT-omgevingen door de jaren heen, denk bijvoorbeeld aan tijdelijk toekennen van extra rechten aan een gebruiker en welke daarna nooit meer ontnomen zijn. De IT-omgevingen zitten doorgaans vol met dit soort ‘artefacten’, waar een kwaadwillende misbruik van kan maken, met alle gevolgen van dien. Het geeft mij veel voldoening dat ik organisaties bewust kan maken van dergelijke risico’s en ze kan helpen beschermen tegen schade die erdoor kan ontstaan”
Laat RedTeam jouw IT-beveiliging pentesten.
Benieuwd geworden naar de mogelijkheden van een interne penetratietest op jouw IT-omgeving of wil je graag meer informatie? Neem dan geheel vrijblijvend contact met ons op of download onze Whitepaper over pentesten voor meer informatie over dit onderwerp.
