De hack bij TeamViewer begin deze maand, lijkt het werk te zijn van een georganiseerde bende die uiterst vernuftig te werk gaat. TeamViewer reageerde aanvankelijk door te ontkennen dat er bij hen was ingebroken. Dat zou waar kunnen zijn, maar dit zou even goed een typisch geval kunnen zijn waarbij het moeilijk is vast te stellen of cybercriminelen nu wel of niet binnen het bedrijfsnetwerk hebben huisgehouden. Als aanvallers zich eenmaal toegang tot een netwerk hebben verschaft, blijven zij daar vaak geruime tijd onopgemerkt in aanwezig. Als er dan onregelmatigheden in systemen optreden, wordt dat al snel toegeschreven aan storingen of bugs in plaats van cybercriminele activiteit.
Je kan cybercriminelen vergelijken met goochelaars die met vingervlugge trucs de aandacht van hun publiek afleiden. Criminelen sturen de aandacht van organisaties vaak de verkeerde richting op. Dit is ook een veel voorkomende techniek bij berovingen op straat. Iedereen wiens portemonnee in een drukke winkelstraat is gerold kan daarover meepraten. In het geval van TeamViewer lijkt het erop dat de hackers de DNS-systemen van het bedrijf massaal bestookten als afleidingsmanoeuvre. Zo konden ze onopgemerkt andere systemen met malware besmetten of andere geavanceerde aanvallen uitvoeren.
Wat kunnen ICT-professionals tegen dit soort aanvallen doen?
Overzicht en segmentatie vormen cruciale aspecten van netwerkbeveiliging. Veel organisaties maken voor de bescherming van hun netwerk gebruik van verouderde technieken zoals VLAN’s en toegangslijsten, terwijl ze er beter aan doen om applicaties te inspecteren op kwetsbaarheden en kwaadaardige code. VLAN’s worden ingezet voor layer 2-segmentatie, en toegangslijsten worden meestal gebruikt als primair uitgangspunt voor beveiligingscontroles. Het is makkelijk om te begrijpen waarom bedrijven denken dat ze hiermee hun interne netwerk voldoende hebben beschermd en voor de juiste mate van netwerksegmentatie hebben gezorgd. Maar in werkelijkheid bieden deze methoden louter bescherming tegen aanvallen die cybercriminelen al zo’n tien jaar niet meer gebruiken.
Wat kunnen we van dit beveiligingsincident leren?
De meest voorkomende aanvallen maken misbruik van kwetsbaarheden in applicaties die dagelijks worden gebruikt, zoals internetapplicaties, apps en databases. Inzicht verwerven in aanvallen en het segmenteren van netwerken op specifieke functionaliteit, bedrijfsproces of beveiligingstoepassing kunnen voor een drastische verbetering zorgen van het vermogen van bedrijven om cyberrisico’s te detecteren, blokkeren en terug te dringen. ICT-systemen en netwerken worden niet langer ingericht rond netwerktechnologieën, maar rond applicaties en functies. Toch merken we dat bedrijven hun beveiligingsmechanismen blijven baseren op netwerkgebaseerde aanvalsvectoren in plaats van bescherming te bieden voor ‘grensoverschrijdende’ applicaties, het internet en de cloud.
Wat nu?
Organisaties besteden maar zelden evenveel tijd en financiële middelen aan het bewaken, beschermen en blokkeren van applicaties binnen interne netwerken als aan het versterken van de beveiliging aan de netwerkrand. De belangrijkste reden hiervoor is dat zij worden afgeschrikt door de onterechte aanname dat het toepassen van beveiligingsmechanismen binnen interne netwerksegmenten gepaard gaat met complexiteit, verslechterde netwerkprestaties en andere nadelen. Deze gebrekkige beveiliging gaf de aanzet tot een groot aantal verwoestende cyberaanvallen, en met name aanvallen door insiders. Als systemen op afstand kunnen worden benaderd via een geïnfecteerde TeamViewer-applicatie, is de kans groot dat aanvallers deze systemen ook zullen gebruiken als springplank naar interne netwerksegmenten. Daar kunnen ze op hun gemak op zoek gaan naar andere kwetsbaarheden om te misbruiken. Het incident bij TeamViewer is op zich al erg genoeg, maar de gevolgen ervan kunnen werkelijk desastreuze proporties aannemen.
Wat kunnen we doen?
- Maak gebruik van beveiligingsoplossingen die in staat zijn om uw gedistribueerde netwerk integraal te bewaken. Deze oplossingen zouden idealiter mogelijkheden moeten bieden voor integratie en samenwerking met andere beveiligingstools. Dit maakt het mogelijk om informatie over bedreigingen uit verschillende locaties uit te wisselen en met elkaar in verband te brengen, en zo geavanceerde bedreigingen te herkennen en effectief af te slaan. De nieuwe Fortinet Security Fabric is een beveiligingsstrategie die speciaal voor dit doel is ontwikkeld.
- Zorg voor segmentatie en intelligente bewaking van het dataverkeer binnen het netwerk. Zo kunt u sneller afwijkend of onverwacht gedrag detecteren en bedreigingen te herleiden tot een specifieke netwerkzone. Dit is onder meer mogelijk met Fortinet ISFW (Internal Segmentation Firewall), een beveiligingsoplossing die voor netwerksegmentatie zorgt en in staat is om het verkeer te inspecteren en beschermen zonder nadelige gevolgen voor de netwerkprestaties.
- Implementeer een advanced threat detection (ATP)-oplossing die in staat is om de meest geavanceerde bedreigingen te detecteren en blokkeren. Tijdens de testen door ICSA Labs bood deze ATP-oplossing het hoogste detectiepercentage voor geavanceerde aanvallen. ATP onderscheidde zich daarnaast door het laagste aantal false positives (onterechte meldingen).
Vincent Zeebregts
