In de mindset van een threat actor
WEBINAR ON DEMAND
VERPLAATS U IN DE MINDSET VAN EEN THREAT ACTOR
Cyberaanvallen nemen toe, en nieuwe regelgeving zoals NIS2 treedt in werking. Daarom is het cruciaal om effectieve crisismanagement- en resilience plannen op te stellen. In dit webinar zullen we een cybercriminele bende tegenover een crisismanagementteam plaatsen, waardoor u in de mindset van een threat actor wordt geplaatst.
U krijgt inzicht in de processen die een threat actor doorloopt tijdens hun aanval op uw organisatie en begrijpt welke sleutelacties u nu kunt ondernemen om ervoor te zorgen dat uw crisismanagementteams goed gepositioneerd zijn om te reageren op een mogelijke cyberaanval.
Effectief Crisismanagement Gedurende de Levenscyclus van een Cyberaanval
In de eerste twee derde van 2023 zagen we wereldwijd meer ransomware-aanvallen dan in het hele jaar 2022. Toezichthouders erkennen deze toenemende bedreigingen en implementeren regelgeving zoals NIS2, DORA en UK FCA/PRA Operationele Resilience om te zorgen dat organisaties veerkrachtig en klaar zijn om te reageren. Daarom is het nooit eerder zo vitaal geweest om effectieve crisismanagement- en resilience regelingen op zijn plaats te hebben.
In dit webinar zullen Secura's Senior Crisisconsultant, Luke Fletcher, en Direct Line Group's Red Team Lead, Daniel Maine, door de levenscyclus van een cyberaanval lopen vanuit het perspectief van een threat actor, terwijl ze tonen hoe beste praktijken van crisismanagement en resilience regelingen u kunnen voorbereiden op succes.
Met jarenlange ervaring in het begrijpen van hoe threat actors opereren, het uitvoeren van red teaming opdrachten en het reageren op cyberaanvallen, zal Daniel de rol van de threat actor op zich nemen, demonstrerend hoe zij hun slachtoffers zouden targeten en de nieuwste tactieken die zij gebruiken bij het uitvoeren van aanvallen.
Luke zal de rol spelen van het crisismanagementteam van het onfortuinlijke slachtoffer, waarbij hij het verschil toont dat effectieve resilience en crisismanagementprocedures kunnen maken bij het reageren op elke fase van een cyberaanval.
Doelgroep:
- Crisismanagement, Business Continuity, Risico- & Resilience professionals
- Chief Information Security Officers en cyberprofessionals verantwoordelijk voor cyberresilience en respons
- Senior Managers betrokken bij crisisrespons.
QUESTIONS & ANSWERS
Vind hieronder de vragen die zijn gesteld tijdens het webinar over Cyber Crisis Management.
1. Ik neem aan dat er geen "Tripadvisor" voor Ransomware-agenten is - hoe waarschijnlijk is het dat je gegevens worden hersteld als je betaalt?
Het antwoord hangt af van de situatie. Het is in het belang van de threat actor om je te helpen herstellen nadat je het losgeld hebt betaald, om hun eigen geloofwaardigheid voor toekomstige aanvallen op te bouwen. Er zijn veel voorbeelden van organisaties die met succes herstellen na betaling. Dat gezegd hebbende, de aangeboden decryptietool werkt mogelijk niet of is niet betrouwbaar, en je kunt problemen tegenkomen in het herstelproces.
2. Is het jullie ervaring dat veel organisaties daadwerkelijk uitvoerbare Incident Response Plannen hebben die worden gesimuleerd en vervolgens daadwerkelijk worden gevolgd in het geval van een ernstig incident? Of is het meer zo dat het Incident Response Plan bestaat om aan compliance vereisten te voldoen, maar ze niet uitvoerbaar/gepraktiseerd zijn, en organisaties eerder uitreiken naar incidentrespons experts?
Dit is een geweldige vraag. Helaas worden de plannen vaak ontwikkeld om aan compliance te voldoen. In onze ervaring is het meest waardevolle aspect van deze plannen het ontwikkelen ervan, waar belangrijke belanghebbenden daadwerkelijk hun reactie kunnen bespreken en samenwerken.
Ze worden effectiever met simulaties en daadwerkelijke live incidenten wanneer geleerde lessen worden geïmplementeerd. Aanpasbaarheid is essentieel, aangezien elk incident uniek is, maar het niet hebben van een proces is nadelig.
3. Ik maak me zorgen over single sign on, omdat het threat actors gemakkelijk toegang kan geven tot meerdere systemen zodra er een inbreuk is. Als die systemen OT-gerelateerd zijn, is dat een echt zorgpunt. Zouden jullie SSO adviseren voor OT-gerelateerde systemen? Ik ben niet overtuigd van de voordelen ten opzichte van het risico. Vooral als het aantal gebruikers laag is, minder dan 5.
Het antwoord kan afhangen van met wie je spreekt, maar ik ben geneigd het eens te zijn met je uitspraak dat SSO, vooral op OT en kritieke systemen, een aanzienlijk risico kan vormen. Vanuit het perspectief van een aanvaller, als ik een intern activum kan compromitteren en ontdek dat een applicatie binnen de omgeving automatisch authenticeert via SSO, kan ik met gemak door de omgeving bewegen.
Vaak spreken we in defensieve beveiliging over "Privilegescheiding". Mijn mening is dat, vooral in kritieke systemen, de scheiding van privileges zelfs vanuit vertrouwde interne activa moet worden afgedwongen.
4. Kunnen jullie ingaan op incidentrespons voor een grote meerlaagse organisatie en hoe crisismanagement op verschillende niveaus te hanteren (bijvoorbeeld: wereldwijde sturing vanuit het hoofdkantoor naar operationele taken op lokale locaties)
Hopelijk heeft de uitleg tijdens het webinar je vraag beantwoord, maar om nog iets verder uit te breiden: voor grotere organisaties is het hebben van een crisisraamwerk dat detailleert hoe je operationele lokale teams zullen werken met de strategische teams van cruciaal belang.
Je zou rollen en verantwoordelijkheden op elk niveau moeten verduidelijken en de beste manieren identificeren voor deze groepen om samen te werken. Dit kan gedaan worden door effectieve briefings, situatierapporten, en uiteindelijk dit te oefenen in simulaties, etc.
5. Zijn er specifieke overwegingen voor cyberincidentrespons voor de OT-omgeving?
Zeker wel. Zoals vermeld tijdens het webinar, kunnen threat actors mogelijk OT-systemen manipuleren om meer fysieke schade te veroorzaken, of op zijn minst dreigen om druk uit te oefenen. Ze kunnen ook de productie stopzetten of vertragen. Er zijn veel specifieke risico's gerelateerd aan de OT-omgeving, met wat meer informatie op onze website als dit hier nuttig kan zijn.
6. Gezien het instappunt van zwakke wachtwoorden in ABC/CBA, hoeveel verbetering zou MFA bieden?
MFA biedt altijd een aanzienlijke verbetering in het voorkomen van compromissen, vooral met veelvoorkomende initiële toegangsvectoren die focussen op inloggegevens. Echter, tijdens Red Team-opdrachten zien we nog steeds vaak dat organisaties het niet grondig implementeren over hun hele domein, waardoor aanvallers gebieden kunnen targeten.
Het moet ook worden opgemerkt dat er publiekelijk beschikbare tools zijn die het vangen van de MFA-token tijdens phishingcampagnes mogelijk maken (zoals evilginx2), waardoor een aanvaller rekeningen kan compromitteren ongeacht.
De sleutel om dit vanuit een incidentrespons perspectief te identificeren, is ervoor te zorgen dat inlogpogingen zijn ingesteld om locatiegebaseerde MFA-toegangspogingen te loggen om "uit de norm" inlogpogingen te identificeren.
7. Zijn er bekende gevallen waarbij blobopslag van een groot techbedrijf is gecompromitteerd en versleuteld (dus geen gehoste bestandsservers maar daadwerkelijke cloudopslag)? Zoals Google Drive...
Aanvallen tegen blob/cloudopslag zijn minder gebruikelijk, maar worden nog steeds uitgevoerd. S3 was een significant onderdeel in de Capital One-inbreuk een paar jaar terug. Vaak zijn deze inbreuken te wijten aan misconfiguraties die vermeden hadden kunnen worden.
Terwijl ransomware nog steeds deze opslagoplossingen kan beïnvloeden, wordt de waarschijnlijkheid voornamelijk verminderd door de mogelijkheid om bestandsonveranderlijkheid te configureren en het bereik van flexibele herstelopties. De manier waarop de blob/cloudopslagoplossingen zouden worden beïnvloed, is wanneer ze worden gesynchroniseerd met lokale en on-premise oplossingen (vergelijkbaar met OneDrive en DropBox).
Als de lokale kopie wordt versleuteld, kan het terug synchroniseren en de in de cloud opgeslagen kopieën naar de versleutelde variant veranderen. Vaker wel dan niet, zouden threat actors die geen toegang hebben tot lokale opslag waarschijnlijk exfiltreren en afpersen zonder encryptie, wat we recentelijk in meer gevallen hebben gezien.
8. Wanneer jullie naar het kader in fase 4 kijken, waar plaatsen jullie de specifieke rampenherstelplannen per team in het kader?
In het kader, op de operationele laag, zou ik een technische vertegenwoordiger verwachten die deel uitmaakt van het team om te adviseren over herstelplannen en een plan voor herstel rond de specificaties van het incident samen te stellen. Vervolgens zou ik op de tactische laag een senior lid van het IT-team verwachten die hierover holistischer kan rapporteren aan de bredere organisatie, geschatte tijdframes en kosten levert, en de zakelijke visie op herstelprioritering verkrijgt.
9. Wat is jullie advies om de bescherming voor admin en domein admin accounts te verhogen?
Het meest voorkomende probleem dat ik zie bij het uitvoeren van opdrachten is het grote aantal administratieve accounts. Het eerste voorstel zou zijn om het aantal hooggeprivilegieerde accounts te beperken tot degenen die ze nodig hebben. Bovendien zou een gebruiker die domeinadministratieve toegang nodig heeft, niet rechtstreeks op dit toegangsniveau moeten inloggen.
Een manier om dit te bestrijden is het implementeren van een "2e admin" beleid, waarbij het standaardaccount van de gebruiker weinig privileges heeft, en om hun administratieve activiteiten uit te voeren, zouden ze opnieuw moeten inloggen, met het hoger bevoorrechte account. Alle administratieve accounts zouden ook een aanzienlijk strenger wachtwoordbeleid moeten hebben om de potentie van aanvallers om extract hashes te kraken te verminderen.
Als laatste veiligheidsmaatregel, het toevoegen van tools voor gebruikersgedragsanalyse om onregelmatigheden in accountgebruik te spotten zal helpen een vroegtijdige waarschuwing te bieden.
10. Kunnen jullie me vertellen hoe een aanval in een vroeg stadium te detecteren en te stoppen? We proberen dit te doen met de cyber kill chain in gedachten.
Vanuit het perspectief van de Cyber Kill Chain, zullen je bijna nooit iets opmerken in de verkenningsfase, noch de wapening. Daarom is levering de eerste keer dat je een aanvaller definitief kunt spotten. Sterke controles op e-mailbeveiliging, perimeterbeveiliging, en het allerbelangrijkste gebruikerseducatie zullen vroege preventie tegen een inbreuk op de externe perimeter toestaan.
Desalniettemin, het is nog steeds noodzakelijk om na te denken over interne dreigingen en bestaande verbindingen (bijv. business to business). Dit is waar ik graag de metafoor van epidemiologie neem. In de verspreiding van een pandemie zijn mensen geïnfecteerd en vaak onbewust totdat symptomen ontstaan. We hebben vaccinaties om infecties te helpen beperken. Je kunt tools zoals EDR/AV zien als vaccinaties, hoewel ze helpen, voorkomen ze niet volledig infectie.
Daarom hebben we wetenschappers en artsen nodig om vroege symptomen te identificeren en het publiek te helpen begrijpen hoe die symptomen te herkennen. Dit terugnemend naar Cyber Security, een robuuste log-/monitoringoplossing die doorvoert naar een SIEM met specifieke en op maat gemaakte regelbases zal de SOC in staat stellen als de dokters te handelen en waarschuwen voor vroege symptomen van infectie.
Combineer dat met een informatief Security Awareness Programma voor uw medewerkers, dat je personeel in staat stelt als het bewuste publiek te handelen, die actie kunnen ondernemen om te melden en soms verdere verspreiding van een infectie te voorkomen.
OVER DE SPREKERS
Luke Fletcher, Senior Crisis Consultant at Secura
Luke Fletcher is een Senior Crisisconsultant bij Secura met meer dan 10 jaar internationale ervaring in crisismanagement en operationele veerkracht. Luke heeft een BSc (Hons) First Class in Disaster Management & Emergency planning en heeft gewerkt binnen de financiële sector, energie en hoger onderwijs. Hij is een gepassioneerde professional en heeft intern crisismanagementcapaciteiten opgebouwd, de respons op grote crises gecoördineerd en talrijke crisis- en resilience projecten aan klanten geleverd, inclusief het ontwerp en de levering van oefeningen voor cybercrisis.
Daniel Maine, Red Team Lead at Direct Line Group
Daniel Maine is de Red Team Lead bij Direct Line Group met 15 jaar ervaring in Cyber Security rollen, inclusief Analist, Incident Respons en Offensieve Beveiliging. Daniel heeft gewerkt in diverse sectoren, waaronder Juridisch, Olie & Gas en Verzekeringen. Daniel heeft een passie voor mentorschap en het onderwijs van zowel offensieve als defensieve beveiliging.
DOWNLOAD BROCHURE
MEER INFORMATIE
Wilt u meer weten over Cyber Crisis Management? Vul het formulier in en we nemen binnen een werkdag contact met u op.
OVER SECURA
Secura is een toonaangevend bedrijf op het gebied van cyberbeveiliging. Onze klanten variëren van overheid en zorg tot financiën en industrie. Secura biedt technische diensten aan, zoals vulnerability assessments, penetratietesten en Red Teaming. We bieden ook certificering voor IoT en industriële omgevingen, evenals audits, forensische diensten en awarenesstrainingen.
Ons doel is om uw cyberweerbaarheid te vergroten. Wij zijn een Bureau Veritas-bedrijf. Bureau Veritas (BV) is een beursgenoteerde onderneming die gespecialiseerd is in testen, inspecteren en certificeren. BV is opgericht in 1828, heeft ruim 80.000 medewerkers en is actief in 140 landen. Secura is de hoeksteen van de cyberbeveiligingsstrategie van Bureau Veritas.