Een gids voor het verminderen van aanvalsoppervlakken

Cyberbeveiliging
Een gids voor het verminderen van aanvalsoppervlakken

U heeft geen controle over wanneer de volgende kritieke kwetsbaarheid zich voordoet. U kunt bepalen hoeveel van uw omgeving wordt blootgesteld wanneer dit het geval is. Het probleem is dat de meeste teams meer met internet te maken hebben dan ze zich realiseren. Intruder’s hoofd Beveiliging onderzoekt waarom dit gebeurt en hoe teams dit doelbewust kunnen beheren.

De tijd om te exploiteren wordt korter

Hoe groter en minder gecontroleerd uw aanvalsoppervlak is, hoe meer mogelijkheden er zijn voor exploitatie. En de tijd om hierop actie te ondernemen wordt snel kleiner. Voor de ernstigste kwetsbaarheden kan de openbaarmaking aan uitbuiting slechts 24 tot 48 uur duren. Zero Day Clock projecteert dat de time-to-exploit in 2028 slechts enkele minuten zal zijn.

Dat is niet veel tijd als je bedenkt wat er moet gebeuren voordat een patch wordt geïmplementeerd: scans uitvoeren, wachten op resultaten, tickets aanmaken, prioriteiten afspreken, ook van toepassing zijn op ‘de oplossing’, en het ‘verifiëren’ graag achterwege laten als dat gemakkelijker is. Als de openbaarmaking buiten kantooruren plaatsvindt, duurt het zelfs nog langer.

In veel gevallen hoeven kwetsbare systemen helemaal niet op het internet gericht te zijn. Met zichtbaarheid van het aanvalsoppervlak kunnen teams onnodige blootstelling vooraf verminderen en de strijd helemaal vermijden wanneer een nieuwe kwetsbaarheid zich voordoet.

Wanneer er op zaterdag een nuldag valt

ToolShell was een niet-geauthenticeerde kwetsbaarheid voor het uitvoeren van externe code in Microsoft SharePoint. Als een aanvaller het zou kunnen bereiken, zou hij of zij code op uw server kunnen uitvoeren. Omdat SharePoint met Active Directory is verbonden, zouden ze in een zeer gevoelig deel van uw omgeving beginnen.

Dit was een zero-day, wat betekent dat aanvallers er misbruik van maakten voordat er een patch beschikbaar was. Microsoft maakte dit zaterdag bekend en bevestigde dat Chinese door de staat gesponsorde groepen het al twee weken daarvoor hadden uitgebuit. Tegen de tijd dat de meeste teams hiervan op de hoogte waren, zochten opportunistische aanvallers naar blootgestelde instanties en maakten daar op grote schaal misbruik van.

Uit het onderzoek van Intruder zijn op het moment van bekendmaking duizenden openbaar toegankelijke SharePoint-instanties gebleken, ondanks het feit dat SharePoint niet op het internet gericht hoeft te zijn. Al deze blootstellingen waren onnodig – en elke niet-gepatchte server was een open deur.

Waarom belichtingen worden gemist

Dus waarom worden blootstellingen zo vaak gemist door beveiligingsteams?

Bij een typische externe scan liggen de informatiebevindingen onder honderden kritische punten, hoogtepunten, mediums en dieptepunten. Maar die informatie kan detecties omvatten die een reëel blootstellingsrisico vertegenwoordigen, zoals:

  • Een blootgestelde SharePoint-server
  • Een database die is blootgesteld aan internet, zoals MySQL of Postgres
  • Andere protocollen, die normaal gesproken gereserveerd moeten worden voor het interne netwerk, zoals RDP en SNMP

Hier is een echt voorbeeld van hoe dat eruit ziet:

In termen van kwetsbaarheidsscans is het soms zinvol om deze als informatie te classificeren. Als de scanner zich op hetzelfde privé-subnet bevindt als de doelen, kan een blootgestelde service een laag risico met zich meebrengen. Maar wanneer diezelfde dienst wordt blootgesteld aan internet, brengt dit een reëel risico met zich mee, zelfs zonder dat er een bekende kwetsbaarheid aan verbonden is. Nog.

Het gevaar is dat traditionele scanrapporten beide gevallen op dezelfde manier behandelen, waardoor de echte risico’s door de gaten glippen.

Wat proactieve aanvalsoppervlaktereductie eigenlijk inhoudt

Er zijn drie belangrijke elementen om het verkleinen van het aanvalsoppervlak in de praktijk te laten werken.

1. Ontdekking van activa: definieer uw aanvalsoppervlak

Voordat u uw aanvalsoppervlak kunt verkleinen, heeft u een duidelijk beeld nodig van wat u bezit en wat extern bereikbaar is. Dat begint met het identificeren van schaduw-IT: systemen die uw organisatie bezit of beheert, maar die momenteel niet wordt gescand of gemonitord.

Het dichten van die kloof is belangrijk, en er zijn drie belangrijke elementen die we aanbevelen:

  1. Integratie met uw cloud- en DNS-providers zodat wanneer er nieuwe infrastructuur wordt gecreëerd, deze automatisch wordt opgepakt en gescand. Dit is een gebied waarop verdedigers een echt voordeel hebben: je kunt rechtstreeks integreren met je eigen omgevingen, aanvallers niet.
  2. Subdomeinopsomming gebruiken om extern bereikbare hosts weer te geven die niet in uw inventaris voorkomen. Dit is vooral van belang na overnames, waarbij u mogelijk infrastructuur erft waar u nog geen zicht op heeft.
  3. Identificeren van de infrastructuur die wordt gehost bij kleinere, onbekende cloudproviders. Mogelijk hebt u een beveiligingsbeleid dat ontwikkelingsteams verplicht alleen uw primaire cloudprovider te gebruiken, maar u moet controleren of de praktijk wordt gevolgd.

Bekijk een diepgaande duik in deze technieken:

2. Behandel blootstelling als risico

De volgende stap is het behandelen van blootstelling aan aanvalsoppervlakken als een op zichzelf staande risicocategorie.

Dat vereist een detectievermogen dat identificeert welke informatiebevindingen een blootstelling vertegenwoordigen en de juiste ernst toekent. Een blootgesteld SharePoint-exemplaar kan bijvoorbeeld redelijkerwijs worden behandeld als een probleem met een gemiddeld risico.

Het betekent ook dat er ruimte moet worden vrijgemaakt voor dit werk hoe je prioriteiten stelt. Als strategische inspanningen zoals het verkleinen van het aanvalsoppervlak altijd concurreren met dringende patches, zullen ze altijd verliezen. Dat kan betekenen dat u elk kwartaal tijd moet vrijmaken om de blootstelling te beoordelen en te verminderen, of dat u duidelijk eigenaarschap moet toekennen, zodat iemand er verantwoordelijk voor is – niet alleen wanneer een crisis toeslaat, maar routinematig.

3. Continue monitoring

Het verkleinen van het aanvalsoppervlak is geen eenmalige oefening. De blootstelling verandert voortdurend: een firewallregel wordt gewijzigd, een nieuwe service wordt geïmplementeerd, een subdomein wordt vergeten – en uw team moet deze wijzigingen snel detecteren.

Het duurt enige tijd om kwetsbaarheidsscans uit te voeren, en het dagelijks uitvoeren van volledige scans is doorgaans niet mogelijk. Dagelijkse poortscanning past beter. Het is lichtgewicht, snel en betekent dat u nieuw blootgestelde services kunt detecteren zodra ze verschijnen. Als iemand een firewallregel bewerkt en per ongeluk Remote Desktop vrijgeeft, komt u erachter op de dag dat dit gebeurt, en niet bij de volgende geplande scan, die wel een maand later kan zijn.

Minder blootgestelde diensten, minder verrassingen

Als onnodige diensten überhaupt niet aan het licht komen, is de kans veel kleiner dat ze betrokken raken bij de massale uitbuiting die volgt op een kritische onthulling. Dat betekent minder verrassingen, minder urgent gedoe en meer tijd om doelbewust te reageren wanneer er nieuwe kwetsbaarheden opduiken.

Intruder automatiseert dit proces – van het ontdekken van schaduw-IT en het monitoren van nieuwe blootstellingen tot het waarschuwen van uw team op het moment dat er iets verandert – zodat uw beveiligingsteam de blootstelling voor kan blijven in plaats van erop te reageren.

Als u wilt zien wat er in uw omgeving zichtbaar is, boek dan een demo van Intruder.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

FortiGate-apparaten worden misbruikt om netwerken te doorbreken en inloggegevens van serviceaccounts te stelen

APT28 gebruikt BEARDSHELL- en COVENANT-malware om Oekraïens leger te bespioneren

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]