In het steeds evoluerende landschap van cyberbeveiliging zijn aanvallers altijd op zoek naar kwetsbaarheden en exploits binnen organisatorische omgevingen. Ze richten zich niet alleen op afzonderlijke zwakke punten; ze zijn op jacht naar combinaties van belichtingen en aanvalsmethoden die hen naar het gewenste doel kunnen leiden.
Ondanks de aanwezigheid van talloze beveiligingstools worden organisaties vaak geconfronteerd met twee grote uitdagingen; Ten eerste missen deze tools vaak het vermogen om bedreigingen effectief te prioriteren, waardoor beveiligingsprofessionals in het ongewisse blijven over welke kwesties onmiddellijke aandacht behoeven. Ten tweede bieden deze tools vaak geen context over hoe individuele problemen samenkomen en hoe aanvallers deze kunnen gebruiken om toegang te krijgen tot kritieke bedrijfsmiddelen. Dit gebrek aan inzicht kan ertoe leiden dat organisaties proberen alles op te lossen of, nog gevaarlijker, helemaal niets aan te pakken.
In dit artikel verdiepen we ons in zeven real-life aanvalsscenario’s die onze interne experts tegenkwamen tijdens het gebruik ervan Het blootstellingsbeheerplatform van XM Cyber in de hybride omgevingen van klanten gedurende 2023. Deze scenario’s bieden waardevolle inzichten in de dynamische en steeds veranderende aard van cyberdreigingen.
Van ingewikkelde aanvalspaden die meerdere stappen vereisen tot alarmerend eenvoudige aanvalspaden met slechts een paar stappen, ons onderzoek onthult een duizelingwekkende realiteit: 75% van de kritieke activa van een organisatie kan worden aangetast in hun huidige veiligheidssituatie. Nog verontrustender is dat 94% van deze kritieke bedrijfsmiddelen in vier of minder stappen vanaf het eerste inbreukpunt in gevaar kan worden gebracht. Deze variabiliteit onderstreept de noodzaak van de juiste instrumenten om effectief op deze bedreigingen te anticiperen en deze te dwarsbomen.
Laten we nu, zonder verder oponthoud, deze echte aanvalspaden verkennen en de lessen die ze ons leren.
Verhaal #1
Klant: Een groot financieel bedrijf.
Scenario: Routinematig klantgesprek.
Aanvalspad: Het exploiteren van DHCP v6-broadcasts om een Man-in-the-Middle-aanval uit te voeren, waardoor mogelijk ongeveer 200 Linux-systemen in gevaar kunnen worden gebracht.
Invloed: Compromis van talrijke Linux-servers met potentieel voor data-exfiltratie of losgeldaanvallen.
Sanering: Het uitschakelen van DHCPv6 en het patchen van kwetsbare systemen, samen met het opleiden van ontwikkelaars over SSH-sleutelbeveiliging.
In dit scenario werd een groot financieel bedrijf geconfronteerd met de dreiging van een Man-in-the-Middle-aanval als gevolg van onbeveiligde DHCP v6-uitzendingen. De aanvaller had dit beveiligingslek kunnen misbruiken om ongeveer 200 Linux-systemen binnen te dringen. Deze inbreuk had kunnen resulteren in datalekken, losgeldaanvallen of andere kwaadaardige activiteiten. Het herstel omvatte het uitschakelen van DHCPv6, het patchen van kwetsbare systemen en het verbeteren van de educatie van ontwikkelaars over de beveiliging van SSH-sleutels.
Verhaal #2
Klant: Een grote reisorganisatie.
Scenario: Integratie van infrastructuur na de fusie.
Aanvalspad: Verwaarloosde server met niet-toegepaste patches, waaronder PrintNightmare en EternalBlue, waardoor mogelijk kritieke activa in gevaar komen.
Invloed: Potentieel risico voor kritieke activa.
Sanering: Het uitschakelen van de onnodige server, waardoor het algehele risico wordt verminderd.
In dit scenario slaagde een grote reisorganisatie er na een fusie niet in om kritische patches aan te brengen op een verwaarloosde server. Door dit toezicht waren ze kwetsbaar voor bekende kwetsbaarheden zoals PrintNightmare en EternalBlue, waardoor kritieke activa mogelijk in gevaar kwamen. De oplossing was echter relatief eenvoudig: het uitschakelen van de onnodige server om het algehele risico te verminderen.
Verhaal #3
Klant: Een grote zorgaanbieder.
Scenario: Routinematig klantgesprek.
Aanvalspad: Een aanvalspad dat gebruikmaakt van de groepsmachtigingen van geverifieerde gebruikers om mogelijk toegang tot domeinbeheerders te verlenen.
Invloed: Compleet domeincompromis.
Sanering: Prompt verwijderen van machtigingen om paden te wijzigen.
In dit scenario werd een grote zorgaanbieder geconfronteerd met het alarmerende vooruitzicht van een aanvalspad dat misbruik maakte van de groepsrechten van geauthenticeerde gebruikers, waardoor mogelijk domeinbeheerderstoegang werd verleend. Er moest snel actie worden ondernomen, waarbij de machtigingen voor het wijzigen van paden onmiddellijk moesten worden ingetrokken.
Verhaal #4
Klant: Een mondiale financiële instelling.
Scenario: Routinematig klantgesprek.
Aanvalspad: Complex pad met serviceaccounts, SMB-poorten, SSH-sleutels en IAM-rollen, met mogelijk kritieke activa in gevaar.
Invloed: Potentieel rampzalig als het wordt uitgebuit.
Sanering: Snelle verwijdering van privé-SSH-sleutels, resetten van IAM-rolrechten en verwijdering van gebruikers.
In dit scenario werd een mondiale financiële instelling geconfronteerd met een complex aanvalspad waarbij gebruik werd gemaakt van serviceaccounts, SMB-poorten, SSH-sleutels en IAM-rollen. Het potentieel voor compromittering van kritieke activa doemde groot op. Snel herstel was noodzakelijk, waaronder het verwijderen van privé-SSH-sleutels, het opnieuw instellen van IAM-rolrechten en het verwijderen van gebruikers.
Verhaal #5
Klant: Een openbaar vervoersbedrijf.
Scenario: Onboarding bijeenkomst.
Aanvalspad: Direct pad van een DMZ-server naar domeincompromis, wat mogelijk kan leiden tot compromittering van de domeincontroller.
Invloed: Potentieel compromis van het hele domein.
Sanering: Machtigingen beperken en gebruikers verwijderen.
In dit scenario ontdekte een openbaarvervoerbedrijf een direct pad van een DMZ-server naar een domeincompromis, wat uiteindelijk had kunnen leiden tot het compromitteren van het hele domein. Onmiddellijk herstel was van cruciaal belang, waarbij de rechten werden beperkt en gebruikers werden verwijderd.
Verhaal #6
Klant: Een ziekenhuis met een sterke focus op veiligheid.
Scenario: Routinematig klantgesprek.
Aanvalspad: Verkeerde configuratie van Active Directory waardoor elke geverifieerde gebruiker wachtwoorden opnieuw kan instellen, waardoor een breed aanvalsoppervlak ontstaat.
Invloed: Mogelijke accountovernames.
Sanering: Versterking van de Active Directory-beveiliging en een uitgebreid herstelplan.
Dit scenario onthulde de kwetsbaarheid van een ziekenhuis als gevolg van een verkeerde configuratie van Active Directory. Door deze verkeerde configuratie kon elke geverifieerde gebruiker wachtwoorden opnieuw instellen, waardoor het aanvalsoppervlak aanzienlijk werd vergroot. Het herstel maakte een versterking van de Active Directory-beveiliging en de implementatie van een alomvattend herstelplan noodzakelijk.
Verhaal #7
Klant: Een groot scheepvaart- en logistiekbedrijf.
Scenario: Routinematig klantgesprek.
Aanvalspad: Een ingewikkeld aanvalspad van een werkstationmachine naar Azure, waardoor mogelijk de hele bedrijfsomgeving in gevaar komt.
Invloed: Potentieel gevaar voor de gehele bedrijfsomgeving.
Sanering: Aanpassingen van gebruikersrollen en probleemoplossing.
In dit scenario ontdekte een groot transport- en logistiekbedrijf een ingewikkeld aanvalspad waardoor aanvallers de hele bedrijfsomgeving konden compromitteren. Het herstel vereiste aanpassingen aan de gebruikersrollen en een grondige oplossing van de geïdentificeerde problemen.
De grote afhaalmaaltijd
De rode draad in deze scenario’s is dat elke organisatie over robuuste beveiligingsmaatregelen beschikte, zich aan de beste praktijken hield en geloofde dat ze de risico’s ervan begrepen. Zij bekeken deze risico’s echter vaak geïsoleerd, waardoor een vals gevoel van veiligheid ontstond.
Gelukkig konden deze organisaties met de juiste tools een contextgebaseerd inzicht krijgen in hun omgeving. Ze leerden hoe verschillende problemen elkaar kunnen en zullen kruisen en gaven daarom prioriteit aan noodzakelijke herstelmaatregelen, om hun veiligheidspositie te versterken en deze bedreigingen effectief te beperken.
