De hedendaagse beveiligingsleiders moeten omgaan met een voortdurend evoluerend aanvalsoppervlak en een dynamische dreigingsomgeving als gevolg van onderling verbonden apparaten, clouddiensten, IoT-technologieën en hybride werkomgevingen. Tegenstanders introduceren voortdurend nieuwe aanvalstechnieken, en niet alle bedrijven beschikken over interne Red Teams of onbeperkte beveiligingsmiddelen om op de hoogte te blijven van de nieuwste bedreigingen. Bovendien zijn de hedendaagse aanvallers willekeurig en moet elk bedrijf, groot of klein, voorbereid zijn. Het is niet langer voldoende dat beveiligingsteams dit doen detecteren en reageren; wij moeten nu ook voorspellen en voorkomen.
Om met de hedendaagse veiligheidsomgeving om te kunnen gaan, moeten verdedigers wendbaar en innovatief zijn. Kortom, we moeten gaan denken als een hacker.
Door de mentaliteit van een opportunistische dreigingsacteur aan te nemen, krijgt u niet alleen een beter inzicht in potentieel exploiteerbare trajecten, maar kunt u ook effectiever prioriteit geven aan uw herstelinspanningen. Het helpt u ook voorbij te gaan aan potentieel schadelijke vooroordelen, zoals de misvatting dat uw organisatie niet interessant of groot genoeg is om doelwit van te zijn.
Laten we deze concepten wat dieper onderzoeken.
De hackermentaliteit versus traditionele verdedigingsmechanismen
Door te denken als een hacker krijgt u een beter inzicht in potentieel exploiteerbare routes.
Veel organisaties hanteren een conventionele benadering van kwetsbaarheidsbeheer, waarbij ze hun bedrijfsmiddelen documenteren en de bijbehorende kwetsbaarheden identificeren, vaak volgens een strak schema. Een van de problemen met de huidige strategie is dat deze verdedigers dwingt om in lijsten te denken, terwijl hackers in grafieken denken. Kwaadwillende actoren beginnen met het identificeren van hun doelwitten en wat voor hen van belang is, is het vinden van zelfs maar één enkele route om toegang te krijgen tot de kroonjuwelen. In plaats daarvan zouden verdedigers zich moeten afvragen: welke activa zijn verbonden met en vertrouwen op andere activa? Welke zijn naar buiten gericht? Kan een hacker voet aan de grond krijgen in een niet-kritisch systeem en dit gebruiken om toegang te krijgen tot een ander, belangrijker systeem? Dit zijn cruciale vragen die u moet stellen om reële risico’s te kunnen identificeren.
Door te denken als een hacker kunt u effectiever prioriteit geven aan herstelactiviteiten.
Beslissen welke kwesties onmiddellijke actie vereisen en welke kunnen wachten is een ingewikkelde evenwichtsoefening. Weinig bedrijven beschikken over onbeperkte middelen om hun volledige aanvalsoppervlak in één keer aan te pakken, maar hackers zijn op zoek naar de gemakkelijkste manier om binnen te komen met de grootste beloning. Als u weet hoe u moet beslissen welke herstelactiviteiten een mogelijke route naar uw kroonjuwelen kunnen elimineren, kan dit u een duidelijk voordeel opleveren ten opzichte van kwaadwillende actoren.
Door te denken als een hacker kunt u bestaande vooroordelen kritischer beoordelen.
Kleinere organisaties hebben de neiging om – ten onrechte – aan te nemen dat ze geen aantrekkelijk doelwit zijn voor een opportunistische hacker. De realiteit wijst echter anders uit. Het Data Breach Investigation Report uit 2023 van Verizon identificeerde 699 beveiligingsincidenten en 381 bevestigde openbaarmakingen van gegevens onder kleine bedrijven (bedrijven met minder dan 1.000 werknemers), maar slechts 496 incidenten en 227 bevestigde openbaarmakingen onder grote bedrijven (bedrijven met meer dan 1.000 werknemers). Geautomatiseerde phishing-aanvallen zijn willekeurig. En ransomware-aanvallen kunnen bij deze kleinere organisaties nog steeds zeer lucratief zijn. Denken als een hacker maakt dat duidelijk elk organisatie is een haalbaar doelwit.
Hoe om te denken als een hacker
Hoe kunnen beveiligingsprofessionals deze mentaliteitsverandering succesvol implementeren? In een recent Pentera-webinar schetsten Erik Nost, hoofdanalist bij Forrester en Nelson Santos, Pentera Security Expert, vier essentiële stappen.
1. Begrijp de tactieken van aanvallers
Door de mentaliteit van een hacker over te nemen, kunnen beveiligingsleiders anticiperen op potentiële inbreukpunten en hun verdediging opbouwen. Dit begint met een realistisch begrip van de technieken die kwaadwillende actoren gebruiken om van A tot Z te komen.
Een voorbeeld: hedendaagse aanvallers gebruiken zoveel mogelijk automatisering om zich op het enorme aantal systemen in moderne netwerken te richten. Dit betekent dat verdedigers zich moeten voorbereiden op brute force-aanvallen, laders, keyloggers, exploitkits en andere snel inzetbare tactieken.
Beveiligingsteams moeten hun reacties op deze tactieken ook in praktijkscenario’s evalueren. Testen in een laboratoriumomgeving is een goed begin, maar u kunt pas gemoedsrust krijgen als u productiesystemen rechtstreeks evalueert. Op dezelfde manier zijn simulaties informatief, maar teams moeten een stap verder gaan en zien hoe hun verdediging bestand is tegen penetratietests en robuuste geëmuleerde aanvallen.
2. Onthul stap voor stap volledige aanvalspaden
Geen enkele kwetsbaarheid bestaat op zichzelf. Hackers combineren vrijwel altijd meerdere kwetsbaarheden om een compleet aanvalspad te vormen. Als gevolg hiervan moeten beveiligingsleiders het ‘grote geheel’ kunnen visualiseren en hun hele omgeving kunnen testen. Door de kritieke paden te identificeren die aanvallers kunnen volgen, van verkenning via uitbuiting en impact, kunnen verdedigers prioriteiten stellen en effectief herstellen.
3. Geef prioriteit aan herstel op basis van impact
Hackers zoeken doorgaans de weg van de minste weerstand. Dit betekent dat u eerst de exploiteerbare paden met de meeste impact moet aanpakken. Van daaruit kunt u stapsgewijs door steeds minder waarschijnlijke scenario’s werken, voor zover de middelen dit toelaten.
Leiders moeten ook rekening houden met de potentiële zakelijke impact van de kwetsbaarheden die ze moeten verhelpen. Een verkeerde configuratie van een enkel netwerk of een enkele gebruiker met overmatige machtigingen kan bijvoorbeeld tot veel mogelijke aanvalspaden leiden. Door prioriteit te geven aan waardevolle activa en kritieke beveiligingslacunes kunt u de valkuil vermijden dat uw middelen te dun over uw gehele aanvalsoppervlak worden verspreid.
4. Valideer de effectiviteit van uw beveiligingsinvesteringen
Het testen van de doeltreffendheid van beveiligingsproducten en -procedures in de praktijk is van cruciaal belang. Detecteert uw EDR bijvoorbeeld op de juiste manier verdachte activiteiten? Verzendt de SIEM waarschuwingen zoals verwacht? Hoe snel reageert uw SOC? En het allerbelangrijkste: hoe effectief werken alle tools in uw beveiligingsstack samen? Deze tests zijn essentieel als u uw inspanningen meet.
Traditionele aanvalssimulatietools kunnen bekende scenario’s testen en uw bestaande verdediging tegen bekende bedreigingen testen. Maar hoe zit het met testen op wat je niet weet? Door het vijandige perspectief te gebruiken, kunt u autonoom testen op alle scenario’s en bedreigingen, die verborgen misconfiguraties, schaduw-IT of onjuiste aannames over de werking van controles aan het licht kunnen brengen. Deze onbekende gaten in de beveiliging zijn voor verdedigers het moeilijkst te ontdekken en worden daarom actief opgezocht door aanvallers.
De bevindingen van validatietests moeten helemaal doordringen tot de CEO en het bestuur, op een manier die de zakelijke impact duidelijk maakt. Rapportage over een percentage van de herstelde kwetsbaarheden (of andere vergelijkbare ijdelheidscijfers) geeft niet echt de effectiviteit van uw beveiligingsprogramma weer. In plaats daarvan moet u betekenisvollere manieren vinden om de impact van uw inspanningen te communiceren.
Blijf beveiligingsbedreigingen een stap voor met geautomatiseerde beveiligingsvalidatie
Wij begrijpen hoe uitdagend het is om uw beveiligingspositie voortdurend te beoordelen en te verbeteren. Met Pentera hoeft u het niet alleen te doen.
Onze aanpak van geautomatiseerde beveiligingsvalidatie maakt uw beveiligingsgereedheid tegen de nieuwste bedreigingen zichtbaar door uw volledige aanvalsoppervlak veilig te testen op reële exploits. Verdedigers die de mentaliteit van hackers omarmen en hun beveiligingsmechanismen voortdurend uitdagen met platforms als Pentera, kunnen te allen tijde vertrouwen hebben in hun beveiligingshouding.
Bezoek onze website op pentera.io voor meer informatie.
Opmerking: dit artikel is geschreven door Nelson Santos, Principal Sales Engineer bij Pentera.
