5 gevaarlijke aanvalstrends van 2018
Over kritieke infrastructuur, hardwarehacks, cryptominers en meer.
Deskundigen van beveiligingsinstituut kijken vooruit gebaseerd op de trends die ze momenteel zien bij de creatiefste aanvallers. Beveiligers moeten de volgende vijf aanvallen leren te bestrijden.
Elk jaar kijken de onderzoekers van SANS op beveiligingscongres RSA naar de nieuwe trends die ze tegenkomen in hun werk. Zo waarschuwden ze twee jaar geleden nog voor de opkomst van PowerShell-malware en dat ging in 2017 ook werkelijk mainstream bij de aanvallers. Momenteel wordt de tool bijvoorbeeld misbruikt om cryptominers heimelijk te installeren.
De onderzoekers houden het niet bij doemstijdingen, maar geven praktijkvoorbeelden en scenario’s om een ellendige toekomst te voorkomen. Voor twee van de vijf technieken die in opkomst zijn geen makkelijke oplossingen – voor zover een beveiligingsmaatregel überhaupt makkelijk is. Maar voor de meeste zaken geldt dat een beetje begrip over wat er precies mis kan gaan een slok op een borrel scheelt om het netwerk, de endpoints en de cloud-stores beveiligder te houden.
1. Kritieke infrastructuur gaat onderuit
Beveiligers waarschuwen al jaren voor kritieke controlesystemen die zich op hetzelfde netwerk bevinden als de rest van bijvoorbeeld een energiecentrale en vertrouwen op een stukje security through obscurity om beschermd te blijven. Vanwege de standaardisolatie van systemen zijn er weinig mitigatietechnieken en dat gaat problemen opleveren, waarschuwt SANS-onderzoeker James Lyne op het beveiligingscongres, maar de isolatie verdwijnt steeds meer. “We hebben gevallen gezien waarbij SIS – de monitoringssystemen die ervoor zorgen dat er geen kritieke fouten plaatsvinden – op hetzelfde netwerk worden gezet en dat IT’ers ze aansturen via RDP.”
Niet huis-, tuin- en keukencrimineel
Twee jaar geleden sprak SANS’ Ed Skoudis over een beruchte ICS-aanval op Oekraïense energiecentrales. Het beveiligingsinstituut deed uitgebreid onderzoek naar de precieze manier waarop aanvallers de centrale zo ernstig te grazen konden nemen en ontdekten dat het een uitgebreid aanvalsplan betrof waarbij na binnenkomst met bekendere malware, de hackers firmware flashten, UPS’en herprogrammeerden, MBR’s wisten, switches werden uitgeschakeld en veel veel meer.
Lyne wijst erop dat gangbare criminelen die uit zijn op geldelijk gewin hier niet in geïnteresseerd zijn. Het is ook bijzonder veel werk om zo’n aanval als op de Oekraïense energiecentrale uit te voeren. “Je moet enorm veel reverse-engineeren”, begint Lyne, omdat het obscure systemen zijn waarvan de aanvallers het wiel opnieuw moeten uitvoeren. “Je hebt een testomgeving nodig die de realiteit benadert en dat alleen al is een behoorlijke opgave. Maar voor politieke of militaire doeleinden is dit geen obstakel.”
Gepokt en gemazeld
Dus het zal minder veel voorkomen dan mainstream criminaliteit, maar als het gebeurt is de impact enorm – en dat wordt alleen maar groter naarmate we meer bouwen en aansluiten. Het motief ervoor is duidelijk en er zijn al praktijkvoorbeelden geweest. “Zijn we hier wel op voorbereid?” vraagt Lyne zich af. “We zijn hier weinig mee bezig. Traditionele besturingssystemen zijn gepokt en gemazeld door aanhoudende aanvallen, bugs en patches. Maar deze omgevingen vertrouwen vooral op hun obscuriteit.”
Op een vraag uit het publiek waarom aanvallers zich niet zouden richten op de eenvoudiger benaderbare Process Control Systems die genetwerkt allerlei onderdelen aansturen, maar op geïsoleerdere SIS’en heeft Lyne wel een antwoord. “Het ligt voor de hand een Distributed Control System [een PCS] aan te vallen, vanwege het grotere aanvalsoppervlak. De reden om een SIS te pakken te nemen is omdat deze monitoringsystemen zeer kritieke problemen voorkomen. De aanvaller die dit doet wil dus substantiële schade aanrichten.”
Gepubliceerd door Auteur: Henk-Jan Buist computerworld.nl