Begrijpen hoe hackers recon

Hackers ontdekken Nachrichten

Cyberaanvallen blijven toenemen en evolueren, maar ongeacht de mate van complexiteit die hackers gebruiken om toegang te krijgen, voet aan de grond te krijgen, hun malware te camoufleren, hun payload uit te voeren of gegevens te exfiltreren, begint hun aanval met verkenning. Ze zullen hun uiterste best doen om blootgestelde activa bloot te leggen en het aanvalsoppervlak van hun doelwit te onderzoeken op gaten die als toegangspunten kunnen worden gebruikt.

De eerste verdedigingslinie is dus om de potentieel bruikbare informatie voor een potentiële aanvaller zo veel mogelijk te beperken. Zoals altijd moet rekening worden gehouden met het getouwtrek tussen operationele noodzaak en veiligheidszorgen, wat een beter begrip vereist van het soort informatie dat doorgaans wordt gebruikt.

Naar welke informatie zijn hackers op zoek tijdens verkenning?

Bij het uitvoeren van verkenningen op een organisatie, zijn hackers – of het nu witte of zwarte hoeden zijn – ‚een joint aan het omhullen‘. Om hun aanval te plannen, zullen ze proberen zoveel mogelijk informatie te achterhalen over:

Uw infrastructuur

  • De soorten technologieën die u gebruikt – Aangezien er geen onberispelijke technologie is, is het leren van de technologie die wordt gebruikt om uw infrastructuur te bouwen en te beheren, de eerste stap van hackers. Ze zijn bedoeld om kwetsbaarheden te vinden om uw infrastructuur binnen te dringen en zichzelf te beschermen tegen detectie. Hackers kunnen informatie krijgen over uw technologieën en hoe deze worden gebruikt door te luisteren naar gesprekken op technische forums. DevOps die aan dergelijke discussies deelnemen, dienen zich te onthouden van het onthullen van hun echte identiteit of informatie die de organisatie zou kunnen identificeren.
  • Uw op internet gerichte servers – servers bevatten de essentiële informatie van uw organisatie. Hackers zullen proberen kwetsbaarheden te vinden, variërend van ongebruikte of niet-gepatchte services tot open poorten.
  • Elk systeem dat als server op een openbaar netwerk wordt gebruikt, is een doelwit, dus systeembeheerders moeten extra waakzaam zijn in:
    • Alle services actueel houden
    • Waar mogelijk kiezen voor veilige protocollen
    • Het type netwerk per machine tot een strikt minimum beperken, bij voorkeur één per machine
    • Alle servers controleren op verdachte activiteiten
  • Uw besturingssysteem (OS) – Elk besturingssysteem heeft zijn eigen kwetsbaarheden. Windows, Linux, Apple en andere besturingssystemen publiceren regelmatig nieuw ontdekte kwetsbaarheden en patches. Deze openbaar beschikbare informatie wordt misbruikt door cyberaanvallers zodra ze weten welk besturingssysteem u gebruikt.
  • Een forumgesprek waarin Joe Blog, uw accountant, uitlegt hoe u een functie op een Windows 8 Excel-spreadsheet moet gebruiken, vertelt de hacker bijvoorbeeld dat Joe Blog Windows gebruikt en zijn besturingssysteem al tijden niet heeft bijgewerkt.
  • Deze versnapering moedigt de cyberaanvaller aan om verder te graven, want als een werknemer met toegang tot de financiële informatie van uw organisatie mag werken aan een eindpunt dat zelden of nooit wordt bijgewerkt, is de eindpuntbeveiliging van de werknemers laks.
  • Uw beveiligingsvolwassenheid – Hackers zijn mensen en hebben als zodanig de neiging lui te zijn. Een hacker op een verkenningsmissie die ontdekt dat u een XSPM-platform (Extended Security Posture Management) gebruikt, weet dat, zelfs als er een misbruikbaar toegangspunt is, escalatie bij elke stap wordt belemmerd en het bereiken van de kwaadaardige actie een superieur planningsniveau. Dit ontmoedigt de meeste potentiële cyberaanvallen.

Inloggegevens

  • E-mailadressen – aangezien de menselijke geest de moeilijkste software is om te upgraden en te patchen, blijft phishing de belangrijkste penetratievector voor hackers. Hoewel sommige e-mailadressen, zoals info, ondersteuning, verkoop, enz., openbaar moeten zijn, kan de persoonlijke e-mail van werknemers door hackers worden gebruikt voor generieke phishing-berichten en spear-phishing.
  • Gebruikersnamen & wachtwoorden – De winkelcentra van Darknet-hackers staan ​​vol met inloggegevens die te koop zijn tegen belachelijk lage prijzen, vandaar de aanbeveling om uw wachtwoord regelmatig te wijzigen.
  • Voor systeembeheerders en andere gebruikers met toegang met hoge bevoegdheden, met behoud van uitstekende wachtwoordhygiëne – en MFA! – is een absolute must, want als hun inloggegevens in handen van een hacker vallen, kan het hele systeem onherstelbaar worden aangetast.

Kun je een hacker-recon herkennen?

Een gewaarschuwd mens is gewapend, dus het kan een slim idee zijn om te luisteren naar tekenen van vijandige verkenningsactiviteiten. Recon-activiteiten kunnen in twee categorieën worden ingedeeld:

  • Actieve verkenning: hackers die tools of spyware gebruiken om uw systeem binnen te dringen. Dit zou waarschuwingen moeten activeren van correct geconfigureerde detectietools, waardoor beveiligingsinformatieteams worden geïnformeerd dat hackers ze „omhullen“.
  • Dit zou moeten leiden tot het starten van een beveiligingsvalidatieoefening om ervoor te zorgen dat mogelijke beveiligingslacunes adequaat worden gecontroleerd en gepland voor prioriteitspatching.
  • passieve verkenning: hackers die u „stalken“ door openbaar beschikbare informatie te verzamelen over de technologische details of e-mailadressen van uw infrastructuur. Dit is in feite niet op te sporen.

Wat doet een hacker met de informatie die tijdens Recon is verzameld?

De doelen van cyberaanvallen vallen onder vier brede categorieën:

  • Diefstal – qua aantallen verreweg de grootste categorie, op diefstal gerichte aanvallen kunnen worden onderverdeeld in meer categorieën die passen bij het doel van de diefstal:
    • Gegevens – gegevens zijn de valuta van de 21e eeuw en alle gegevens in de rechterhand kunnen worden omgezet in waarde. Van creditcardgegevens tot persoonlijke gegevens van gebruikers tot algemene gegevens zoals reisgewoonten, alle gegevens kunnen worden misbruikt voor commerciële, strategische of zelfs militaire doeleinden.
    • Intellectueel eigendom – IP geeft veel organisaties en bedrijven een voorsprong. Concurrenten hebben bijvoorbeeld direct belang bij het verkrijgen van die informatie.
    • Computerbronnen – de middelen die worden gebruikt om uw infrastructuur van stroom te voorzien zijn duur en daarom aantrekkelijk. Tegenwoordig is het belangrijkste gebruik van gestolen bronnen cryptomining.
  • Afpersing – beter bekend als ransomware, ransomware kaapt delen of de hele infrastructuur, versleutelt de gegevens en vereist betaling in cryptovaluta om de getroffen gegevens te ontsleutelen. Het exfiltreren van gegevens en het dreigen deze te verkopen maakt ook deel uit van ransomware-bedreigingen.
  • Informatie verzamelen – een sluipende aanval die voor langere tijd onopgemerkt kan blijven. Meestal worden die opgeëist door natiestaten, politieke tegenstanders of zakelijke concurrenten.
  • Vernieling / overname van de infrastructuur – aanvallen gericht op inhalen of vernietigen worden doorgaans geleid door natiestaten die zich richten op kritieke infrastructuur, met name agressieve concurrenten, of hacktivisten.

Gezien het scala aan schade dat kan voortvloeien uit een cyberaanval, is het een goed beleid om verkenningen zo vruchteloos of ontmoedigend mogelijk te maken voor het scouten van cyberaanvallen. Dit verklaart de huidige trend naar beter Beheer van aanvalsoppervlakken (ASM).

Opmerking: Dit artikel is geschreven door Sasha Gohman, VP Research bij Cymulate.

David
Rate author
Hackarizona