SANS: de vijf gevaarlijkste nieuwe aanvalstechnieken

Het SANS Institute biedt elk jaar op de RSA Conference een briefing over de gevaarlijkste nieuwe aanvalstechnieken die worden gebruikt door moderne cybercriminelen. Die criminelen werken individueel of in opdracht van overheden.

Bij die jaarlijkse briefing komen een aantal samenstellers van de kerncurricula van SANS bij elkaar om de nieuwste tactieken, technieken en procedures (TTP’s) van cybercriminelen te bespreken, te discussïeren wat die betekenen voor de toekomst en hoe organisaties geholpen kunnen worden zich daar op voor te bereiden. De sessie ‘De vijf gevaarlijkste nieuwe aanvalstechnieken’ werd voorgezeten door Ed Skoudis, College President van het SANS Technology Institute, en bestond uit vier panel leden van SANS die beveiligingsmanagers inzichten gaven om te helpen de bedreigingen die zich aan het ontwikkelen zijn vóór te zijn en ook te blijven.

In dit verhaal ging het erover hoe bedreigingsactoren AI-tools gebruiken om de snelheid van ransomware-campagnes te verhogen en zero-day kwetsbaarheden in complexe so­ftware te identificeren. AI hee­ft de mogelijkheden voor aanvallers volledig veranderd, van het stroomlijnen van het programmeerproces van malware tot het makkelijker worden van social engineering. Organisaties moeten als reactie daarop een geïntegreerd omvattend beveiligingsmodel implementeren dat een gelaagde bescherming biedt, dat kritieke detecteer- en reageeracties automatiseert en incidenten effectief kan afhandelen.

Cybercriminelen maken door de opkomst van ChatGPT gebruik van generatieve AI geloofwaardgier over te komen. Ze richten zich daarbij op afzonderlijke werknemers om via hen binnen te dringen in het netwerk van hun hele organisatie – inclusief hun persoonlijke levenssfeer. Die ontwikkeling betekent dat iedereen makkelijker dan ooit aan te vallen is en dat er maar één verkeerde klik op een kwaadwillend bestand nodig is om niet alleen een heel bedrijf direct in gevaar te brengen, maar ook de levenssfeer van het slachtoffer. Die manier van aanvallen vergt van organisaties het stimuleren van een cultuur van cyberwaakzaamheid binnen alle onderdelen van hun bedrijf om ervoor te zorgen dat werknemers op de hoogte zijn van mogelijke aanvallen die door ChatGPT heel echt lijken.

Johannes Ullrich bood in zijn verhaal een blik op de opkomst van gerichte aanvallen op externe so­ftwareontwikkelaars om bedrijfsnetwerken via de achterdeur te infiltreren. Met als voorbeeld het hacken van LastPass in december 2022, waarbij een kwetsbaarheden in so­ftware van derden werd gebruikt om de bestaande controles te omzeilen en op die manier met gebruikersrechten toegang te krijgen tot bedrijfsomgevingen. Die aanval onderstreepte voor organisaties in alle sectoren hoe belangrijk het is om effectief samen te werken met softwareontwikkelaars om beveiligingsarchitecturen op elkaar af te stemmen, informatie over bedreigingen te delen en op die manier in te spelen op toekomstige aanvalstechnieken.

SEO (Search Engine Optimization) en advertenties die onderdeel zijn van marketing strategieën zijn nieuwe aanvalsterreinen om toegang te krijgen tot bedrijfsnetwerken. Daarbij wordt gebruikt gemaakt van SEO-keywords en betaalde advertenties om slachtoffers te verleiden tot het openen van gespoofde websites, het downloaden van geïnfecteerde bestanden en het toegang verlenen. Daarmee wordt steeds duidelijker dat aanvallers blijven innoveren en steeds vaker afstappen van traditionele aanvalstechnieken omdat daar steeds betere verdedigingstechnieken voor komen. Die nieuwe aanvalsbronnen vergroten het belang van het implementeren van schaalbare programma’s, die zijn afgestemd op nieuwe bedreigingen, voor het bewust maken van gebruikers.