In veel berichtgeving over hedendaagse inbreuken wordt gesproken over het ‘aanvalsoppervlak’ van een organisatie. Inzicht in dit aanvalsoppervlak staat centraal in het begrijpen van cyberaanvallen en de gevoelige plekken van een organisatie. Helaas zijn organisaties steeds minder in staat om de werkelijke omvang en complexiteit van hun aanvalsoppervlak te bepalen, waardoor hun digitale en fysieke middelen worden blootgesteld aan bedreigingsfactoren. In dit blog bespreken we daarom hoe je als organisatie het aanvalsoppervlak kunt verkleinen en tegelijkertijd de beveiliging hiervan kunt maximaliseren.
Wat is het aanvalsoppervlak van een organisatie?
Op basisniveau kan het aanvalsoppervlak worden gedefinieerd als de fysieke en digitale activa van een organisatie, die kunnen worden aangetast om een cyberaanval mogelijk te maken. Hoe groter het aanvalsoppervlak, hoe groter het doelwit waarop cyberaanvallen zich kunnen richten.
Laten we de twee belangrijkste categorieën aanvalsoppervlakken eens nader bekijken:
Het digitale aanvalsoppervlak
Dit is het geheel van hardware, software en aanverwante onderdelen van een organisatie die met het netwerk zijn verbonden. Deze omvatten:
- Applicaties: Kwetsbaarheden in apps zijn aan de orde van de dag en kunnen aanvallers een bruikbare ingang bieden tot kritieke IT- systemen en – gegevens.
- Code: Een groot risico is dat veel code gecompileerd wordt uit componenten van derden, die malware of kwetsbaarheden kunnen bevatten.
- Poorten: Aanvallers scannen steeds vaker naar open poorten en of bepaalde diensten naar een specifieke poort luisteren (bijv. TCP poort 3389 voor RDP.) Als deze diensten verkeerd geconfigureerd zijn of bugs bevatten, kunnen deze worden uitgebuit.
- Servers: Deze kunnen worden aangevallen doordat misbruik gemaakt wordt van kwetsbaarheden of doordat deze worden overspoeld met verkeer bij DDoS-aanvallen.
- Websites: Een website is een ander onderdeel van het digitale aanvalsoppervlak met meerdere aanvalsvectoren, waaronder codefouten en misconfiguratie. Succesvolle compromittering kan leiden tot web defacement, of het toevoegen van een kwaadaardige code voor drive-by en andere typen aanvallen (bijvoorbeeld formjacking).
- Certificaten: Organisaties laten deze vaak verlopen, waardoor aanvallers hun voordeel kunnen doen.
Maar dit is nog lang niet alles, het digitale aanvalsoppervlak is groot! Om de enorme omvang van het digitale aanvalsoppervlak te illustreren, werden in 2020 meerdere bedrijven onderzocht die zich bevinden op de FTSE- 30 lijst. Dit resulteerde tot de volgende ontdekkingen:
- 324 verlopen certificaten
- 25 certificaten die het verouderde SHA-1 hashing algoritme gebruiken
- 743 mogelijke testwebsites die blootgesteld waren aan het internet
- 385 onveilige formulieren waarvan er 28 werden gebruikt voor authenticatie
- 46 web frameworks met bekende kwetsbaarheden
- 80 instanties in het inmiddels ter ziele gegane PHP 5.x
- 664 versies van webservers met bekende kwetsbaarheden
Het fysieke aanvalsoppervlak
Naast het digitale aanvalsoppervlak is er ook nog het fysieke aanvalsoppervlak. Dit aanvalsoppervlak omvat alle endpoints en apparaten waartoe een aanvaller ‘fysiek’ toegang zou kunnen krijgen, zoals:
- Desktop computers
- Harde schijven
- Laptops
- Mobiele telefoons of tablets
- USB-sticks
Er valt iets te zeggen over de stelling dat ook de medewerkers onderdeel zijn van het fysieke aanvalsoppervlak van een organisatie, aangezien zij tijdens een cyberaanval via social engineering mogelijk slachtoffer zouden kunnen worden van manipulatie. Daarnaast is het mogelijk dat medewerkers onbedoeld gebruik maken van niet goedgekeurde applicaties of apparaten. Indien dit niet goed wordt gemanaged door een IT-afdeling, vormt dit mogelijk een extra bedreiging voor de organisatie.
Wordt het aanvalsoppervlak steeds groter?
Organisaties bouwen al vele jaren aan hun IT-omgeving en digitale middelen. Maar met de komst van de pandemie werd er op grote schaal geïnvesteerd om werken op afstand te ondersteunen en bedrijfsactiviteiten in stand te houden in een tijd van extreme marktonzekerheid. Hierdoor werd het aanvalsoppervlak op een aantal voor de hand liggende manieren vergroot:
- Endpoints voor werken op afstand (bijvoorbeeld laptops en desktop computers)
- Cloud-apps en de bijbehorende cloud-infrastructuur
- IoT-apparaten en 5G
- Gebruik van code van derden en DevOps
- Infrastructuur voor werken op afstand (Denk aan VPN's, Remote Desktop Protocol, enz.)
Er lijkt geen weg meer terug, volgens deskundigen zijn er veel bedrijven door de pandemie over een digitaal kantelpunt geduwd dat hun bedrijfsvoering voorgoed zal veranderen. Hoewel het thuiswerken en de flexibele mogelijkheden die zijn ontstaan voordelen met zich mee brengen, is dit mogelijk slecht nieuws voor de grootte van het aanvalsoppervlak. De nieuwe bedrijfsvoering kan namelijk uitnodigen tot:
- Phishingaanvallen die misbruik maken van een gebrek aan securitybewustzijn bij werknemers
- Malware en misbruik van kwetsbaarheden gericht op servers, apps en andere systemen
- Gestolen of met brute force verkregen wachtwoorden die voor ongeoorloofde inlogpogingen worden misbruikt
- Misbruik van misconfiguraties (bijvoorbeeld in cloudaccounts)
- Gestolen webcertificaten... en nog veel meer.
In feite zijn er honderden aanvalsvectoren voor bedreigingsactoren, waarvan sommige enorm populair zijn. Zo heeft ESET wereldwijd tussen januari 2020 en juni 2021 meer dan 71 miljard inbraakpogingen via verkeerd geconfigureerde RDP gevonden.
Hoe risico's op het aanvalsoppervlak te beperkt kunnen worden
Inzicht in het digitale en fysieke aanvalsoppervlakte is van fundamenteel belang, wil je je organisatie zo goed mogelijk beveiligen. Het nemen van maatregelen om dit oppervlak te beheren en waar mogelijk te verkleinen is dan ook de eerste stap naar proactieve bescherming van je organisatie. De volgende tips kunnen je hiermee helpen:
- Ten eerste is het van belang om de omvang van het aanvalsoppervlak te begrijpen door het uitvoeren van onder meer asset- en inventarisaudits, pentests, kwetsbaarheidsscans.
- Daarnaast is het belangrijk om de omvang van het aanvalsoppervlak en het bijbehorende cyberrisico te minimaliseren. Dit kan je doen door middel van:
- Patchen op basis van risico's en configuratiebeheer
- Consolideren van endpoints en afscheid nemen van verouderde hardware
- Upgraden van software en besturingssystemen
- Segmenteren van netwerken
- Het volgen van best practices van DevSecOps
- Voortdurend beheer van kwetsbaarheden
- Risicobeperking in de toeleveringsketen
- Gegevensbeveiligingsmaatregelen (bv. sterke encryptie)
- Sterk identiteits- en toegansbeheer
- Implementeren van een zero-trust benadering
- Voortdurende logging en monitoring van systemen
- Trainingsprogramma's om het securitybewustzijn te vergroten
De IT-omgeving van bedrijven is voortdurend in beweging - dankzij het grootschalige gebruik van VM, containers, microservices, het komen en gaan van medewerkers en het gebruik van nieuwe hardware en software. Dat betekent dat alle pogingen om het aanvalsoppervlak te beheren en te begrijpen moeten worden ondernomen met flexibele, intelligente tools die werken op basis van realtime gegevens. Zoals altijd moeten "zichtbaarheid en controle" daarbij centraal staan.