De Cyber Kill Chain
Cybercrime heeft wereldwijd vele verdienmodellen in het leven geroepen. Deze vorm van misdaad wordt gepleegd mét ICT óp ICT (cybercrime enge zin). Computers, smartphones, tablets en zelfs smartwatches worden ingezet om aanvallen te richten op digitale doelwitten. Hier worden wij als maatschappij steeds kwetsbaarder voor, omdat ons leven zich voor een steeds groter deel digitaal afspeelt. In dit artikel gebruiken wij de 'cyber kill chain' om in kaart te brengen hoe cybercriminelen te werk gaan, en wat dit voor u betekent.
Digitalisering
De digitalisering van onze maatschappij wordt de laatste tijd ook nog eens sterk versneld door het coronavirus: Mensen werken veel meer vanuit huis en dit betekent dat veel activiteiten nu opeens digitaal plaatsvinden. Daarnaast moeten organisaties ervoor zorgen dat hun werknemers thuis kunnen werken zonder belemmeringen. De beschikbaarheid van bepaalde gevoelige documenten was eerst misschien beperkt; voor toegang moest men aanwezig zijn op kantoor. Nu zijn IT-afdelingen over de hele wereld keihard aan het werk om de productiviteit van thuiswerkers zo goed mogelijk te faciliteren.
Dit betekent dat het aanvalsoppervlak voor cybercriminelen nog verder toeneemt, want daar waar veel geld te halen valt, zijn criminelen actief. Volgens de Amerikaanse FBI heeft cybercriminaliteit de wereldwijd georganiseerde drugshandel ingehaald qua omzet en winst, ook de Veiligheidsmonitor 2019 van het CBS geeft aan dat in Nederland cybercrime de traditionele vormen van criminaliteit heeft ingehaald.
Cybercrime is er in alle soorten en maten, maar vaak is er één gemene deler: Of het nou gaat om het stelen van persoonlijke informatie of het ontfutselen van creditcardgegevens, de meeste cybercriminelen zijn uit op geld. Maar hoe voorkom je dat je slachtoffer wordt van een cyberincident?
De Cyber Kill Chain
Door je te verplaatsen in de werkwijzen van cybercriminelen kun je voorzorgsmaatregelen treffen. Lockheed Martin is een grote Amerikaanse aanbieder van militaire technologie. Het bedrijf heeft een veelgebruikt hulpmiddel ontwikkeld waarin de stappen van cybercrime worden beschreven: De cyber kill chain. Dit model beschrijft 7 stappen en, zoals bij alle modellen, wijken individuele gevallen vaak af, maar geeft het wel een heel goed beeld van de algemene modus operandi.
-
Fase 1: Verkenning (‘Reconnaissance')
De eerste fase is de verkenningsfase. Hier identificeert de cybercrimineel geschikte doelwitten. Hoe deze worden bepaald? Dat kan op verschillende manieren. Zo kunnen hackers opdracht krijgen of uit eigen beweging specifieke personen of organisaties aanvallen. Vaak wordt er echter gekozen voor laaghangend fruit: elk systeem met minimale beveiliging en maximale kwetsbaarheden vormt een makkelijk doelwit.
-
Fase 2: Bewapening (‘Weaponization’)
In de tweede fase bepaalt de cybercrimineel wat hij precies nodig heeft om binnen te komen. In veruit de meeste gevallen wordt er gebruik gemaakt van bekende kwetsbaarheden. Zo kan de cybercrimineel op het ‘dark web’ kant-en-klare malware (kwaadaardige software) kopen die zich specifiek richt op de kwetsbaarheden in de systemen die hij is tegengekomen bij zijn doelwit. Anderzijds kan de cybercrimineel beginnen bij deze fase, en makkelijk verkrijgbare malware gebruiken om zoveel mogelijk systemen met een bekende kwetsbaarheid te infecteren.
-
Fase 3: Aflevering (‘Delivery’)
In de derde fase wordt het “wapen” afgeleverd bij het doelwit van de cybercrimineel. Bijvoorbeeld door de malware te verstoppen in een email-bijlage, weblink of USB-stick. Via deze aflever-methoden heeft menselijk handelen van het slachtoffer een grote invloed op het effect van de aanval. Via sommige kwetsbaarheden kunnen cybercriminelen ook toegang krijgen zonder dat personen hiervoor een kwaadaardig bestand te hoeven openen.
-
Fase 4: Uitbuiting (‘Exploitation’)
Zodra de malware is afgeleverd, maakt deze misbruik van een kwetsbaarheid in het systeem. Patches (updates) repareren foutjes in systemen die deze kwetsbaar maken. Door er dus voor te zorgen dat je systemen up-to-date zijn, ben je veel beter beschermd tegen bekende kwetsbaarheden.
-
Fase 5: Installatie (‘Installation’)
De cybercrimineel heeft in deze fase (een combinatie van) malware geïnstalleerd op het systeem. Niet voor alle aanvallen is het nodig om malware te installeren. Denk bijvoorbeeld aan phishing. Hierbij wordt vaak via een email gevraagd om via een link in te loggen bij een bank of werkgever. Wanneer mensen dit doen loggen zij echter in op een valse website, en geven zij op die manier hun inloggegevens aan kwaadwillenden.
-
Fase 6: Beheer en Controle (‘Command and Control’)
In deze fase maakt de cybercrimineel een connectie vanaf de nieuw geïnfecteerde systemen naar een beheer en controle systeem. Op dit systeem kunnen duizenden geïnfecteerde systemen worden aangesloten en het stelt de crimineel in staat om slachtoffers op afstand te manipuleren.
-
Fase 7: Uitvoeren van het doel (‘Actions on Targets’)
Wanneer de cybercrimineel de connectie tot stand heeft gebracht kan deze overgaan tot het behalen van het uiteindelijke doel. Dit doel kan van alles zijn; gegevens versleutelen en hier losgeld voor te vragen, zoveel mogelijk schade aanrichten door data te manipuleren, of juist zo stilletjes mogelijk informatie verzamelen en doorsluizen.
Inzicht
Het 'cyber kill chain' model laat goed zien welke weg wordt bewandeld bij een cyberaanval. Een belangrijke notie is dat hoewel organisaties of personen zeker specifiek doelwit kunnen zijn, vaak verschillende vormen van malware worden gecombineerd om de 7 stappen zoveel mogelijk te automatiseren: Een programma scant het hele internet op systemen met een bekende kwetsbaarheid, gevonden kwetsbare systemen worden door een gelinkt programma uitgebuit en om latere toegang te faciliteren wordt dan weer een programma (backdoor) geïnstalleerd dat connectie legt met het beheer en controle systeem. Geïnfecteerde systemen kunnen zo weer opdracht krijgen om de omgeving verder af te tasten naar kwetsbare doelwitten. Op deze manier groeit het geïnfecteerde netwerk op ‘organische’ en exponentiële wijze, dit heeft dan ook tot de term virus geleid; een vorm van malware die zichzelf kan verspreiden.
Hieruit blijkt dus dat cybercriminelen niet alleen kijken naar waar er wat te halen valt, maar juist ook waar zij makkelijk binnen kunnen komen. Je kunt dit vergelijken met inbrekers die voor een huis kiezen waar niemand thuis is en waar een raam open staat, of voor overvallers die oudere mensen aanvallen in plaats van een zwaar beveiligde bank.
Beschermen
Belangrijke maatregelen die je kunt nemen tegen cybercriminaliteit zijn te zorgen dat een cybercrimineel moeilijker binnen kan komen. Door te updaten (patchen) zorg je ervoor dat je zoveel mogelijk beschermd bent tegen bekende kwetsbaarheden en anti-virus helpt verder beschermen tegen malware. Mocht een cybercrimineel onverhoopt toch binnen zijn gekomen, dan helpt het wanneer de configuratie op een veilige manier is ingesteld (hardening) en dat de organisatie niet te veel bevoegdheden heeft toegekend aan gebruikers (autorisaties). Door deze maatregelen worden eerste barrières opgeworpen tegen cyberaanvallen, dit maakt het voor de cybercrimineel veel moeilijker om binnen te komen, en zorgt er in veel gevallen voor dat deze verder kijkt naar makkelijkere doelwitten.