In 2023 werden twee grote organisaties, 23andMe en MGM Resorts, slachtoffer van cyberaanvallen die een gemeenschappelijke factor hadden: identiteit. Bij de aanval op 23andMe gebruikten de aanvallers ‘credential stuffing’ om toegang te krijgen, wat mogelijk werd door een gebrek aan strikte toegangscontrole. Dit leidde ertoe dat data van miljoenen gebruikers werd gestolen. Bij MGM Resorts gebruikten aanvallers een eenvoudige social engineering-tactiek om inloggegevens te verkrijgen, wat resulteerde in een grootschalige ransomware-aanval die miljoenen aan schade veroorzaakte.
Identiteit als een sleutelfactor in cyberaanvallen
Identiteit is de afgelopen jaren een cruciale aanvalsmethode geworden voor cybercriminelen. Aanvallers richten zich vaak op Microsoft Active Directory (AD) of gebruiken gestolen inloggegevens om ongeautoriseerde toegang te verkrijgen. Het begrijpen van identiteitsdreigingen is essentieel voor organisaties om hun beveiligingsmaatregelen te evalueren en te verbeteren.
Wat zijn identiteitsdreigingen?
Identiteitsdreigingen zijn cyberaanvallen die zich richten op de identiteit van een gebruiker of de identiteitsstructuur binnen een organisatie. Deze dreigingen nemen toe door:
- Het toegenomen gebruik van webapplicaties, cloud-omgevingen en remote gebruikers, wat het aantal inloggegevens en toegangspunten vergroot.
- Slechte wachtwoordhygiëne en gebrek aan security awareness-training, waardoor inloggegevens gemakkelijke doelwitten worden.
- De overvloed aan gestolen inloggegevens op het dark web door eerdere datadiefstallen en ransomware-aanvallen.
Data ondersteunt de trends
Uit het 2024 Arctic Wolf Labs Threat Report blijkt dat in bijna 40% van de onderzochte incidenten waarbij niet-zakelijke e-mailaccounts (‘non-business email compromise’ of ‘non-BEC’) werden gecompromitteerd, aanvallers inloggegevens gebruikten om in te loggen op een externe remote access-applicatie. Nog eens 7,3% van dergelijke incidenten betrokken eerder gestolen inloggegevens om toegang te krijgen tot de hele bedrijfsomgeving. Volgens het 2023 Cost of a Data Breach Report van IBM waren phishing en gestolen of gecompromitteerde inloggegevens verantwoordelijk voor respectievelijk 16% en 15% van alle aanvallen, met kosten van gemiddeld 4,76 miljoen dollar (4,37 miljoen euro) en 4,62 miljoen dollar (4,24 miljoen euro).
Waarom aanvallers identiteit als doelwit kiezen in cyberaanvallen
Hoewel misbruik van kwetsbaarheden en externe exploits vaker voorkomen, groeit het aantal identiteit-gebaseerde aanvallen door verbeterde tactieken van aanvallers en de verschuiving van organisaties naar cloud-omgevingen. Dit betekent echter niet dat identiteit geen prioriteit moet krijgen. Identiteitsaanvallen zijn namelijk effectief, zelfs als organisaties hun securitymaatregelen versterken.
Belangrijkste identiteitsdreigingen:
Er zijn verschillende manieren waarop aanvallers identiteiten kunnen aanvallen. Hoewel de individuele tactieken kunnen verschillen, bevatten ze allemaal hetzelfde doel: toegang verkrijgen tot een omgeving of dieper in de omgeving komen, om een geavanceerde cyberaanval te starten:
1. Diefstal van inloggegevens: met gestolen inloggegevens kunnen aanvallers onopgemerkt binnen een organisatie te bewegen, wat traditionele securitytools kan omzeilen.
2. Social engineering-aanvallen: phishing en smishing worden vaak gebruikt om toegang tot organisaties te krijgen, zoals bij de MGM Resorts-aanval.
3. Op wachtwoord gebaseerde aanvallen: hierbij gaat het bijvoorbeeld om ‘password spraying’, waarbij een aanvaller hetzelfde wachtwoord bij meerdere accounts probeert te gebruiken; ‘brute-force’-aanvallen, waarbij een aanvaller de inloggegevens probeert te raden; en ‘man-in-the-middle-aanvallen’, waarbij een aanvaller informatie die tussen twee gebruikers of apparaten wordt verstuurd, onderschept en ontcijfert. Man-in-the-middle-aanvallen worden veelal gebruikt om toegang te krijgen tot Active Directory.
4. Active Directory-aanvallen: Microsoft Active Directory (AD) is een lucratief doelwit vanwege de uitgebreide toegang die het biedt binnen organisaties – het bevat vaak de spreekwoordelijke sleutel tot het koninkrijk.
5. Compromitteren van zakelijke e-mail (BEC): BEC-aanvallen richten zich op legitieme interne e-mailaccounts – vaak van iemand van de financiële afdeling, HR of C-suite – om financiële fraude te plegen.
Bescherming tegen identiteitsdreigingen
Het beveiligen van gebruikers is complexer dan het beveiligen van servers. Gebruikers komen en gaan, krijgen toegang tot bepaalde informatie en applicaties en zijn vaak verantwoordelijk voor hun eigen wachtwoordhygiëne en beveiliging van hun devices. Toch zijn er diverse strategieën en tools om identiteitsdreigingen te bestrijden:
1. Identity Threat Detection and Response (ITDR): combineert threat intelligence, best practices, tools en processen om identiteitsinformatie te beschermen. ITDR omvat regelmatige analyses van toestemmingsconfiguraties, multi-factor authenticatie (MFA), Privileged Access Management (PAM), en monitoring van gebruikers en identiteitsbronnen. Veel managed detection and response (MDR)-oplossingen kunnen tegenwoordig identiteiten monitoren, naast andere componenten in de omgeving.
2. Identity and Access Management (IAM): net als ITDR bestaat IAM uit bredere richtlijnen die een organisatie moet gebruiken om zijn identiteitsinfrastructuur te maken en te beveiligen. IAM is geen proces wat na één keer uitvoeren klaar is, maar moet constant aangepast worden naarmate de operationele en securitybehoeften veranderen. IAM volgt vaak een zero trust-framework en het principe van toegang met zo min mogelijk bevoegdheden (PloP).
3. Multi-factor Authenticatie (MFA): een belangrijke toegangscontrole die helpt identiteitsaanvallen te voorkomen en afwijkend gedrag te signaleren.
4. Dark Web Monitoring: het monitoren van het dark web helpt organisaties te weten welke inloggegevens gecompromitteerd zijn en waar dreigingen mogelijk vandaan komen.
5. Uitgebreide Security Awareness-training: gebruikers trainen om phishing-mails te herkennen en sterke wachtwoordhygiëne te handhaven is cruciaal voor betere identiteitsbeveiliging.
Aanvullende strategieën voor identiteitsbeveiliging
Naast de eerder genoemde maatregelen, kunnen organisaties ook overwegen om geavanceerde authenticatiemethoden zoals biometrische verificatie te implementeren. Biometrische authenticatie, zoals vingerafdruk- of gezichtsherkenning, biedt een extra securitylaag omdat deze moeilijker te vervalsen zijn dan traditionele wachtwoorden.
Een andere belangrijke strategie is het regelmatig uitvoeren van penetratietests en het simuleren van aanvallen om zwakke plekken in de securityinfrastructuur te identificeren en te verhelpen voordat echte aanvallers deze kunnen exploiteren. Door een proactieve benadering te hanteren en voortdurend de securitymaatregelen te testen en te verbeteren, kunnen organisaties beter voorbereid zijn op potentiële dreigingen.
Conclusie
Identiteitsdreigingen vormen een groeiende uitdaging voor organisaties. Door een combinatie van geavanceerde securitytechnieken, regelmatige monitoring, en uitgebreide training kunnen organisaties hun identiteitsbeveiliging verbeteren en zich beter beschermen tegen cyberaanvallen. Het is van cruciaal belang dat organisaties zich bewust blijven van de alsmaar ontwikkelende dreigingen en hun securitymaatregelen blijven aanpassen aan deze dreigingen.
Dit is een ingezonden bijdrage van Arctic Wolf. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.