De meeste cyberdreigingen lijken niet meer op dreigingen

James Johnson, Regional Sales Director Northern Europe van Bitdefender.

Uit een recente analyse van Bitdefender van 700.000 cyberincidenten blijkt dat cybercriminelen bij 84 procent van de ernstige incidenten gebruik maken van LOTL-technieken. Om hier effectief tegen op te treden, moeten organisaties hun kijk op het aanvalsoppervlak radicaal herzien, stelt James Johnson, Regional Sales Director Northern Europe van Bitdefender.

Tijdlijn: op malware gebaseerde aanvallen

De afgelopen jaren maakten cybercriminelen gebruik van malware en speciaal ontwikkelde tools. Wanneer deze tools binnen een organisatie werden geïntroduceerd, veroorzaakten ze ‘ruis’ omdat ze zich anders gedroegen dan normale processen. Dit leidde tot meldingen in traditionele EDR- en XDR-oplossingen.

Door de opkomst van kunstmatige intelligentie (AI) en AI-varianten zoals machine learning (ML) werden detectiepercentages snel beter. Dat leidde tot sterkere beveiligingsresultaten. Deze ontwikkeling verkleinde echter de speelruimte van aanvallers, die ze hun strategieën aan moesten passen.

Dreigingsactoren misbruiken legitieme tools

Het rapport Cybersecurity Assessment Nederland 2024 (CSAN) benadrukt dat dreigingsactoren hun methodes aanpassen door LOTL-technieken te integreren. “Statelijke en criminele actoren zoeken actief naar nieuwe aanvalsvectoren”, onderstreept Johnson, “zoals randapparatuur of het toepassen van Living-Off-the-Land-technieken.”

Nieuw onderzoek van Bitdefender toont aan dat 84 procent van de ernstige aanvallen nu gebruik maakt van legitieme tools en binaries om op te gaan in dagelijkse activiteiten. Door dergelijke tools in te zetten, kunnen aanvallers weken of zelfs maanden onopgemerkt blijven binnen netwerken. In veel gevallen ontdekt een organisatie de aanwezigheid van malafide actoren pas nadat de laatste fase van de aanval is ingezet.

Welke tools worden gemanipuleerd?

De meeste organisaties beschikken over honderden geïnstalleerde en ingeschakelde beheertools. Zo gebruikt 99 procent van de bedrijven Bitsadmin niet actief, maar is deze wel geïnstalleerd. Hetzelfde geldt voor tools zoals PowerShell. Deze tools worden zelden gebruikt door gewone medewerkers, maar zijn wel toegankelijk op endpoints en servers.

Dit leidt tot een groter risico: het aanvalsoppervlak wordt onnodig uitgebreid, terwijl zichtbaarheid ontbreekt in gebieden waar IT- en DevOps-teams sterk leunen op deze tools voor automatisering en beheer. Dit biedt aanvallers volop kansen om zich onopgemerkt door netwerken te bewegen.

Huidige aanpakken volstaan niet

Het feit dat legitieme tools frequent worden misbruikt, toont aan dat de huidige aanpak tekortschiet. Veel organisaties werken met allowlists en blocklists om het aanvalsoppervlak te beperken. Maar in dynamische omgevingen is deze aanpak enorm arbeidsintensief en vrijwel onhaalbaar. Rollen veranderen, net als de bijbehorende tools en gebruikers.

Daarom zijn er tools voor applicatiebeheer ontwikkeld. In eerste instantie leken deze tools veelbelovend, maar door het gebruik van statische en generieke beleidsregels zijn ze zelden in staat een goede balans te vinden tussen veiligheid en productiviteit.

Johnson hierover: “Te weinig restrictie laat ruimte voor LOTL-aanvallen; te veel leidt tot frustratie en verminderde efficiëntie. De uitdagingen zijn groot, maar tegelijkertijd biedt dit kansen voor een nieuw paradigma in cybersecurity.”

Proactief aanvalsoppervlak verkleinen

Nu dreigingsactoren overstappen van detecteerbare malware-aanvallen naar het misbruiken van LOTL-technieken, is het cruciaal dat organisaties op een nieuwe manier het aanvalsoppervlak verkleinen. Dit is geen ‘nice to have’ meer, benadrukt Johnson: het is een noodzaak.

“Bitdefender introduceerde in dit kader onlanfs GravityZone Proactive Hardening and Attack Surface Reduction (PHASR). Dit is 's werelds eerste endpoint-beveiligingsoplossing die hardening dynamisch afstemt op het gedrag en de privileges van individuele gebruikers. Deze technologie zorgt ervoor dat beveiligingsinstellingen voortdurend aangepast worden aan de werkelijke risico’s, waardoor het aanvalsoppervlak aanzienlijk wordt verkleind.”

PHASR beperkt de toegang tot Living-Off-the-Land Binaries (LOLBins) voordat deze binaries kunnen worden misbruikt. Zo wordt de kans op datalekken verminderd en de meldingsdruk verlaagt, terwijl de beveiligingskosten dalen.

Nieuw paradigma voor beveiliging

Drie belangrijke uitgangspunten vormen het fundament voor dit nieuwe paradigma:

1. Erken de beperkingen van een uniforme aanpak.

Eén generiek beveiligingsbeleid voor alle gebruikers leidt óf tot onaanvaardbare risico’s, óf tot verminderde innovatie. Door gebruikersgedrag te correleren met actuele dreigingsvectoren, bepaalt PHASR per gebruiker de optimale beveiligingsinstellingen.

2. Blijf innoveren met AI.

AI helpt om razendsnel onderscheid te maken tussen normaal en afwijkend gedrag van legitieme tools. PHASR is gebaseerd op jarenlange ervaring met machine learning binnen het GravityZone-platform en past zich in real-time aan de specifieke risicoprofielen van workloads, infrastructuurcomponenten en bedrijfsonderdelen aan.

3. Combineer detectie met proactieve maatregelen.

Door vooraf het aantal mogelijkheden voor aanvallers te beperken, wordt het eenvoudiger om hen te stoppen. Het verkleinen van het aanvalsoppervlak is een essentiële eerste stap.

Wat nu?

Het is tijd voor een nieuw beveiligingsparadigma, concludeert Johnson. “Organisaties moeten aan de slag om risicovolle applicaties automatisch te identificeren, analyseren en – zo nodig – uit te schakelen. Dreigingsactoren blijven zich namelijk aanpassen; organisaties moeten dat dus ook doen.”

Meer weten over GravityZone PHASR en hoe het endpointbeveiliging herdefinieert? Lees hier verder of neem contact op met hvanwissen@bitdefender.com of sales@dcc-nederland.nl.