'Russen, Amerikanen én Chinezen zitten op je netwerk'
De discussie over wie er achter recent onthulde cyberspionage zit is alleen belangrijk voor politici en partijen die overheidsgeld zoeken, de realiteit is dat zowel de Amerikanen, Russen, Chinezen als Iraniërs op je netwerk zitten. Dat stelt Michael Mimoso van Kaspersky Lab. Deze week publiceerde Mandiant een rapport over cyberspionage door een Chinese legereenheid.
"Weten wie er achter een netwerkaanval zit maakt weinig uit voor een bank, restaurant of winkelketen. Je wilt ze gewoon van je netwerk af hebben, en je wil je spullen terug waar ze horen", merkt Mimoso op. Het maakt dan ook niet zoveel uit of 'Unit 61398' of een andere eenheid verantwoordelijk is.
Toch lijkt de discussie voornamelijk over 'attributie' te gaan en worden rapporten zoals die van Mandiant gebruikt om overheidsbudget los te peuteren, repressieve wetgeving door te drukken, of in het geval van leveranciers nieuwe anti-APT-apparatuur te verkopen, gaat Mimoso verder.
"Weten wie het doet? Ik zie daar de waarde niet van in", zegt security consultant Michael Keith. "Het is niet dat je je verliezen op die persoon kunt verhalen. Als het dieven van beroep zijn, hebben ze geen legitieme middelen om achter aan te gaan."
Keith merkt op dat de meeste van zijn klanten geen bewijs willen bewaren om de daders te kunnen vervolgen. Ze willen weten wat er verloren ging, de schade opruimen en weten hoe ze het in de toekomst kunnen voorkomen. "De doorsnee aanvaller richt zich op bekende bugs die nog niet gepatcht zijn, of lekken in zelf ontwikkelde webapplicaties."
Buiten houden
Het proberen buiten te houden van aanvallers is een kostbare zaak, reden voor Lockheed Martin om een andere aanpak te kiezen. Namelijk het voorkomen dat aanvallers informatie van het netwerk kunnen meenemen. Het bedrijf brengt dan ook de werkwijze van de aanvallers in kaart om ze op tijd te kunnen stoppen.
"Het is geen probleem als ze je huis binnenkomen. Ik sta klaar met mijn shotgun en ze zullen mijn huis niet verlaten", aldus Steve Adegbite van Lockheed Martin. "Het probleem is niet de inbraak, maar mensen die ervandoor gaan, dat is interessant"
A-Team
Het stoppen van echt goede hackers is bijna onmogelijk, stelt Richard Bejtlich, chief security officer bij Mandiant. Volgens hem behoren de hackers die het bedrijf in het recent gepubliceerde rapport ontmaskerde niet tot de allerbeste.
"Ik zou willen zeggen dat de beste hackers ter wereld niet te stoppen zijn. Het is gewoon een kwestie van hoe snel jij bent tegenover hoe snel zij zijn. Daar komt het op neer." Wat betreft het niveau tussen hackers uit de verschillende landen is er geen groot verschil merkt Bejtlich op.
"Onze jongens zijn zeker weten beter dan APT1 [de Chinese hackers die in het rapport van Mandiant worden genoemd - red.]. Maar onze beste jongens zijn waarschijnlijk van hetzelfde niveau als de beste jongens van hen, die weer gelijk zijn aan de jongens van de Russen en Israëliërs."
My two cents...
Alle overheden zullen wel bezig zijn met cyberspionage, en dat doen ze al jaren. Is er iets om bang voor te zijn? nee. Tenzij je natuurlijk illegale dingen aan het doen bent op het internet.
"Ik zou willen zeggen dat de beste hackers ter wereld niet te stoppen zijn. Het is gewoon een kwestie van hoe snel jij bent tegenover hoe snel zij zijn. Daar komt het op neer."
Grote onzin, en zulke uitspraken komen meestal voort uit onvermogen en onkunde. Je kunt wel hackers en data leakage stoppen op specifieke systemen. Je moet je beveiliging integreren in plaats van het alleen plaatsen van "boxes", dus geen slecht functionerend DLP doos plaatsen. De beveiliging dient intrinsiek te zijn. Ga eens aan het werk i.p.v. deze defaitische houding aan te nemen en af te wachten tot je iets ziet als het al te laat is.
Maar jij noemt dat "grote onzin"
wat ga jij op je IDS monitor zien als een gebuiker van jou netwerk via https verbinding maakt naar http://www.eendomain.com?? helemaal niks of ga je me nou vertellen dat je met "aan het werk" bedoeld dat we alle connectie's van iedereen binnen ons netwerk live moeten monitoren??
je kan zoveel dozen plaatsen als je wil makker, maar daar gaan je het bovenstaande niet mee tegen houden.µ
ook niet met hele slimme dozen... zucht;
Maar jij noemt dat "grote onzin"
wat ga jij op je IDS monitor zien als een gebuiker van jou netwerk via https verbinding maakt naar http://www.eendomain.com?? helemaal niks of ga je me nou vertellen dat je met "aan het werk" bedoeld dat we alle connectie's van iedereen binnen ons netwerk live moeten monitoren??
je kan zoveel dozen plaatsen als je wil makker, maar daar gaan je het bovenstaande niet mee tegen houden.µ
ook niet met hele slimme dozen... zucht;
:) Je bent het met me eens, al denk je van niet.
Targeted attacks vinden meestal plaats van buitenaf, ook die jij hier als binnenuit betiteld. Een virusscanner is onvoldoende als middel tegen target attacks. Dat is logisch, want de daarbij gebruikte malware is niet in algemene omloop gebracht en dus vaak niet of veel te laat bekend bij AV producenten. Het gaat om intrinsieke beveiliging, beveiliging IN een systeem, vertrouw niet op content scanners en DLP dozen waarvan marketeers beweren dat die het wel veilig te maken.
Dat intrinsiek veilig maken kost moeite en vereist inventiviteit, daarom moet je als beveiliger de mouwen opstropen.
Helaas gebeurt dat in de praktijk veel te weinig. In plaats daarvan wordt gekozen voor monitoring. Staat ongetwijfeld leuk in de statistieken om te kunnen zeggen: er zijn 100 aanvallen geweest. Maar waar het echt om gaat is het voorkomen dat een aanval doel treft.
@yobi: pentesten op zichzelf is veel te beperkt. Je moet ervoor zorgen dat je systemen zelf veilig zijn. Daarbij ga je als vanzelf kijken of het werkt zoals je hebt bedacht. Dat is onderdeel van het beveiligen zelf.
Dat gaat niet afdoende werken tegen targeted attacks, die vinden meestal op afstand plaats via email als transportmiddel. Als je Internet(browser-)toegang uitsluitend laat lopen via een terminal sessie, dan heb je in ieder geval de route naar buiten moeilijker gemaakt. Het uiteindelijke doel moet zijn het blokkeren van de aanvallen zelf. Je moet een volledige analyse maken van de situatie en de zwakke plekken herkennen en aanpakken.
Bedenk ook dat als je het werken van gebruikers moeilijk maakt, ze zullen zoeken naar alternatieven en die zijn doorgaans slecht of helemaal niet beveiligd. Ze stappen bijvoorbeeld over naar gratis webbased email als de bedrijfsemailfilter te streng staat afgesteld.
Dat gaat niet afdoende werken tegen targeted attacks, die vinden meestal op afstand plaats via email als transportmiddel. Als je Internet(browser-)toegang uitsluitend laat lopen via een terminal sessie, dan heb je in ieder geval de route naar buiten moeilijker gemaakt. Het uiteindelijke doel moet zijn het blokkeren van de aanvallen zelf. Je moet een volledige analyse maken van de situatie en de zwakke plekken herkennen en aanpakken.
Bedenk ook dat als je het werken van gebruikers moeilijk maakt, ze zullen zoeken naar alternatieven en die zijn doorgaans slecht of helemaal niet beveiligd. Ze stappen bijvoorbeeld over naar gratis webbased email als de bedrijfsemailfilter te streng staat afgesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
