Tijdens een recente beveiligingsconferentie heeft een topman van de NSA het publiek uitgelegd wat ze kunnen doen om hun netwerken en systemen beter te beveiligen en zo het leven van inlichtingendiensten als de NSA een stuk lastiger te maken.
Vorige week vond de USENIX Enigma beveiligingsconferentie in San Francisco plaats. Rob Joyce, hoofd van de NSA's Tailored Access Operations (TAO), gaf een presentatie genaamd Disrupting Nation State Hackers (pdf). In zijn presentatie bespreekt Joyce hoe de NSA netwerken aanvalt en wat hier aan gedaan kan worden. "Als je echt je netwerk wilt beschermen, moet je je netwerk kennen, waaronder alle apparaten en beveiligingstechnologie die er onderdeel van uitmaken. In veel gevallen kennen wij netwerken beter dan de mensen die ze hebben ontworpen of beveiligen."
De NSA volgt daarbij zes fases om toegang tot een netwerk te krijgen, namelijk verkenning, eerste exploitatie, het verkrijgen van permanente toegang, het installeren van tools, lateraal door het netwerk bewegen en als laatste data verzamelen, terugsturen en gebruiken. Daarbij maakt de NSA vaak geen gebruik van zero day-lekken. Sterker nog, volgens Joyce komt het gebruik van onbekende kwetsbaarheden niet vaak voor. Vaak beginnen de aanvallen met traditionele aanvalsvectoren, zoals e-mailbijlagen en drive by-downloads via besmette websites.
Ook het aanvallen van bekende kwetsbaarheden die niet door organisaties zijn gepatcht is een beproefde methode. Volgens Joyce een belangrijk wapen in het hackingarsenaal van de NSA dan ook uitgebreide kennis en een flinke portie geduld. "Er is een reden dat het Advanced Persistent Threats worden genoemd, omdat we blijven rondneuzen en wachten. We wachten op die opening en gelegenheid om de missie te volbrengen."
Deze posting is gelocked. Reageren is niet meer mogelijk.