Relatief weinig aandacht voor PrivEsc lekken
De aandacht voor privilege escalation kwestbaarheden (zowel bij leveranciers bij goed aardige- als bij lwaadaardige onderzoekers) neemt pas de laatste jaren wat toe, maar wordt nog steeds ondergesneeuwd door "remote" kwetsbaarheden. Zoals enerzijds lekken in Adobe Flash, Microsoft Silverlight, PDF readers, Oracle Java, webbrowsers, Office pakketten en anderzijds PEBKAC's [1] met vaak uiterst "zichtbare" schade als gevolg.

Untargeted versus targeted attacks
Bij langer (tot eindeloos) onzichtbaar blijvende digitale inbraken (zowel op systemen van particulieren als op systemen van organisaties, van MKB tot "gigant"), die vaak het gevolg zijn van targeted attacks, vermoed ik dat privilege escalation kwetsbaarheden een veel grotere rol spelen dan bij untargeted attacks. Daarbij vermoed ik dat het aantal tot nu toe gevonden privilege escalation lekken door te vertrouwen onderzoekers, nog slechts het topje van de ijsberg vormt. En dat, voor een nog veel kleiner ijsbergtopje, inmiddels updates zijn gepubliceerd. Waarmee het installeren van dergelijke patches/updates vergelijkbaar is met dweilen met de kraan open.

Advies #1: doe het beter dan "de buren"
Consequentie: als je al die patches trouw en snel installeert, zullen targeted attackers hooguit "aan meer deuren moeten rammelen" om er één te vinden die nog niet op slot zit. Je kunt alleen maar hopen dat ze dan stoppen bij jou en verder gaan rammelen bij "de buurman" (liefst een concurrent natuurlijk), in de hoop dat die ietsje minder insecurity aware is.

Advies #2: hou rekening met system compromise na targeted attack en toegang tot low privileged account
Ik raak er steeds meer van overtuigd dat, als een gerichte aanvaller toegang krijgt tot een account met beperkte privileges (user rights) op een PC (of ander device met een microprocessor), je ervan uit moet gaan dat die aanvaller slim genoeg is om SYSTEM (Windows) of root (Linux) privileges te krijgen. M.a.w. als je een low-privileged gebruikt dat gecompromitteerd raakt, is het wel zaak om met grote zorgvuldigheid vast proberen te stellen dat de aanvaller geen verhoogde privileges heeft weten te bemachtigen. Want dat betekent dat niet alleen alles wat opgeslagen is "onder jouw account", maar jouw hele systeem als gecompromitteerd moet worden beschouwd.

Advies #3: onderzoek andere systemen aan jouw netwerk na een succesvolle targeted attack
Feitelijk moet je ervan uitgaan dat als een targeted attacker toegang tot een systeem aan jouw netwerk heeft gekregen, alle systemen die zijn gekoppeld aan dat netwerk, wel eens gecompromitteerd kunnen zijn.

Advies #4: gebruik toch zoveel mogelijk low privileged accounts
Hoewel ransomware helemaal geen hogere privileges nodig heeft dan jouw account heeft, is het echter nog steeds zinvol om, voor alle andere werkzaamheden dan beheertaken, een low-privileged account te gebruiken. Want de meeste gebruikers hebben niet zoveel te vrezen van targeted attacks (anders kan dat zijn als aanvallers weten dat jij een bijzonder functie bekleedt en/of een flink saldo op jouw bank/spaarrrekeningen hebt c.q. grote bedragen kan en mag overschrijven).

[1] https://en.wikipedia.org/wiki/User_error

Advies 5 Doe aan detectie na de preventie.
SIEM is de eerste stap. Preventie maatregelen hebben maar een beperkte waarde. Als je weet wat er mis is en waar het mis gaat kun je dat gericht isoleren en mitigeren.
Een uitspraak als: "er is iets mis maar we weten niet wat, dus is alles mogelijk verkeerd" is fud. Het is voor een kleine omgeving nog acceptabel met een valide getest DR-plan en goede Backup. Voor een grotere omgeving is het niet acceptabel. Denk na of de kosten/baten te verantwoorden zijn.

Advies 6 zorg voor een goede backup in combinatie met een DR plan. Gaat er iets niet goed wat is dan mooier dan gewoon een frisse desktop binnen notie en alle goede data te hebben. Indien je organisatie te klein is voor deze meer advanced persistent continuity (BCM) methodes denk dan aan outsourcing naar partijen die dat onderbouwd gecontroleerd aanbieden. (ja de cloud benadering)