image

Cisco: aanvalsvector door gebrek aan logging bij meeste incidenten onbekend

zaterdag 22 januari 2022, 16:29 door Redactie, 12 reacties

Net als in 2020 zorgde een gebrek aan logging er ook vorig jaar voor dat bij de meeste incidenten de aanvalsvector onbekend was, zo stelt Cisco in een terugblik op 2021. Wanneer het wel bekend is hoe aanvallers binnenkwamen gaat het in de meeste gevallen om misbruik van via internet toegankelijke applicaties en phishing.

Met name kwetsbaarheden in veelgebruikte software bleek vorig jaar een rijke voedingsbodem voor aanvallers te zijn. Verschillende beveiligingslekken in Microsoft Exchange Server zorgden volgens Cisco voor een cluster aan incidentonderzoeken.

De toename van phishingaanvallen heeft volgens Cisco te maken met het feit dat het een veelgebruikte aanvalsvector is voor de verspreiding van ransomware, wat de voornaamste dreiging van vorig jaar was. Daarnaast was er vorig jaar ook een toename van business email compromise (BEC). Bij BEC, waar ook ceo-fraude onder valt, weten aanvallers via bijvoorbeeld phishing of zwakke of hergebruikte wachtwoorden toegang tot e-mailaccounts te krijgen.

Via de gekaapte accounts sturen de aanvallers bijvoorbeeld verzoeken naar leveranciers om betalingen naar andere rekeningen over te maken, of wordt de financiële administratie van de aangevallen organisatie verzocht om bepaalde facturen te betalen, waarbij het geld moet worden overgemaakt naar door de aanvallers opgegeven rekeningen.

Verder stelt Cisco dat het ontbreken van multifactorauthenticatie (MFA) één van de grootste belemmeringen voor enterprise security is. In veel gevallen hadden ransomware-incidenten voorkomen kunnen worden als MFA voor belangrijke diensten was ingeschakeld, aldus het netwerkbedrijf, dat organisaties dan ook oproept om waar mogelijk MFA in te schakelen.

Reacties (12)
22-01-2022, 16:31 door Anoniem
Tja door gebrek aan logging is de aanvalsvector bij de meeste incidenten onbekend, maar bij het grootste incident
was logging juist de aanvalsvector. Zo is het altijd wat.
22-01-2022, 21:13 door Anoniem
Wereld record leider Cisco van meest onnodige logging ter wereld is daar wel de oorzaak van...
Ik heb nog nooit zoveel logging gezien als bij cisco apparatuur waarvan 99% gewoon zinloos is.
Ik vind het niet gek dat je dan alles uitbzet
22-01-2022, 23:54 door Anoniem
Door Anoniem: Wereld record leider Cisco van meest onnodige logging ter wereld is daar wel de oorzaak van...
Ik heb nog nooit zoveel logging gezien als bij cisco apparatuur waarvan 99% gewoon zinloos is.
Ik vind het niet gek dat je dan alles uitbzet

Wat een totaal onzinnige opmerking dit. Als je ook maar een beetje kennis zou hebben gehad van Cisco apparatuur en de configuratie, dan weet je dat logging juist extreem flexibel is. Je kan over het algemeen exact bepalen wat je wel en wat je niet gelogd wilt hebben, tot in de details.
23-01-2022, 01:18 door johanw
Wat de meest gebruikte aanvalsvector is om op Cisco apparatuur binnen te komen is onderhand wel bekend: de vele, vele accounts die verborgen aanwezig zijn met hardcoded login gegevens. Als iemand zo vaak hetzelfde "foutje" maakt als Cisco neemt ieder ander gewoonlijk opzet aan.
23-01-2022, 04:52 door Anoniem
Kwetsbaarheden in veel gebruikte software. Ja daar heb ik de naam Cisco ook vaak voorbij zien komen. Misschien eerst je eigen zaken op orde hebben voordat je adviezen en onderzoek gaat uitbrengen? De 5-eyes zullen er ongetwijfeld dankbaar gebruik van maken.
23-01-2022, 05:29 door Anoniem
Door Anoniem: Wereld record leider Cisco van meest onnodige logging ter wereld is daar wel de oorzaak van...
Ik heb nog nooit zoveel logging gezien als bij cisco apparatuur waarvan 99% gewoon zinloos is.
Ik heb geen verstand van Cisco-apparatuur, maar bij mij komt nu onmiddelijk de gedachte op dat als je netwerk gecompromitteerd is, ondanks alle maatregelen die je genomen had, en je geen idee hebt hoe dat verkeerd heeft kunnen gaan, het precies die gedetailleerde logging kan zijn waar na noest speurwerk de onregelmatigheid in terug te vinden is die duidelijk maakt wat er mis is gegaan.

Die apparatuur logt dingen die op je netwerk gebeuren. Als je 99% daarvan uitschakelt dan zie je kennelijk 99% van de gebeurtenissen op je netwerk, of details daarover, niet meer. Als je met het raadsel zit hoe je netwerk in vredesnaam gecompromitteerd kon raken, als dat gebeurd is op een manier die jij niet hebt zien aankomen, dan kan het antwoord heel goed ergens in de 99% zitten die jij hebt uitgeschakeld. Je oordeel van wat zinvol is is namelijk gebaseerd op wat je wél van te voren wist te bedenken.
Ik vind het niet gek dat je dan alles uitbzet
Ik zou eerst zeker willen weten dat ik niet iets over het hoofd zie. Vinden de experts die je inhuurt om na een geavanceerde inbraak in je netwerk forensisch onderzoek te doen ook dat die logging zinloos is, of is dat misschien precies wat in hun onderzoek het verschil gaat maken?
23-01-2022, 14:02 door Anoniem
Nee, Cisco logt geen dingen die "op het netwerk gebeuren" (tenzij je netflow, CFM of externe logs aan zet of wat gelijkwaardigs, alleen is dan cisco NOG trager dan het normaal al is. Bij een hack is het niet van belang dat een sfp teveel of te weinig signaal ontvangt, dat een werkplek gereboot is of dat het vorige bericht al 99 keer gelogt is.
23-01-2022, 17:36 door Anoniem
Door Anoniem: Wereld record leider Cisco van meest onnodige logging ter wereld is daar wel de oorzaak van...
Ik heb nog nooit zoveel logging gezien als bij cisco apparatuur waarvan 99% gewoon zinloos is.
Ik vind het niet gek dat je dan alles uitbzet
Ik ben het helemaal met je eens, die logs zijn niet te parsen, te veel zooi , te veel commas, en het allerleukste, fieldnames verschillen ook nog per versie van het OS. Succes met slim parsen..
23-01-2022, 17:38 door Anoniem
Door Anoniem: Nee, Cisco logt geen dingen die "op het netwerk gebeuren" (tenzij je netflow, CFM of externe logs aan zet of wat gelijkwaardigs, alleen is dan cisco NOG trager dan het normaal al is. Bij een hack is het niet van belang dat een sfp teveel of te weinig signaal ontvangt, dat een werkplek gereboot is of dat het vorige bericht al 99 keer gelogt is.

Cisco logt wel dingen die op het netwerk gebeurt, maar het ligt er inderdaad wel aan waar je die logs naar toe stuurt en welke plugins je allemaal gebruikt. Sourcefire, is onderdeel van de Cisco suite, weet niet hoe het heet tegenwoordig, maar dat is toch echt wel DPI.
23-01-2022, 20:54 door Anoniem
Geen probleem, Cisco doet het al in opdrcht van de NSA
24-01-2022, 09:36 door Anoniem
Als de boel op orde zou zijn, dan was het incident er niet geweest...
24-01-2022, 12:38 door Anoniem
Ik kom nog uit de tijd dat teveel logging op een Cisco performance issues gaf, en het advies was toen ook om vooral geen debugging te doen, tenzij je wist waar je mee bezig was. Is dat probleem inmiddels opgelost dan nu ze met dit advies komen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.