Wat de ergste scenario's betreft, is er weinig erger dan een bedrijfswijde wissen van alle verbonden apparaten. Toch is dat de realiteit waarmee het Amerikaanse medische technologiebedrijf Stryker wordt geconfronteerd na... getroffen door pro-Iraanse hackers Op 11 maart beweerde de Handala-groep 200,000 endpoints te hebben gewist en 50 TB aan data te hebben gestolen. De tijd zal leren of dit klopt, maar op het moment van schrijven... Stryker gaf toe dat de aanval "resulteerde in een wereldwijde verstoring van de Microsoft-omgeving van het bedrijf".
De vraag is in hoeverre Britse organisaties kwetsbaar zullen worden naarmate de cyberoorlog escaleert. Als het huidige regime zich voorbereidt op een lange termijnstrategie en online begint uit te halen, zou dat het begin kunnen betekenen van een gevaarlijke nieuwe periode.
Is het tijd om je zorgen te maken?
Het Nationaal Cyber Security Centrum (NCSC) verstrekte begeleiding Op 2 maart, kort nadat de Amerikaanse en Israëlische bommen op Iran begonnen te vallen, werd deze conclusie getrokken. Het land gelooft niet dat er sprake is van een "significante verandering in de directe cyberdreiging vanuit Iran". Hoewel de Stryker-aanval deze inschatting niet lijkt te hebben veranderd, zou deze beoordeling in de toekomst kunnen wijzigen. Er zijn al drones afgevuurd op een RAF-luchtmachtbasis op Cyprus. Het is dus niet ondenkbaar dat cyberaanvallen ook op Britse bedrijven worden uitgevoerd, met name op bedrijven met banden met Israël (zoals Stryker).
Organisaties die zich meer zorgen moeten maken, zijn die met een aanwezigheid (bijvoorbeeld vestigingen) of toeleveringsketens in het Midden-Oosten. Het risico kan voortkomen uit fysieke of digitale aanvallen. Drie AWS-datacenters in de VAE en Bahrein. zijn al getroffen door drones Dit kan bijvoorbeeld leiden tot storingen. Tegelijkertijd zouden cyberaanvallen op filiaalvestigingen of regionale toeleveringsketens indringers theoretisch gezien toegang kunnen verschaffen tot systemen, met als doel om vervolgens door te dringen tot aangesloten netwerken elders.
De bezorgdheid wordt nog versterkt doordat de Islamitische Revolutionaire Garde (IRGC) volgens Flashpoint verschillende Amerikaanse technologiebedrijven als doelwit heeft aangewezen vanwege hun banden met Israël of hun clouddiensten. Het gaat om AWS, Google, Microsoft, Oracle en IBM, maar ook om Nvidia en Palantir. Regionale bankcentra met banden met de VS en Israël zijn eveneens door het regime op de korrel genomen.
Wat te verwachten
Wat kunnen Britse bedrijven en/of hun partners verwachten als ze het doelwit worden van Iraanse hackers? Volgens analyse door HalcyonDe dreiging komt mogelijk van door de staat gesteunde hackers en aanverwante hacktivistische groeperingen:
"We verwachten dat Iran de komende weken pogingen tot misleiding, proxy's en destructieve middelen tegen Amerikaanse netwerken zal inzetten:
- Het inzetten van Distributed Denial of Service (DDoS)-aanvallen tegen hostingproviders.
- Het inzetten van ransomware voordat de gegevens van een organisatie worden gewist en/of het gebruik van destructieve software, oftewel malware, die systeemherstel onmogelijk maakt.
- Het benutten van langdurige toegang voor spionage en data-exfiltratie ten behoeve van destructieve aanvallen en/of het lokaliseren van dissidenten voor verdere doelwitting.”
Het is zorgwekkend dat Iraanse cybercriminelen mogelijk al binnen bepaalde bedrijfsnetwerken zijn geïnfiltreerd, zoals blijkt uit... dit rapportDe denktank Center for Strategic and International Studies (CSIS) zegt“Financiële diensten, waterleidingbedrijven en transportinfrastructuur, waarvan vele afhankelijk zijn van verouderde controlesystemen, blijven aantrekkelijke doelwitten voor Iraanse actoren naarmate het gewapende conflict escaleert.”
Michael Crean, SVP Managed Services bij SonicWall, vertelt aan IO (voorheen ISMS.online) dat cybercriminelen zich steeds meer afwenden van "grootschalige scans en DDoS-aanvallen" en zich richten op het exploiteren van kwetsbaarheden.
“Aanvallers richten zich steeds vaker op webapplicaties, databases en servers met behulp van technieken zoals SQL-injectie, path traversal en remote code execution. Dit soort aanvallen is vaak bedoeld om eerst toegang tot systemen te krijgen, voordat ze dieper in een netwerk doordringen”, vervolgt hij.
"Als de spanningen aanhouden, kunnen we ontwrichtende activiteiten zien zoals het beschadigen van websites, diefstal en lekken van gegevens, of DDoS-aanvallen op publiekelijk toegankelijke diensten. Destructieve malware zoals wipers is mogelijk tijdens een escalatie, hoewel de huidige gegevens vooral wijzen op verkennende en misbruikende activiteiten in plaats van wijdverspreide destructieve aanvallen."
Tijd om veerkracht op te bouwen
Vernietiging was het doel van Stryker, en volgens meldt Het vereiste niet eens de verspreiding van malware – alleen de compromittering van een Intune-beheerdersaccount was voldoende. Dat laat zien waarom een holistische aanpak van de weerbaarheid van systemen prioriteit moet hebben.
Het NCSC dringt er bij Britse CISO's op aan om eerder uitgegeven adviezen te raadplegen over DDoS-aanvallen, phishing-activiteit en het richten op industriële besturingssystemen (ICS). Voor bedrijven met toeleveringsketens of vestigingen in de regio, raadt het zijn gids voor veerkracht in tijden van verhoogde dreiging. Aanbieders van kritieke infrastructuur (CNI) zijn Er wordt aangedrongen om zich nu voor te bereiden.
Volgens Crean van SonicWall moeten CISO's zich richten op zichtbaarheid, het installeren van patches en voorbereiding.
"Bedrijven zouden ook hun blootstelling aan risico's in de toeleveringsketen moeten evalueren en de cybersecuritystatus van belangrijke leveranciers en partners moeten beoordelen. Verbeterde monitoring van ongebruikelijke authenticatieactiviteiten, afwijkingen in webapplicaties en laterale bewegingen kan helpen om vroegtijdige tekenen van inbreuken te detecteren", voegt hij eraan toe.
"Tot slot moeten incidentresponsplannen worden getest en paraat staan, zodat organisaties snel kunnen reageren als cyberactiviteiten die verband houden met geopolitieke spanningen zich beginnen te verspreiden."
James Shank, directeur van de afdeling dreigingsanalyse bij Expel, dringt er bij beveiligingsmanagers op aan om het hoofd koel te houden en zich te concentreren op de "basisprincipes" om de beveiligingspositie te verbeteren.
"Benadruk het belang van wantrouwen jegens communicatie en pas dit ook toe op uw servicedesk. Overweeg extra controles in te voeren voor zaken als wachtwoordresets of MFA-wijzigingen", vertelt hij aan IO. "Versterk de authenticatie door de frequentie van de authenticatie-uitdagingen te verhogen, de sessietime-outs te verkorten en strengere controles op toegangsbeleid af te dwingen. Hanteer het principe van minimale bevoegdheden en vergrendel het toegangsbeheer."
CISO's moeten ook de logactiviteit controleren op verdachte aanmeldingen, laterale bewegingen en privilege-escalatie, waarbij ze rekening moeten houden met de mogelijkheid van vooraf ingestelde toegang. Ook de observeerbaarheid van OT is belangrijk. Daarom moeten OT/ICS in deze audits worden meegenomen.
"Verbeter tot slot de communicatie tussen je teams", adviseert Shank. "Het delen van context tussen beveiliging, IT, OT en de business vertraagt aanvallers meer dan men denkt."
Discipline te midden van chaos
Normen zoals ISO 27001 kunnen in tijden als deze een belangrijke rol spelen bij het handhaven van discipline, vervolgt Shank. "Crisismomenten kunnen leiden tot chaos, overmatige koerswijzigingen en een gebrek aan duidelijkheid over prioriteiten", zegt hij. "Raamwerken bieden richtlijnen om duidelijke en consistente verantwoording te waarborgen, waardoor de chaos beheersbaar blijft en zorgvuldigheid de boventoon voert."
Crean van SonicWall is het hiermee eens en stelt dat best practice-raamwerken de broodnodige structuur bieden aan cyberrisicobeheer.
“ISO 27001 is een wereldwijd raamwerk voor het opzetten van een informatiebeveiligingsbeheersysteem dat organisaties helpt bij het identificeren van kritieke activa, het beoordelen van risico's en het implementeren van passende beheersmaatregelen. Het omvat gebieden zoals toegangsbeheer, incidentrespons, leveranciersbeveiliging en bedrijfscontinuïteit”, concludeert hij.
"Hoewel standaarden op zichzelf geen cyberaanvallen kunnen voorkomen, helpen ze organisaties wel te zorgen voor de governance, processen en veerkracht die nodig zijn om effectief te reageren wanneer dreigingen toenemen tijdens perioden van geopolitieke spanning."
Breid je kennis uit
Podcast: Phishing voor problemen, aflevering #04: Sta jij aan de frontlinie van de verdediging?
Blog: Van perimeterbeveiliging naar identiteit als beveiliging.
Blog: Eén keer bouwen, overal voldoen: het Multi-Framework Compliance Handboek
