Perimetergebaseerde aanvallen maken een comeback: hier leest u hoe u veilig kunt blijven ISMS.online

Perimetergebaseerde aanvallen maken een comeback: hier leest u hoe u veilig kunt blijven

Door Phil Muncaster • 4 april 2024

We zijn gewend te horen dat de traditionele netwerkperimeter dood is. Dat de komst van cloud-apps, thuiswerken en alomtegenwoordige mobiele apparaten een meer vloeiende, gedistribueerde zakelijke IT-omgeving heeft gecreëerd. Dat kan tot op zekere hoogte waar zijn. Maar zelfs als werknemers toegang hebben tot zakelijke SaaS-apps, zal er meestal nog steeds een soort bedrijfsnetwerk bestaan. En applicaties of apparaten die zich aan de rand ervan bevinden.

De uitdaging voor IT-beveiligingsteams is dat deze producten steeds vaker worden aangevallen door bedreigingsactoren. De situatie is zo slecht dat het Nationaal Cyber Security Centrum (NCSC) onlangs uitgebrachte richtlijnen over hoe deze risico’s kunnen worden beperkt. Netwerkverdedigers moeten hier rekening mee houden.

Van toen naar nu

Zoals het NCSC uitlegt, is de huidige aanpak van perimeterproducten een soort terugkeer naar de begindagen van het internet, toen bedreigingsactoren misbruik maakten van de slechte perimeterbeveiliging om kwetsbaarheden te misbruiken en accounts te kapen. Hierdoor kregen ze voet aan de grond in netwerken met beperkte monitoring, waardoor aanvallers langere tijd ongezien konden blijven.

Uiteindelijk haalden netwerkverdedigers echter hun achterstand in en maakten het moeilijker om deze diensten in gevaar te brengen. Bedreigingsactoren richtten vervolgens hun aandacht op onveilige clientsoftware en browsers, en phishing-e-mails.

Nu zwaait de slinger weer terug. Clientsoftware wordt steeds vaker ontworpen met het oog op veiligheid (denk aan sandboxes, volledige herschrijvingen en geheugenveilige talen) en Office-macro's worden standaard geblokkeerd. Volgens het NCSC dwingt dit dreigingsactoren om hun aandacht weer te richten op perimeterproducten.

Waarom perimeteraanvallen een comeback maken

“Wetende dat ze minder snel zullen kunnen vertrouwen op slechte wachtwoorden of verkeerde configuraties, kijken ze steeds vaker naar producten aan de netwerkrand (zoals toepassingen voor bestandsoverdracht, firewalls en VPN’s), waarbij ze nieuwe zero-day-kwetsbaarheden in deze producten ontdekken. en zo naar binnen walsen”, waarschuwt het NCSC. “Zodra een kwetsbaarheid bekend is, sluiten andere aanvallers zich aan, wat resulteert in massale uitbuiting.”

Het vinden van deze zero-days is niet zo moeilijk als het lijkt – omdat de code in dergelijke producten doorgaans minder veilig is door het ontwerp dan clientsoftware, zegt het bureau. Deze op perimeter gebaseerde aanbiedingen lijden ook onder een gebrek aan effectieve logboekregistratie, in tegenstelling tot clientapparaten die tegenwoordig steeds vaker ‘high-end’ detectie- en responstools gebruiken. Dit alles maakt ze tot het perfecte doelwit voor bedreigingsactoren die voet aan de grond willen krijgen in bedrijfsnetwerken voor gegevensdiefstal, afpersing en meer.

Een waarschuwend verhaal: Ivanti

De waarschuwingen van het NCSC komen te midden van een golf van aanvallen op perimeterproducten. Tot de meest opvallende behoorden een reeks zero-day-exploits gericht op Ivanti's Connect Secure VPN-product en zijn Policy Secure-oplossing voor netwerktoegangscontrole (NAC). CVE-2023-46805 en CVE-2024-21887 werden onthuld door de leverancier in januari, hoewel wordt aangenomen dat een Chinese bedreigingsacteur ze al meer dan een maand heeft uitgebuit om webshells op de interne en externe webservers van slachtofferorganisaties te plaatsen.

Weken later, het kwam naar voren dat hackers nog een zero-day (CVE-2024-21893) exploiteerden om een initiële oplossing te omzeilen die Ivanti had uitgebracht om de oorspronkelijke twee zero-day-bugs aan te pakken. De potentiële dreiging voor organisaties is zo acuut dat de inlichtingendiensten van Five Eyes een rapport hebben vrijgegeven langdurig veiligheidsadvies eind februari.

“De kwetsbaarheden hebben invloed op alle ondersteunde versies (9.x en 22.x) en kunnen worden gebruikt in een reeks van exploits om kwaadwillende cyberbedreigingsactoren in staat te stellen authenticatie te omzeilen, kwaadaardige verzoeken te bedenken en willekeurige opdrachten uit te voeren met verhoogde rechten”, merkt het op. .

Het versterken van de perimeterverdediging

De vraag voor CISO's is hoe ze dergelijke bedreigingen kunnen beperken. Op de lange termijn pleit het NCSC ervoor om leveranciers ertoe aan te zetten veiliger producten te bouwen en producten te vermijden die geen 'secure-by-design'-software kunnen bewijzen. Toch zal dat de huidige bedreigingen niet kunnen voorkomen. De andere suggesties zijn wellicht beter uitvoerbaar:

1) Overweeg in de cloud gehoste versies van deze perimeterproducten in plaats van on-premises versies. Hoewel deze mogelijk nog steeds niet veilig zijn qua ontwerp, worden ze sneller gepatcht en moeten ze regelmatig door de leverancier worden gecontroleerd. En als het ergste gebeurt en ze worden gecompromitteerd, zullen aanvallers in ieder geval geen voet aan de grond krijgen in het bedrijfsnetwerk. In het beste geval kunnen de bedreigingsactoren uw bedrijfsgegevens zelfs met rust laten.

2) Als migratie naar een cloudversie niet mogelijk is, schakel dan alle ongebruikte “interfaces, portalen of diensten van internetgerichte software” uit of blokkeer op firewallniveau. De zero-days in die Ivanti-producten hadden invloed op dit soort aanvullende diensten (in dat geval hun ‘webcomponenten’)

3) Zorg ervoor dat alle interne perimeterproducten worden ontwikkeld met beveiliging voorop – met cloudhosting en serverloze opties die het overwegen waard zijn om de mogelijke gevolgen te beperken als ze worden aangevallen

Richard Werner, cybersecurityadviseur bij Trend Micro, stelt dat het standaard kiezen voor in de cloud gehoste (SaaS) apps geen wondermiddel is.

“SaaS-benaderingen worden aantrekkelijke doelwitten voor criminelen die met één aanval meerdere doelen willen treffen, zoals blijkt uit de 2021 Kaseya-incident”, vertelt hij aan ISMS.online. “Hoewel SaaS bekende cyberrisico’s efficiënt kan beperken, mag het niet worden gezien als de ultieme oplossing voor het kernprobleem.”

Hij voegt eraan toe dat het voorkomen van misbruik van kwetsbaarheden waarschijnlijk een enorme uitdaging zal blijven – en vereist een meerlaagse defensieve aanpak.

“Het naleven van best practices op het gebied van beveiliging is van cruciaal belang, maar zelfs in ideale scenario’s is het volledig vermijden van risico’s onhaalbaar”, stelt Werner. “Daarom moeten bedrijven hun beveiligingsmaatregelen aanvullen met technologieën zoals uitgebreide detectie en respons (XDR), verplicht gesteld door moderne wetten zoals NIS 2.”

Als de perimeter na verloop van tijd moeilijker wordt voor dreigingsactoren om zich te richten, zullen ze zich uiteindelijk verplaatsen naar een ander deel van het aanvalsoppervlak dat minder goed wordt verdedigd.

“Het is van cruciaal belang om de cyclische aard van veiligheidsdiscussies te begrijpen, waarbij aanvallers kwetsbaarheden uitbuiten en verdedigers ernaar streven deze te dwarsbomen. Deze verdedigingsmechanismen zetten aanvallers ertoe aan nieuwe toegangspunten te zoeken of hun inspanningen te intensiveren”, besluit Werner.

“De effectiviteit in de verdediging wordt gemeten door het voor aanvallers te duur te maken om een succesvol pad te vinden. Het meten van succes blijft echter een uitdaging voor verdedigers vanwege de wisselende doelen van aanvallers.”

Terwijl deze doelen blijven veranderen, moeten netwerkverdedigers en de leveranciersgemeenschap zich aanpassen. De uitdaging is dat de wendbaarheid aan de aanvallende kant tot nu toe de reactiesnelheid ruimschoots heeft overtroffen.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster