6 tips om aanvallen via jouw partners te voorkomen

Upstream aanvallen op jouw bedrijf kunnen gebeuren via externe dienstverleners, organisaties en adviseurs waar je mee werkt. Gelukkig zijn er manieren om de risico's te minimaliseren.

Auteur: Martijn
Datum: 28/04/2017
Leestijd: 8 Minuten

De meeste bedrijven doen een beroep op externe contractanten, partners en leveranciers om zaken gedaan te krijgen. Aangezien deze samenwerkingen in veel gevallen langzaam verder groeien, is het niet ongewoon dat systemen en processen aan beide kanten op elkaar worden aangesloten. Vaak worden bij dit soort integraties de beveiliging van het eigen bedrijf over het hoofd gezien.

Daar zijn verschillende redenen voor. Als partners verplicht zijn om hun security aan te scherpen, vertraagt dat het proces. De teams en individuelen die met elkaar samenwerken houden zich meestal niet zozeer bezig met security. En als de IT-afdeling start met het integreren van de systemen, worden ze vaak onder druk gezet om alles zo snel mogelijk voor elkaar te krijgen. En juist op dat soort momenten worden de fouten gemaakt.

Elke externe partij waarmee je samenwerkt, brengt extra risico met zich mee op securitygebied. Dat geeft de aanvallers veel ruimte in het bedenken van creatieve upstream aanvallen en is het zo goed als onmogelijk om ieder scenario af te dekken. In dit artikel delen we een aantal voorbeelden van upstream aanvallen uit het veld.

Facilitaire diensten

Bedrijven die on-site facilitaire diensten, zoals afvalinzameling, reiniging, fysieke beveiliging en onderhoud aan het pand aanbieden, hebben fysiek toegang tot de gebouwen van hun klanten. Deze toegang krijgen ze door middel van ID-badges, keycards, deurcodes en kaarten van de gebouwen.

We weten allemaal dat de aanvallers in de meeste gevallen op een andere locatie zijn dan het slachtoffer. Toch zijn de aanvallers in sommige gevallen bereid om een organisatie daadwerkelijk fysiek te betreden. In zo’n geval kan de aanvaller toegang krijgen via de facilitaire dienst.

Facilitaire bedrijven zijn vaak erg low-tech. Het is bijvoorbeeld niet ongewoon dat relevante documenten makkelijk te achterhalen zijn op de server. De aanvaller kan deze documenten vervolgens makkelijk gebruiken om toegang te krijgen tot het doelwit.

Onze cyber security services consultants zien de upstream aanvallen met lede ogen aan, bedrijven worden slachtoffer via een derde partij. En hoe? Heel simpel, door te doen alsof ze de tapijten komen reinigen bijvoorbeeld.

Informatie voor het verkrijgen van fysieke toegang tot de kantoren of woningen kan ook relevant zijn voor criminelen. De locatie van de crimineel doet er dan niet meer toe. Een hacker in New York kan bijvoorbeeld huizen op afstand openen via met internet verbonden slimme sloten. Via deze sloten krijgt hij toegang tot deuren die in Europa zijn geïnstalleerd. Voor de hacker is het niet interessant om naar Europa te reizen om daar de huizen leeg te roven. Daarom verkoopt hij deze informatie via het internet, voor laten we zeggen €50 per slot. Lokale criminelen kopen deze informatie om daar de inbraken mee uit te voeren.

Zwakke punten van het netwerk worden blootgelegd op het moment dat facilitaire bedrijven op afstand toegang krijgen tot de infrastructuur van de klant. Vaak is de software voor het bedienen van alarmsystemen, camera’s en verwarming flink verouderd en niet geschreven met focus op beveiliging. Daarom is het niet ongewoon dat deze systemen benaderd worden via Telnet of VNC, soms zelfs zonder verificatie. Je vindt hier van alles over op de zoekmachine voor IoT apparatuur Shodan.

In het inmiddels klassiek voorbeeld van een upstream aanval met een facilitaire dienstverlener, kregen hackers toegang tot Target via de software van de airconditioning. Via deze software kwamen de hackers op het netwerk van Target en vanaf daar konden ze dieper het systeem in.

Bureau’s

Externe bureaus zoals marketing- of recruitmentbureaus zijn een ander veel voorkomende ingang voor upstream-aanvallen. Deze bedrijven bieden vaak dienstverlening die rechtstreeks gekoppeld is met het netwerk van hun klant. Via het netwerk van zo’n bureau krijgt een hacker vaak eenvoudig toegang tot het uiteindelijke slachtoffer.

Pak een webserver die websites voor verschillende bedrijven host bijvoorbeeld. Sommige van deze bedrijven hebben op de een of andere manier hun bedrijfsnetwerk gekoppeld aan de webserver. Bij een aanval op deze webserver, zijn de gekoppelde netwerken een logisch volgend doelwit. Andersom kan natuurlijk ook. Via het netwerk van een klant, komt de hacker op de webserver. Daarna worden alle andere gekoppelde systemen toegankelijk. Je kunt je voorstellen dat het verleidelijk is om op deze manier toegang te krijgen tot verschillende netwerken.

Ook recruitmentbureaus zijn een groot risico, gezien de informatie waar zij dagelijks mee werken. Ze werken voornamelijk met PDF-bestanden en Word documenten, die van verschillende (onbekende en ongevraagde) bronnen afkomstig zijn. Dit soort documenten zijn een gewild doelwit van malware infecties.

Daarnaast werken veel recruitmentbureaus met een zogenaamd applicant tracking systeem, waar de klant meestal ook toegang toe heeft. Als een recruiter een geïnfecteerde CV ontvangt en upload naar het systeem, dan komt het automatisch ook op het systeem van de klant terecht. De hacker hoeft dus alleen maar de beveiliging van het bureau te omzeilen om het geïnfecteerde document verder te verspreiden.

En schadelijke documenten zijn niet het enige risico in dit scenario. De “sollicitant” kan vanuit zijn CV of motivatiebrief ook linken naar een zogenaamde watering hole, waar verdere informatie van het bureau verzameld wordt. In de praktijk zag ons Threat Intelligence team in 2016 dat verschillende HR afdelingen het doelwit waren van dit soort phishing aanvallen, om vervolgens een ransomware aanval uit te kunnen voeren.

Wees je ervan bewust dat het wervingsproces vol gaten zit, waar hackers dolgraag misbruik van maken.

Consultants

Veel bedrijven werken met extern personeel, vaak in de vorm van aannemers en adviseurs. Bedrijven die consulting en outsourcing diensten aanbieden, hanteren hun eigen beveiligingsbeleid (ten aanzien van endpointbeveiliging, document management en security awareness richtlijnen) die afwijkt van het beleid van hun klanten.

Consultants krijgen vaak beperkte en soms zelfs volledige toegang tot het bedrijfsnetwerk en -middelen. Consultants die een financieel systeem opzetten bijvoorbeeld. Of software engineers die toegang nodig hebben tot het systeem. Meestal gebeurt dit via een laptop of een workstation op locatie. Het is onmogelijk om zo’n externe medewerker in elke stap te monitoren, maar ze zijn wel een groot risico.

Maakt jouw bedrijf regelmatig gebruik van toeleveranciers en extern personeel? Dan ben jij een interessant doelwit van social engineering tactieken. Met zoveel verschillende gezichten die komen en gaan, is het eenvoudig om jouw medewerkers voor de gek te houden. Een hacker in pak kan prima door voor die consultant die vandaag het systeem een update komt geven. Onze cyber security services consultants gebruiken dit soort tactieken met veel succes bij het uitvoeren van beveiligingsanalyses (bv. penetration testen) voor klanten.

Conclusie

Als je veel werkt met externe partijen, kun je een aantal dingen doen om het risico op upstream-aanvallen te beperken. We hebben zes tips voor je verzameld waarmee je binnen je eigen organisatie aan de gang kan:

1. Denk goed na, voordat je een extern apparaat, zoals een laptop of smartphone toegang geeft tot het bedrijfsnetwerk. Beperk de toegang zoveel mogelijk. Als het mogelijk is, dan geef je dit soort apparaten toegang tot een apart netwerk. Ga ervan uit dat het apparaat kwaad doet en behandel het ook zo.

2. Voordat je zaken doet met een externe partij, beoordeel dan eerst hun beveiliging. En indien mogelijk, verbeter de beveiliging daar waar het nodig is. Vraag de nieuwe partner op z’n minst om zich aan het bedrijfsbeleid en protocollen te houden. Waar mogelijk controleer je zelf hun systemen op kwetsbaarheden.

3. Regel voor extern personeel dat bij jou op locatie werkt apparatuur, dat je zelf geconfigureerd hebt. Geef ze ook alleen toegang tot de systemen die zij nodig hebben voor hun werk en ontzeg ze de toegang direct als de opdracht afgerond is. Zorg ervoor dat je de toegang monitort en dit regelmatig checkt.

4. Wees je er vooral van bewust dat oude software, die nodig is voor bijvoorbeeld de bediening van machines, interessant is voor hackers. Als het mogelijk is, beperk je de toegang voor deze systemen tot het bedrijfsnetwerk. Hebben externe partijen toegang nodig tot deze systemen? Zorg dan voor goede authenticatie en controle. En het liefst zonder internettoegang.

5. Houd ook in de gaten wat er verbonden is met het bedrijfsnetwerk en wat het probeert te bereiken. Dit is vooral belangrijk als externe partijen regelmatig wisselen. Voer regelmatig een scan uit op het netwerk om onbekende systemen en diensten te identificeren. Schakel ze direct uit als je ze vindt.

6. En tot slot is het altijd verstandig om jouw medewerkers bewust te maken van social engineering praktijken op de werkvloer. Vertel over bekende zaken of laat ze kijken naar de film Sneakers uit 1992 of de actuele TV-serie Mr. Robot. Het is een leuk onderwerp om meer over te leren en het maakt jouw collega’s scherp op situatie die zich voor gaan doen.

Dit artikel komt uit ons rapport “The State of Cyber Security 2017.” Download het volledige rapport vandaag nog voor meer trends, data en deskundig perspectief.
threat report 2017


Post Comment

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s