Digitale aanvallen op bedrijven en instellingen zijn een lucratief werkterrein geworden voor criminele groepen. Deze aanvallen treffen steeds vaker kleine en middelgrote ondernemingen. Vaak is dit een moeilijke situatie, omdat veel bedrijven niet over de middelen beschikken om grote veiligheidsafdelingen met de nodige infrastructuur te onderhouden.
In de afgelopen twee jaar heeft het Duitse onderzoeksproject IUNO InSec specifiek voor kleine en middelgrote ondernemingen oplossingen ontwikkeld. Eén daarvan, ontwikkeld door het Duitse onderzoeksinstituut voor kunstmatige intelligentie (DFKI), laat criminele hackers denken dat de infrastructuur gemakkelijk te infiltreren is. Het lokaas zijn zogenaamd vertrouwelijke gegevens.
Ogenschijnlijk gemakkelijk
Het doel van deze oplossing, ontwikkeld in het onderzoeksgebied Intelligente Netwerken bij het DFKI, is aanvallers weg te houden van het eigenlijke doelwit. In een schijninfrastructuur kunnen aanvallers worden geobserveerd en hun activiteiten worden geanalyseerd. Deskundigen kunnen dan hun digitale sporen volgen en hen niet alleen afweren, maar ook opsporen en arresteren in de echte wereld. De DFKI-methodologie omzeilt een belangrijk probleem bij de opsporing en verdediging van cyberaanvallen.
Dit komt doordat ze vaak pas veel later aan het licht komen, bijvoorbeeld wanneer het systeem al is geïnfiltreerd en de beveiligingsfunctionarissen zich bewust worden van ongebruikelijk dataverkeer. Tegen die tijd kunnen de aanvallers al gevoelige gegevens hebben gestolen. Of ze hebben ransomware geïntroduceerd. Ransomware zijn programma’s die computersystemen versleutelen en zo gebruikers uitsluiten. De aanvallers eisen dan een ‘ransom’ of losgeld voor het overhandigen van de sleutel.
Lokaas
“Als een aanvaller het netwerk afzoekt naar kwetsbare servers, krijgt hij een verzonnen inlogpagina voorgeschoteld door de upstream deception proxy. Zodra de aanvaller interactie heeft met dit lokaas, maakt hij zichzelf bekend”, legt DFKI-projectmanager Daniel Reti uit.
Deze verdedigingstechniek, Cyber Deception genaamd, leidt aanvallers naar een valse IT-infrastructuur. De Deception Proxy bevat digitale lokmiddelen, zoals schijnbaar echte bedrijfsgegevens, valse referenties, bestandsaandelen of aanbiedingen van diensten. Aanvallers hebben een gemakkelijke prooi. Als zij toegang krijgen tot de lokmiddelen, kunnen beveiligingsdeskundigen hun activiteiten volgen en registreren.
Het systeem bestaat uit drie lagen:
- Fakesystemen die op echte systemen lijken, maar geen echte functie hebben,
- Systeemgebruuikers die feitelijk een valkuil zijn,
- Valse gegevens en mappen in het netwerk die ogenschijnlijk belangrijk zijn.
Cyber Deception heeft verschillende voordelen. Inbraken worden vroegtijdig ontdekt, idealiter nog voordat hackers toegang hebben gekregen tot het echte bedrijfssysteem. Het beveiligingsteam wint tijd om de aanvallers te observeren en de echte IT van het bedrijf te beschermen tegen aanvallen. Het kan de aanvallers ook bezig houden tot ze gefrustreerd opgeven. Het aantal valse alarmen neemt af. Hierdoor komen dan weer middelen vrij om echte bedreigingen aan te pakken.
Als hackers toegang krijgen tot een van de misleidingslagen, krijgt het cyberbeveiligingsteam een zeer reële waarschuwing. Bovendien kunnen waarschuwingen worden geautomatiseerd, zodat handmatige interventie in het systeem niet meer nodig is. En als het bedrijf groeit, kan de technologie worden opgeschaald en aangepast aan uitgebreidere bedrijfssystemen.
Cyberverdediging
Het Fraunhofer Institute for Applied and Integrated Security (AISEC) had de leiding over IUNO InSec (Nationaal Referentieproject voor IT-beveiliging in Industrie 4.0). Partners uit wetenschap en industrie namen deel aan het project. Het Duitse onderzoeksinstituut voor kunstmatige intelligentie (DFKI) was vertegenwoordigd, evenals het Fraunhofer-instituut voor veilige informatietechnologie (SIT), de TU Darmstadt en de IT-bedrijven accessec en axxessio. Het doel van het project was een toolbox voor KMO’s die het betreffende bedrijf aan zijn eigen behoeften kan aanpassen.
In de gereedschapskist zitten:
- Oplossingen voor modellering en automatische detectie van anomalieën
- Oplossingen voor het modelleren en automatiseren van anomaliedetectie voor een betere beveiliging van industriële clouds
- Beveiligde toegang op afstand tot machines
- Controleerbaar en veilig gebruiksbeheer in digitale waardenetwerken
Bedreigingen
Volgens de branchevereniging Bitkom hebben cybercriminelen in 2020 223 miljard euro schade toegebracht aan Duitse bedrijven. Het zijn al lang niet meer uitsluitend grote bedrijven die worden getroffen, maar ook middelgrote bedrijven. Dit kunnen autoleveranciers zijn, vastgoedbedrijven, ambachtelijke bedrijven, verzekeringsmaatschappijen, advocatenkantoren of reclamebureaus. Bijna elk bedrijf heeft gegevens die interessant kunnen zijn voor cybercriminelen.
Het online magazine CS Online zette 77 bedrijven uit alle sectoren op die tussen januari en november 2022 het doelwit waren van cyberaanvallen op een rij. Volgens Alexander Giehl van Fraunhofer AISEC, die de leiding had over het IUNO InSec-project, is de situatie ernstig. “Ik zou zeggen dat het risico op een cyberaanval groot is,” zegt hij.
De projectleider somt een hele reeks aan redenen op. “Veel informatie staat op het internet. De zoekmachine Shodan vindt bijvoorbeeld elk apparaat dat verbonden is met het net.” De zoekmachine is eigenlijk bedoeld voor beveiligingsdeskundigen, wetshandhavers en wetenschappers. Zij gebruiken Shodan om kwetsbaarheden in hun eigen IT-systemen op te sporen.
Niet alleen IT-systemen
Cybercriminelen kunnen de zoekmachine echter ook voor zichzelf gebruiken. “Het is relatief gemakkelijk om hier doelen te vinden,” is Giehl’s oordeel. “Veel toepassingen hebben bekende kwetsbaarheden die door hun gebruikers niet worden gedicht. Vooral in kleine en middelgrote ondernemingen worden de huidige beveiligingspatches slechts aarzelend geïnstalleerd omdat de exploitanten bang zijn voor beperkingen in de beschikbaarheid.”
Bovendien, vervolgt Giehl, ontbreekt het midden- en kleinbedrijven vaak aan de middelen voor effectief patchbeheer. Daarnaast is er dikwijls sprake van verouderde software en zogenaamde geïsoleerde hardware oplossingen. Het kan zijn dat hardware fabrikanten niet meer actief zijn of dat een bepaald apparaat, inclusief besturingsprogramma’s, niet meer wordt geproduceerd. Dit laat zien dat kwetsbaarheid niet alleen IT-systemen treft, maar ook operationele technologie (OT). “Operationele technologie is ofwel toegankelijk vanaf het netwerk via IT, of zelfs rechtstreeks verbonden met het internet”, legt Giehl uit.
De aanval van cyberafpersers op de Noorse aluminiumfabrikant Norsk Hydro in maart 2019 laat zien hoe een succesvolle cyberaanval eruit ziet die toegang krijgt tot de besturingstechnologie via de met het internet verbonden IT. Hier smokkelden aanvallers zogenaamde ransomware binnen via de IT. Norsk Hydro was een makkelijke prooi omdat in het OT verouderde Windows-systemen waren geïnstalleerd. De ransomware kon zich verspreiden en alle gegevens versleutelen. Dit dwong het bedrijf op zijn beurt om de productiefaciliteiten over de hele wereld ongeveer een week stil te leggen.