Eilandhoppen klinkt waarschijnlijk meer als een activiteit die je op de Bahama's zou uitvoeren dan als een aanval strategie, maar het wordt eigenlijk vrij vaak gebruikt door cybercriminelen die netwerken willen aanvallen zonder direct te hacken erin. Dus, wat is een eilandhoppende aanval en hoe kun je jezelf ertegen beschermen?
Wat is een eilandhoppende aanval?
De term "eilandhoppen" komt uit de Tweede Wereldoorlog. De Amerikaanse strijdkrachten wilden naar het vasteland van Japan en moesten van eiland naar eiland gaan, elk gebruikend als lanceerplatform voor het volgende, met het vasteland als het primaire doelwit. Het stond in die tijd bekend als haasje-over.
Bij een eilandhoppende aanval gaan de bedreigingsactoren achter uw partners en andere externe medewerkers aan en gebruiken hun cyberkwetsbaarheden om op uw veiligere netwerk te springen. Deze bedreigingsactoren zijn entiteiten of individuen die deelnemen aan acties die de cyberbeveiliging van uw organisatie ondermijnen of kunnen aantasten. Ze kunnen tot het uiterste gaan om de firewalls van hun doelwit te omzeilen, en een efficiënte methode is eilandhoppen.
Productie-, financiële en detailhandelsbedrijven zijn in de eerste plaats het doelwit van deze vorm van cyberaanval. In dergelijke gevallen zijn de beveiligingssystemen van het doelwit luchtdicht en grotendeels immuun voor directe invasies, dus hackers gaan via aanzienlijk minder veilige partners.
Deze partners worden vertrouwd door de doelorganisatie en zijn aangesloten op haar netwerk. Hackers maken misbruik van de vertrouwensrelatie en vallen de complexe verdedigingsmechanismen van het echte doelwit aan via de zwakke schakels met andere organisaties.
Hoe werkt een eilandhoppende aanval?
Eilandhoppende aanvallen zijn effectief omdat ze geen waarschuwingen activeren in het beveiligingssysteem van het doelwit. Deze waarschuwingen worden meestal geactiveerd wanneer er wordt geprobeerd toegang te krijgen tot het hostnetwerk vanaf een niet-vertrouwd of niet-geregistreerd apparaat. Inzendingen van partners worden zelden gemarkeerd; dreigingsactoren profiteren van deze vertraging.
Er zijn drie standaardmethoden die dreigingsactoren toepassen bij hun eilandhoppende missie.
1. Netwerkgebaseerde aanval
Deze methode omvat het infiltreren van het netwerk van een organisatie en het gebruiken om op een ander aangesloten netwerk te springen. Bij deze aanval gaan de bedreigingsactoren meestal achter die van de organisatie aan Beheerde beveiligingsdienstverlener (MSSP).
MSSP's zijn IT-serviceproviders die beveiliging verkopen aan kleine bedrijven en grote organisaties en hen beschermen tegen cyberbeveiligingsbedreigingen. Ze gebruiken software of een team van personeel om op deze bedreigingen te reageren zodra ze zich voordoen. Veel ondernemingen besteden hun IT-beveiligingsafdeling uit aan deze MSSP's, waardoor de providers een doelwit worden voor hackers.
2. Watering Hole-aanvallen
Deze vorm van eilandhoppen omvat het infiltreren van locaties die worden bezocht door de klanten, zakenpartners en werknemers van het hoofddoelwit. Slechte actoren beoordelen de veiligheid van de sites en voeren kwaadaardige links in wanneer ze zwakke punten vinden.
Deze links leiden naar gecompromitteerde platforms die automatisch malware op de computer injecteren. Zodra de geïnjecteerde malware operationeel is, kunnen de bedreigingsactoren de verzamelde informatie gebruiken om toegang te krijgen tot het primaire doelwit.
3. Compromis voor zakelijke e-mail
Een phishing-scam is meestal de eerste stap in deze methode. De cybercriminelen doen zich voor als een gerenommeerde zakelijke entiteit. Yahoo, Facebook en populaire commerciële banken worden voornamelijk gebruikt bij deze aanvallen, omdat de hackers kwaadaardige links in spam-e-mails sturen.
Zodra het aas is gepakt en op de link is geklikt, gebruiken de hackers malware om de computer van de gebruiker in gevaar te brengen. Deze methode richt zich op hooggeplaatste functionarissen of leidinggevenden van de organisatie.
Keylogger-software wordt hier soms gebruikt om de e-mailaccounts van deze leidinggevenden te stelen. Gevoelige informatie wordt uit de e-mailaccounts gehaald en vervolgens gebruikt om de doelorganisatie te infiltreren.
Eilandhoppen Precedenten: Target en SolarWinds
In 2013 was een van de grootste retailbedrijven in de VS, Target, betrokken bij een nachtmerrie over eilandhoppen. En in 2020 werd SolarWinds, een IT-beheerprovider, het slachtoffer van een eilandhoppende aanval.
Doel: de nachtmerrie van een vakantieseizoen
Bedreigers hebben het kassasysteem van Target gecompromitteerd en de financiële informatie van ongeveer 40 miljoen klanten gestolen. Dit resulteerde erin dat Target de grootste ooit betaalde afhandeling van datalekken.
Er werd overeenstemming bereikt over $ 18,5 miljoen om 47 staten en het District of Columbia te schikken nadat hackers hadden gestolen de meeste creditcard- en debetkaartgegevens van de klanten van de retailgigant tijdens de feestdag van 2013 seizoen. Dit datalek heeft Target meer dan 300 miljoen dollar gekost. Maar dit was geen directe aanval op de servers van het bedrijf.
Het begon met Fazio Mechanical Services, een ander bedrijf dat Target voorziet van verwarming en koeling. Ze beleefden een malware-aanval twee maanden voor de inbreuk op de beveiliging van Target. De bedreigingsactoren maakten de e-mailreferenties weg en gebruikten die om toegang te krijgen tot de servers van Target.
zonnewinden
Deze aanval trof meer dan 18.000 bedrijven en zelfs Amerikaanse overheidsdiensten. Alle betrokkenen hadden één ding gemeen: een IT-beheerprovider genaamd SolarWinds.
Net als bij eilandhoppende aanvallen was SolarWinds niet het primaire doelwit. Met het aantal afdelingen van de Amerikaanse regering dat werd getroffen, gingen er geruchten dat de hackers werden gesteund door de Russische regering, in de hoop het Amerikaanse Congres te destabiliseren.
SolarWinds bevestigde de aanval voor het eerst in december 2020, hoewel deze enkele maanden onopgemerkt bleef. In maart 2021 stalen de hackers echter e-mailreferenties van het Department of Homeland Security de meeste overheidsdiensten hadden hun werknemers gewaarschuwd om Orion, de getroffen SolarWinds, te sluiten Product. De aanvallen hadden ook gevolgen voor de ministeries van Energie, Financiën en Handel, Mimecast en Microsoft.
Hoe u uzelf kunt beschermen tegen aanvallen van eilandhoppen
Met de prevalentie van eilandhoppen, moet u stappen ondernemen om te voorkomen dat uw netwerk en servers worden aangevallen door kwaadwillende partijen. Hier zijn een paar manieren waarop u dit kunt doen.
1. Gebruik meervoudige authenticatie
Multi-factor authenticatie omvat het gebruik van verschillende verificatiecontroles, zoals vingerafdrukken en ID-bevestigingen, om de identiteit te bevestigen van iedereen die probeert toegang te krijgen tot uw netwerk. Deze extra beveiligingslaag, hoewel vervelend, blijkt altijd nuttig. Hackers met gestolen inloggegevens zullen het bijna onmogelijk vinden om voorbij een vingerafdrukbevestiging of een gezichts-ID-verificatie te komen.
2. Houd een Incident Response Plan stand-by
Eilandhoppende aanvallen kunnen vele vormen aannemen en soms zijn reguliere beveiligingsprotocollen niet voldoende om gebeurtenissen te voorkomen. Uw beveiligingssoftware moet voortdurend worden bijgewerkt naarmate aanvallen van eilandhoppen steeds geavanceerder worden. Het is ook het beste om te hebben een incidentrespons team stand-by om te zorgen voor onvoorziene bedreigingen die de beveiliging kunnen omzeilen en om te gaan met de nieuwste bedreigingen.
3. Pas de nieuwste cyberbeveiligingsnormen toe
Veel organisaties erkennen de risico's van eilandhoppen en hebben cyberbeveiligingsnormen opgesteld voor potentiële partners en medewerkers. Huidige partners adviseren om hun beveiligingssystemen te upgraden; degenen zonder geavanceerde controles zouden beperkte toegang tot uw netwerk moeten hebben.
Wees geen slachtoffer: beperk de toegang of upgrade uw beveiliging
Eilandhoppende aanvallen komen vaker voor. Organisaties met lakse beveiligingsprotocollen lopen het risico het slachtoffer te worden van bedreigingsactoren, tenzij ze hun systemen upgraden.
Er is echter meer nodig. Externe partners zonder geavanceerde beveiligingssystemen vormen een risico en mogen geen onbeperkte toegang hebben. Als het onmogelijk is om de toegang te beperken, moeten dergelijke partners hun systemen upgraden.
