Je browser is verouderd en geeft deze website niet correct weer. Download een moderne browser en ervaar het internet beter, sneller en veiliger!

Het digitale schaakspel met onze online tegenstanders, deel 2: Exfiltration

Gebaseerd op het MITRE ATT&CK framework en gebracht in de volgorde van hoe je schaken leert. Van schaakmat terug naar openingszetten.

Door Daniel Meinsma

In de vorige blogpost hebben we geleerd hoe we schaakmat kunnen voorkomen in het digitale schaakspel met onze online tegenstanders. We hebben kennis opgedaan van de technieken die tegenstanders inzetten om de beschikbaarheid van je bedrijfsprocessen te verstoren of de integriteit van deze processen in gevaar te brengen.

Maar wat doet een tegenstander net voordat hij of zij ons probeert schaakmat te zetten? Zijn er extra handelingen die onze tegenstander kan doen om ons nog meer in de positie te brengen om hem of haar te betalen, naast het gijzelen onze belangrijke data?

Bij het schaken wil je een aantal zetten vooruit denken en wil je bijvoorbeeld niet zomaar een schaakstuk van de tegenstander slaan als daarna jouw positie op het schaakbord verslechtert. Ook is het met schaken handig om ervoor te zorgen dat het schaakstuk waarmee je gaat aanvallen, gedekt is door een van je andere schaakstukken. Onze tegenstanders hebben ook graag iets achter de hand voor het geval je organisatie het back-upproces op orde heeft.

Data stelen en slachtoffer afpersen

Tegenwoordig is het gebruikelijk dat tegenstanders eerst belangrijke data bij ons stelen, voordat ze het ontoegankelijk maken met gijzelsoftware. Hierdoor kunnen tegenstanders namelijk extra druk uitoefenen in de hoop dat organisaties sneller betalen. Bijvoorbeeld door te dreigen je vertrouwelijke bedrijfsgegevens en klantgegevens op het publieke internet te lekken als je hen niet betaald.

Het twee of meerdere manieren inzetten om ons maar te laten betalen wordt Double Extortion of bijvoorbeeld Triple Extortion genoemd. Betalen geeft trouwens geen garantie dat de tegenstander niet alsnog je data op het internet lekt. Er zijn voorbeelden van tegenstanders die dit alsnog hebben gedaan.

Ook voor andere doeleinden, zoals bedrijfsspionage, is het handig voor tegenstanders om technieken te hebben om data van slachtoffers te kunnen verplaatsen naar een online opslag onder hun beheer. De volgende verzameling technieken die wij gaan bespreken uit het MITRE ATT&CK framework is de tactiek: Exfiltration.

Misschien ben jij (of ken je) een collega die wel eens bedrijfs- of klantgegevens heeft verstuurd naar een privé e-mail of die dergelijke gegevens heeft gedownload op een andere telefoon dan de werktelefoon? Zo moeilijk is het niet, een datalek is zo veroorzaakt. Als jij het zou kunnen, dan kunnen online tegenstanders het ook.

Veelal zien we twee manieren van het exfiltreren van data. De techniek Exfiltration Over C2 Channel is het exfiltreren over een Command & Control (C2) kanaal, meer hierover in de volgende blogpost over de tactiek: Command & Control.
De andere manier is dat tegenstanders dezelfde 'schaakzetten' doen als wij voor het online verplaatsen van data. Eenmaal toegang tot onze accounts kunnen tegenstanders dezelfde online diensten gebruiken als ons, met de techniek Exfiltration Over Web Service en bijvoorbeeld de sub-techniek hiervan Exfiltration to Cloud Storage. Waarom zou de tegenstander moeilijk doen als het ook makkelijk kan? Door dezelfde online diensten te gebruiken als wij, vallen ze ook nog eens minder op.

Maatregelen

Welke cloudopslagdiensten en andere online diensten gebruiken jullie binnen je organisatie? Google Drive? DropBox? OneDrive? Of misschien Amazon S3? Om maar even enkele voorbeelden te noemen van cloudopslagdiensten die vaak worden gebruikt door tegenstanders om onze data te stelen.

Wat voor maatregelen kun je als organisatie hiertegen nemen? Hoe voorkom je dat er - met opzet of per ongeluk - data wordt gelekt? Het kunnen detecteren en blokkeren dat er vertrouwelijke data wordt geüpload naar online diensten helpt enorm. Wat ook helpt is het inrichten van een webfilter die in een allowlist enkel bepaalde online diensten toestaat en de rest van de online diensten voor gebruikers en tegenstanders blokkeert. Daarnaast helpt het om inzicht te hebben in wat normaal is in het internetgebruik van je organisatie. Zorg dat er alarmbellen afgaan als er opeens grote hoeveelheden data worden geüpload.

Tot slot helpt het als je belangrijke data zelf versleuteld met een eigen sleutel in eigen beheer. Zodat wanneer je vertrouwelijke bedrijfsgegevens en klantgegevens op straat komen te liggen, ze in ieder geval versleuteld zijn voor anderen. Net zoals bij schaken, denk een aantal zetten vooruit en heb iets achter de hand voor als het misgaat.

Al met al input voor een gesprek tijdens de koffiepauze.

Volgende blogpost in deze reeks: Deel 3: Command & Control