Een veel gemaakte fout bij het schaken is dat spelers hun aandacht richten op enkele speelstukken op het bord, in plaats van het gehele schaakbord. Hierdoor kunnen ze verrast worden door een zet van de tegenstander die ze niet zagen aankomen. Dit voelt tegenstrijdig met het IT-werkveld omdat er ontzettend veel data op veel verschillende plekken wordt verzameld, verwerkt en opgeslagen. Het voelt als onmogelijk om over alles overzicht te houden, terwijl je dit wel zou willen. Geen paniek, we hebben nog niet verloren, het is nog niet schaakmat. Voordat onze digitale tegenstander kan overgaan tot het stelen of gijzelen van onze data, moet de aanvaller eerst nog de data verzamelen.
De MITRE ATT&CK tactiek: Collection beschrijft de veel gebruikte technieken, waarmee onze digitale tegenstanders data verzamelen om hun doelen te bereiken. Belangrijke vragen om antwoord op te krijgen zijn:
- Naar wat voor soort gegevens zijn onze tegenstanders op zoek?
- Waar kunnen ze deze gegevens bij een organisatie vinden?
- Welke data denk jij dat kwaadwillenden graag willen vinden?
In de zorg zou je natuurlijk denken dat dit medische gegevens zijn, maar uit het 2024 Verizon Data Breach Investigations Report blijkt dat kwaadwillenden zich meer zijn gaan richten op persoonsgegevens, zoals HR-data en interne bedrijfsgegevens, zoals financiële data en data van klanten. Z-CERT ziet dit soort gegevens ook vaak geadverteerd worden bij datalekken.
De makkelijkste methode om toegang te krijgen tot HR-, financiële of klantdata is door te kunnen inloggen als een medewerker die hier toegang tot heeft. Inloggen doen medewerkers veelal met de combinatie van een gebruikersnaam en wachtwoord. Het verkrijgen van toegang tot inloggegevens is zo’n belangrijk onderdeel van digitale aanvallen dat het een eigen MITRE ATT&CK tactiek heeft: Credential Access. Deze tactiek wordt verder beschreven in blogpost 7 uit deze reeks.
Als gedachtenexperiment leggen we hier een aantal vragen voor om over na te denken tijdens de decembermaand. We gaan er even vanuit dat onze tegenstander jouw inloggegevens heeft weten te bemachtigen. We hebben namelijk de gezonde mindset: Assumed Breach.
Waar staan nu de belangrijke gegevens van je organisatie en wie kunnen er allemaal bij? Kan iemand die als jou weet in te loggen direct bij de inhoud van alle mappen en bestanden? Is het zo ingesteld dat jij automatisch inlogt op je e-mailomgeving? Zou je het opmerken als iemand anders zou inloggen in je mailbox? En zou je het door hebben als een aanvaller een mailregel instelt die alle e-mail die jij ontvangt, doorstuurt naar de mailbox van de aanvaller? Moet je nog een keer extra inloggen om toegang te krijgen tot bepaalde bestanden in de cloud, of zijn deze bestanden ook direct toegankelijk?
Als je bepaalde gegevens niet meer gaat gebruiken, verwijder je ze dan ook? En maak je de prullenbak van je computer wel eens leeg? Wordt er bij jullie organisatie wel eens een audit uitgevoerd om te onderzoeken wie welke toegang heeft? Worden de toegangsrechten wel eens verwijderd? Of is het bij jullie organisatie zo dat iedereen gemakkelijk overal bij kan en dus ook een digitale aanvaller?
Al met al input voor een gesprek tijdens de koffiepauze.
Volgende blogpost in deze reeks: Deel 5: Lateral Movement