- Home >
- Services >
- Access to Knowledge >
- Trend Monitor >
- Domain of Application >
- Trend snippet: Armament against advanced cybercrime
Trends in Security Information
The HSD Trendmonitor is designed to provide access to relevant content on various subjects in the safety and security domain, to identify relevant developments and to connect knowledge and organisations. The safety and security domain encompasses a vast number of subjects. Four relevant taxonomies (type of threat or opportunity, victim, source of threat and domain of application) have been constructed in order to visualize all of these subjects. The taxonomies and related category descriptions have been carefully composed according to other taxonomies, European and international standards and our own expertise.
In order to identify safety and security related trends, relevant reports and HSD news articles are continuously scanned, analysed and classified by hand according to the four taxonomies. This results in a wide array of observations, which we call ‘Trend Snippets’. Multiple Trend Snippets combined can provide insights into safety and security trends. The size of the circles shows the relative weight of the topic, the filters can be used to further select the most relevant content for you. If you have an addition, question or remark, drop us a line at info@securitydelta.nl.
visible on larger screens only
Please expand your browser window.
Or enjoy this interactive application on your desktop or laptop.
Armament against advanced cybercrime
• Detection of cyber criminals' communications is the key to cybercrime prevention and detection.
• Resilience to cybercrime requires concrete observation
and attack simulations.
In de afgelopen jaren is de manier waarop cybercriminelen te werk gaan sterk geëvolueerd. De snelheid waarmee zij tegenwoordig opereren is vooral te danken aan de financiële en technologische middelen die de cybercriminelen inmiddels tot hun beschikking hebben. In het huidige digitale landschap zijn cybercriminelen zwaarbewapend met geavanceerde tools en technieken, zoals Golden Tickets, Fully Undetectable Crypters en Domain Fronting, waardoor moeilijk te achterhalen is wie er achter een aanval zit. Tevens opereren cybercriminelen veelal van buiten de landsgrenzen, waardoor de invloed en bevoegdheid van de Nederlandse politie en justitie beperkt is. Dit maakt het erg moeilijk om cybercriminaliteit effectief aan te pakken.
Voor de aanpak van cybercriminaliteit is het belangrijk om werkwijze en aanvalspatronen te (her)kennen. Het is daarom zaak om inzicht te hebben (en houden) in de methoden en technieken die cybercriminelen gebruiken. In dit artikel lichten we toe waarom het belangrijk is om een offensieve beveilgingsstrategie te hanteren. Een offensieve beveiligingsstrategie biedt ondersteuning bij het opsporen van cybercriminelen en bij het herkennen, verstoren en voornamelijk voorkomen van geavanceerde digitale criminele activiteiten. In dit artikel bieden we handvatten waarmee veelvoorkomende digitale criminele activiteiten actief kunnen worden bestreden, zoals het ongeautoriseerd verkrijgen van toegang tot vertrouwelijke gegevens, het uitvoeren van op maat gemaakte ransomware-aanvallen en het besmetten van computernetwerken met schadelijke software.
Cybercriminelen ontwikkelen hun vaardigheden elke dag en lanceren hun aanvallen op alles wat voor hen economisch of politiek waardevol zou kunnen zijn. Om onszelf te beschermen, moeten we in dezelfde wapens investeren als de cybercriminelen. Wij geloven dat een offensieve beveiligingsstrategie de beste manier is om de cybercriminelen een stap voor te blijven. En om cybercriminaliteit beter te detecteren en aan te pakken. De vijf startpunten naar een offensieve beveiligingsstrategie zullen hierbij helpen. Door te beschikken over essentiële- en actuele dreigingsinformatie op basis van daadwerkelijke aanvallen zijn we in staat om de overstap te maken van defensieve naar offensieve beveiliging. Met een offensieve beveiligingstrategie schakelen we de cybercriminele activiteiten uit en bouwen we aan een veiligere digitale samenleving.
Door dezelfde activiteiten, middelen en technieken te gebruiken als cybercriminelen kun je je beter wapenen tegenhenendigitalecriminaliteitvroegtijdigsignaleren.De drie belangrijkste activiteiten die wij zien voor offensieve beveiliging zijn:
1. Socialengineering:dezeactiviteitisgebaseerdophettesten van menselijk gedrag en zwakte door het ontwikkelen van aanvalscenario's. De aanvalscenario's worden op gecontroleerde wijze ingezet tegen de medewerkers van een organisatie. Voorbeelden van social engineering- activiteiten om vertrouwelijk informatie te verzamelen zijn: phishingaanvallen via e-mail, nabootsing van identiteit, proberen toegang te verkrijgen tot afgesloten ruimtes en telefoongesprekken voeren met werknemers.
2. Penetratietesten:hetdoelvaneenpenetratietestisomvoor een beperkte scope in een beperkte hoeveelheid tijd zoveel mogelijk kwetsbaarheden, exploits, configuratieproblemen en risico’s in systemen te ontdekken.
3. Red teaming: een red teambeoordeling lijkt sterk op een penetratietest. De activiteiten van een red team gaan echter niet alleen over het vinden van kwetsbaarheden en exploits, maar ook om de detectie- en responsmogelijkheden van een organisatie te testen bij het simuleren van real-world aanvallen.
Om je op weg te helpen met het opzetten van een offensieve beveiligingstrategie,gevenwijhierondervijfuitgangspunten.
1. Zorg ervoor dat iemand binnen de organisatie beschikt over de kennis en vaardigheden om malware te reverse- engineeren: het demonteren van de malware. Hierdoor kun je kijken wat de malware doet en welke systemen het beïnvloedt. Alleen door de details te kennen, kun je tot een oplossing komen die de beoogde schadelijke effecten verminderen en kom je erachter waarvoor de malware is ontworpen en welke kwetsbaarheden het wilde misbruiken.
2. Ontwikkel een cybersecurity lab: een faciliteit voor innovatief en experimenteel onderzoek naar kwaadaardige software en netwerkverkeerinspectie waar je een virtuele omgeving kunt bouwen. Hier kun je experimenteren met de effecten van malware op verschillende systemen.
3. Gebruik bronnen zoals de Dark-web-zoekmachinesen.onion- domeinen. Voorbeelden zijn Torch en DuckDuckGo. Dit zijn zoekmachines voor het niet standaard toegankelijke deel van het internet. De gegevens uit deze bronnen verschaffen waardevolle informatie over de actuele cyberbedreigingen en tools die worden gebruikt door cybercriminelen zoals Remote Access Trojans (RAT’s).
4. Voer aanval-simulatieoefeningen uit op digitale omgevingen. En voer deze oefeningen van zowel het externe als interne dreigingsperspectief uit. Voorbeelden van aanvals-simulatieoefeningen zijn het starten van Phishing campagnes, het uitvoeren van Compromise Assessments, het uitvoeren van red teaming-oefeningen en het testen van draadloze netwerken (met tools als HackRF en Pineapple).
5. Om inzicht te krijgen in ransomware-aanvallen die daadwerkelijk plaatsvinden kun je gebruik maken van de 'MITRE ATT&CK-kennisbank11. In combinatie met door Lockheed Martin ontwikkelde stappenplan van cybercriminelen (de “Cyber Kill Chain”) biedt de MITRE ATT&CK-kennisbank een goede basis voor de ontwikkeling van specifieke dreigingsmodellen en -methodologieën. Hierdoor krijg je beter inzicht in de aanvalsmethoden van cybercriminelen. Van de eerste toegang tot en met volledig controle van de doelsystemen. Het MITRE ATT&CK-raamwerk kan ook worden gebruikt om de technische activiteiten die criminelen gebruiken te analyseren en te begrijpen. Deze kennis kan helpen bij het opbouwen van je technische kennisniveau over de huidige moderne cyberaanvallen.