- De universiteit , Onderzoek
- 15/01/2025
“Je kan een cyberaanval niet altijd voorkomen”
Cyberaanvallen uitgelegd door hoofd Threat Analysis-groep
Er is nog veel onduidelijk over de cyberaanval, die ervoor zorgde dat de TU/e het netwerk offline haalde. Maar er zijn onderzoekers op deze universiteit die juist in dit onderwerp gespecialiseerd zijn. Zonder iets te vertellen over de huidige situatie, vertelt Luca Allodi - hoofd van de Threat Analysis Group binnen Mathematics and Computer Science - meer over hoe cybercriminelen te werk gaan en wat mogelijke gevaren zijn.
Hij is bereid om over cyberaanvallen in het algemeen te vertellen, maar Allodi wil aan het begin van het interview één ding heel duidelijk maken: “Ik vertel geen enkel detail over de huidige situatie.” Dus, om het nog maar eens extra duidelijk te maken: dit interview bevat geen informatie over de situatie aan de TU/e. Wat het wel doet is inzicht geven in cyberaanvallen in het algemeen.
Laten we bij het begin beginnen: hoe kom je erachter dat je aangevallen wordt?
“Vaak komen er signalen uit logs en waarschuwingen van het bewakingssysteem. Dat systeem pikt iets van verdachte activiteit op. Een analist onderzoekt dat en zegt: dit lijkt kwaadaardig, hier moeten we iets mee. Die neemt vervolgens contact op met de eigenaar van het netwerk, om te vertellen dat er mogelijk een probleem is. Een noodteam pakt het vanaf daar op.”
Wat moet een organisatie doen bij een cyberaanval?
“Alles hangt af van de situatie. Je kijkt naar waar je denkt dat de aanvaller binnen is gekomen, wat mogelijke vervolgstappen zijn, hoe zeker je bent van wat je weet, hoe ver de aanvaller het netwerk is binnengekomen, welke systemen gevaar lopen en welke vorm en topologie het netwerk heeft. Deze dingen spelen allemaal een rol en de responsstrategie kan daarom heel erg verschillen. Er is niet één wondermiddel dat werkt in ieder situatie. Er zijn verschillende strategieën die allemaal verdedigbaar zijn. En achter iedere strategie zit altijd een risicoanalyse, die kijkt naar wat binnen de specifieke situatie de beste aanpak is.”
Kun je een cyberaanval voorkomen?
“Niet elke aanval en niet altijd. Je kunt je alleen voorbereiden, zodat je rationeel kunt reageren wanneer je bewijs vindt dat er iets aan de hand is. Rationeel is een subjectieve term, het hangt allemaal af van het stadium waarin de aanval is, welke informatie je hebt, hoe zeker je daarvan bent en hoe goed je kunt beoordelen welke informatie je niet hebt.”
Er is dus echt niets dat je kunt doen om de aanval in zijn geheel tegen te gaan?
“Vooral voor grote organisaties en netwerken is dat moeilijk, in het bijzonder netwerken die meer open zijn door hoe ze in elkaar zitten, zoals die van universiteiten. Toegangspunten daarvan zijn publiek en er is geen consistente lijst van mensen die toegang hebben. Van nature zijn deze netwerken dus kwetsbaarder, omdat ze als doel hebben om mensen toegang te geven tot gedeelde middelen en informatie. Vanuit het systeem gezien is er geen verschil tussen een gebruiker en een aanvaller. Het gedrag is wel verschillend, dus door daarnaar te kijken kun je wel kwaadaardige acties detecteren."
Zeggen dat de gebruiker de zwakke schakel is vind ik nogal oneerlijk
"Netwerken die relatief open zijn bieden dus meer mogelijkheden voor hackers om in te breken dan andere netwerken die meer gesloten zijn. De hacker heeft zoveel verschillende toegangspunten, dat überhaupt het oppikken van signalen in een vroeg stadium van een aanval al laat zien dat een organisatie de boel goed op orde heeft. Het is onmogelijk om hackers altijd buiten de deur te houden. Wat je wel kan doen is je systemen beschermen. Door middel van patches en door je bewust te zijn van de kwetsbaarheden van de technologie. Maar er zijn altijd dingen die je niet kunt controleren. Zoals bijvoorbeeld gebruikers die op een link klikken.”
Er wordt weleens gezegd dat gebruikers de zwakste schakel van een systeem zijn, klopt dat?
“Daar zijn de meningen over verdeeld. In ons onderzoek zien we wel dat gebruikers in zekere zin een zwakke schakel kunnen zijn, maar aan de andere kant ook een enorme hulpbron. Als je naar de data kijkt, dan zie je dat mensen organisaties ook kunnen redden, door bijvoorbeeld acties te rapporteren. Maar gebruikers maken ook fouten, zoals we allemaal doen, ik zelf ook. Ik weet zeker dat ook de mensen die zich bewust zijn van cyberveiligheid soms fouten maken. Je ontvangt een email, je klikt op een link, dat kan gebeuren.
Of je daardoor kan zeggen dat de gebruiker de zwakke schakel is: ik vind dat nogal oneerlijk. Het is niet aan de gebruiker om de organisatie te beschermen. We kunnen onze systemen instrumenten geven die het makkelijker maken voor de gebruiker om goede beslissingen te nemen en voorzichtig te zijn wanneer diegene met het systeem werkt. Verder dan dat moet je niet willen gaan wat betreft het lastigvallen van gebruikers dat ze alles veilig moeten houden. Er is altijd een risico. Het is belangrijker om goed voorbereid te zijn en te weten wanneer er iets aan de hand is.”
Wat zijn de gevolgen voor organisaties die getroffen worden?
“Dat hangt af van het doel van de aanval. Het kan zijn dat het een willekeurige inbraak is op afstand, die door een automated agent is gestart. Het kan ook een aanval zijn die stopt bij de scan of in een heel vroeg stadium. Maar cyberaanvallen kunnen zich ontwikkelen, afhankelijk van het doel van de hacker. Die kan bepaalde acties ondernemen. Lateral movement is daar een belangrijk voorbeeld van. De hacker dringt binnen via een eerste punt, maar kan zich daarna lateraal door de organisatie gaan verplaatsen, dat wil zeggen: naar andere systemen binnen hetzelfde netwerk. Vanuit daar kan het naar andere netwerkniveaus springen, om het netwerk te verkennen.
Dat begin is een belangrijk onderdeel van een geplande cyberaanval. Met serieuze consequenties, die betrekking kunnen hebben tot het onttrekken van data, of het plaatsen van ransomware of achterdeurtjes. Het eerste punt van toegang is niet het laatste stadium dat de hacker wil bereiken. Door zich door het netwerk te bewegen, dingen uit te proberen en te ontdekken, privileges toe te kennen en zich voor te doen als verschillende gebruikers kan hij zijn doel proberen te bereiken. Dat doel kan zijn om rustig in het systeem te blijven zitten en voor een langere periode te observeren wat er gebeurt. Het kan ook zijn om de data heel langzaam, beetje bij beetje uit het systeem weg te laten sijpelen om onder de radar de blijven. Soms gaat het met veel bombarie en plaatst de hacker een grote ransomware-bit in het systeem dat de hele organisatie infecteert en alles versleutelt. Het hangt allemaal af van de hacker. Spionage-gerelateerde aanvallen zijn vaak heel onopvallend, hackers verwijderen hun sporen en blijven langere tijd onder de radar.”
Terwijl ze met ransomware dus juist de voordeur intrappen?
“Ransomware hoeft niet super snel te zijn. Het is niet zo dat cyberaanvallen die de beschikbaarheid van data beïnvloeden - zoals ransomware, wipers en dat soort malware - meteen worden opgemerkt zodra de hacker binnen is. Soms blijft het een tijdje stil. Aan sommige malware zijn condities gekoppeld. Wanneer die condities optimaal zijn binnen het systeem, dan pas slaat het toe. Dit zijn allemaal kenmerken van redelijk geavanceerde aanvallen. Ik bedoel daar niet mee dat de hackers vindingrijk zijn, maar wel goed voorbereid.”
Het netwerk uit de lucht halen is dus een manier om een hacker tegen te houden om nog verder het systeem in te komen?
“Het dient het doel om de hacker van het netwerk af te sluiten. Afhankelijk van wat die tot dan toe heeft gedaan, ontneemt het de hacker een hoop mogelijkheden. Dat betekent niet dat als een hacker erin is geslaagd om een autonome agent in het systeem te installeren voor hij uit het netwerk werd gegooid, die agent niet meer werkt. Die kan wel in het netwerk blijven zitten en als die zich door het netwerk heen moet bewegen zal die dat ook doen. Maar dit soort aanvallen zijn normaal gesproken nogal ‘luidruchtig’.
Als niemand meer toegang heeft tot het systeem, dan is het gemakkelijker om laterale bewegingen te traceren. Al helemaal wanneer die autonoom zijn, want die vallen meer op, omdat die vaak het netwerk scannen. Het programma moet doelen vinden binnen het netwerk om zich te kunnen nestelen en vermenigvuldigen. Het klopt dus dat wanneer je het netwerk afsluit voor externen, er intern nog steeds wat kan gebeuren. Maar ik zou wel zeggen dat het veel gemakkelijker is om dat te monitoren en detecteren, omdat je jezelf door dat netwerk af te sluiten in een veel sterkere positie hebt geplaatst.”
Het klinkt bijna onmogelijk om iets te vinden dat ergens in een klein hoekje van het systeem is geinstalleerd. Klopt dat?
“Dat is erg moeilijk. Maar nogmaals, ik denk dat de ruis van andere gebruikers verwijderen wel helpt om signalen te kunnen identificeren. Hoe beter de informatie is die je verzamelt over hoe ver de hacker je systeem in is gekomen, hoe sterker je staat wanneer je moet bepalen aan welk deel van het systeem je specifiek aandacht moet besteden om te zien of er bewijs te vinden is dat er inderdaad een autonome laterale beweging plaatsvindt.”
Is jouw onderzoeksgroep ook geraakt nu het netwerk offline is?
“Ja, een gedeelte van ons onderzoek ligt nu stil, omdat we geen toegang hebben tot bepaalde systemen. We hebben activiteiten met samenwerkingspartners op afstand. Die hebben we moeten annuleren en uitstellen, omdat die nu gewoon niet mogelijk zijn. Ook het controlecentrum dat wordt gerund door de Security Group – de Eindhoven Security hub – ondervindt gedeeltelijk hinder. Niet de diensten daarvan buiten de TU/e, maar de interne zichtbaarheid wel.”
Is deze situatie relevant voor je onderzoek?
“We doen veel met criminele activiteit: wat doen ze, wanneer vallen ze netwerken aan, hoe doen ze dat en wat gebeurt er daarna. Maar ook met monitoren zijn we veel bezig. Dus ja, het is een situatie die interessant is voor de Security Group."
Discussie