October 7, 2024
|
Infostealers series
Het voorkomen van infostealer-besmettingen kan in twee belangrijke stappen worden onderverdeeld. Hoewel de eerste stap meestal relatief eenvoudig is, is de tweede vaak een stuk uitdagender.
Managed devices binnen organisaties zijn meestal uitgerust met professionele beveiligingsoplossingen zoals EDR/XDR (Endpoint/Extended Detection and Response). Deze systemen zijn ontworpen om bekende en nieuwe infostealers snel op te sporen en te neutraliseren. Het is echter belangrijk om te controleren of de bestaande beveiligingsmaatregelen up-to-date zijn en optimaal functioneren. Als er ruimte is voor verbetering, versterk dan de beveiligingslagen om nieuwe bedreigingen voor te blijven.
Dit is vaak een complexer en moeilijker te beheersen vraagstuk. Privélaptops van medewerkers en computers van externe leveranciers krijgen vaak toegang tot interne systemen, maar missen vaak dezelfde strenge beveiliging als managed devices. Hierdoor vormen deze apparaten een zwakke plek die lastig te controleren is. Onbeheerde apparaten kunnen vatbaarder zijn voor infostealer-infecties, waardoor de kans op datalekken groter wordt.
Zolang toegang vanaf unmanaged apparaten niet volledig wordt uitgesloten, blijft de organisatie kwetsbaar voor infostealer-besmettingen. Toch zijn er meerdere maatregelen die je kunt nemen om dit risico aanzienlijk te verminderen.
Een effectieve maatregel om de risico’s van infostealers te beperken, is de implementatie van Virtual Desktop Infrastructure (VDI), zoals Citrix of VMware. Met VDI kunnen medewerkers en externe partijen werken via een virtuele omgeving. Dit betekent dat er geen directe toegang is tot interne systemen vanaf het lokale apparaat; in plaats daarvan vindt de toegang plaats via de VDI. Het grootste voordeel hiervan is dat sessies niet overdraagbaar zijn naar het lokale apparaat, wat de kans op het kapen van sessies aanzienlijk verkleint.
De mate waarin VDI bescherming biedt tegen infostealers hangt echter sterk af van hoe de VDI is geconfigureerd. Factoren zoals de opslag van gegevens op lokale apparaten en de instellingen voor sessiebeheer zijn cruciaal voor de effectiviteit van deze oplossing.
Daarnaast biedt het gebruik van Secure Browsers, zoals Amazon Workspaces Secure Browser, een extra laag van beveiliging tegen infostealers. Net als bij VDI geldt dat de configuratie van de secure browser de mate van bescherming bepaalt. De browser minimaliseert het risico doordat infecties in een gecontroleerde omgeving blijven en niet rechtstreeks toegang geven tot lokale of bedrijfssystemen.
Een andere strategie om de impact van infostealers te beperken, richt zich op het verkorten van de geldigheidsduur van sessietokens. Sessietokens zijn hetgeen verhandeld wordt op de infostealer-marktplaatsen, omdat ze aanvallers in staat stellen toegang te krijgen tot systemen zonder dat ze wachtwoorden nodig hebben. Hoe korter de sessies geldig zijn, hoe kleiner de kans dat gestolen tokens succesvol kunnen worden gebruikt door aanvallers.
Voor sessietokens van applicaties die op apparaten zijn geïnstalleerd, kunnen extra maatregelen worden genomen om de geldigheid van tokens te beperken op basis van geografische locatie en tijd. Microsoft biedt diverse sterke beveiligingsopties, zoals het implementeren van tokenbescherming en het beperken van tokenhergebruik tot specifieke netwerkomgevingen. Deze maatregelen verkleinen het risico dat aanvallers gestolen tokens buiten geautoriseerde omgevingen gebruiken. Wil je meer weten? Bekijk dan dit artikel van Microsoft. Het is echter belangrijk op te merken dat deze maatregelen niet van toepassing zijn op sessie-replay-aanvallen bij browsergebaseerde sessies.
Zelfs met al deze beveiligingsmaatregelen kunnen bepaalde infostealers onopgemerkt blijven en toegang krijgen tot interne systemen. Daarom is het van belang om voortdurend te monitoren of er geïnfecteerde apparaten te koop worden aangeboden op infostealer marktplaatsen, zoals wordt aangeboden door Passguard. Monitoring van infostealer-marktplaatsen helpt bij het opsporen van gestolen gegevens die verkocht worden. Op deze manier kunnen organisaties in een vroeg stadium detecteren welke apparaten geïnfecteerd zijn en welke toegang of gegevens in gevaar zijn gekomen. Dit biedt een waardevolle kans om snel te reageren voordat er grotere schade ontstaat.
Neem in overweging om ook het menselijk element van infostealer-risico’s mee te nemen in je awarenesscampagnes. Veel medewerkers zijn zich niet bewust van de risico’s die verbonden zijn aan het gebruik van privé-apparaten voor zakelijke doeleinden. Een effectieve awarenesscampagne kan helpen bij het onderwijzen van werknemers over deze gevaren. Het is belangrijk om hen te wijzen op de risico’s van illegale softwaredownloads en het gebruik van privé-apparaten voor logins op zakelijke systemen.
Zolang toegang vanaf unmanaged apparaten niet volledig wordt uitgesloten, blijft je organisatie kwetsbaar voor infostealer-besmettingen. Gelukkig zijn er diverse maatregelen om het risico te verminderen, zoals VDI, secure browsers, het inkorten van sessieduur en tokenbescherming. Daarnaast biedt infostealer monitoring de mogelijkheid om continu te toetsen of de beveiligingsmaatregelen effectief zijn.
Infostealer monitoring is waardevol omdat het inzicht geeft in de effectiviteit van je beveiliging. Als er weinig nieuwe infecties optreden na de implementatie van maatregelen, of als er geen verdachte activiteiten worden waargenomen vanaf nieuwe apparaten, is dat een goed teken dat je beveiligingsstrategie werkt. Maar mocht je toch serieuze infecties tegenkomen, dan is dat een duidelijk signaal om aanvullende maatregelen te overwegen en je beveiliging verder te verbeteren. Het is aan jou om de juiste balans te vinden tussen het beperken van risico's en het behouden van werkbaarheid binnen je organisatie.
Informatieveiligheid krijgt bij zorgorganisaties steeds meer aandacht. We spraken hierover met een grote zorgorganisatie in het zuiden van Nederland. Informatiebeveiliging is voor hen een belangrijk thema: continu brengen zij kwetsbaarheden in kaart en voeren ze verbeteringen door. Hiervoor maken zij onder meer gebruik van Passguard. Waarom? We vroegen het aan de CIO.
November 6, 2024
Infostealers worden gemaakt als Malware-as-a-Service (MaaS). Dit model stelt cybercriminelen zonder diepgaande technische kennis in staat om toegang te krijgen tot geavanceerde malware door simpelweg te betalen voor een abonnement. Hierdoor zijn infostealers voor een bredere groep criminelen toegankelijk om aanvallen uit te voeren zonder zelf malware te ontwikkelen.
October 11, 2024
De afgelopen jaren hebben veel organisaties effectieve maatregelen genomen om hun netwerken te beveiligen en het risico van phishing-aanvallen te verkleinen. Als gevolg hiervan is de effectiviteit van traditionele aanvalsmethoden sterk afgenomen. Dit vormt een groot probleem voor cybercriminelen, omdat hun hele ecosysteem afhankelijk is van succesvolle aanvallen.
October 11, 2024
.svg)
