Je hebt vast wel meegekregen dat toen afgelopen zomer Pokémon Go populair werd, criminelen het meteen gebruikten om malware te verspreiden. Dat idee is niet nieuw: geboefte springt graag in op nieuws, plaatjes, games en apps die een hype doormaken. Via viral memes wordt ook malware verspreid, onder meer door de hostende sites over te nemen of door in te haken op de populaire grap.
App omvormen tot malware
Gebruikers gaan er onterecht van uit dat deze meme-sites en games betrouwbaar zijn. Dat maakt het gemakkelijk voor hackers om malafide software op telefoons en pc's in je organisatie te krijgen. Ze gebruiken verder MitM-aanvallen op game-apps om mobiele apparaten te veroveren en van daaruit een aanval uit te voeren op het bedrijfsnetwerk.
Als aanvallers een game of app populair zien worden, is een van de methoden om daarop in te springen een officiële versie binnenhalen, te decompileren, malware toe te voegen, hercompileren en te publiceren op een third-party site waar niet gecontroleerd wordt op malware, zodat nietsvermoedende gebruikers de app binnenhalen en de malware installeren.
Lokken van slachtoffers
De geïnstalleerde trojan steelt vervolgens bijvoorbeeld wachtwoorden of betalingsinformatie. Aanvallers proberen dit proces zo lang mogelijk te rekken, door de malware verder geen schadelijke invloed te laten hebben en doordat de app normaal functioneert, zodat de gebruiker geen onraad ruikt.
Aanvallers lokken slachtoffers naar third-party plekken met gratis versies, maar ook door de app aan te bieden in een regio waar die voorheen niet was. Pokémon Go kwam bijvoorbeeld aanvankelijk niet in Nederland uit, maar toch hadden veel Nederlanders in de eerste week de app al te pakken. De behoefte aan zulke apps leidt tot downloaden buiten Google Play en het jailbreaken van iPhones, wat malware in de kaart speelt.
Legitieme apps manipuleren
Een andere manier is het infiltreren van apps die al worden gebruikt, bijvoorbeeld door een MitM-aanval op te zetten. Een hacker onderschept de handshake tussen het apparaat en de server en neemt de verbinding over. Vervolgens kunnen aanvallers de machtigingen aanpassen om meer acties uit te kunnen voeren dan de originele app uitvoert, bijvoorbeeld om e-mails met malware te sturen naar andere gebruikers op het netwerk.
Hierna: Hoe voorkom je dat dit jou overkomt?
Malware via websites is al helemaal eenvoudig en op schaal uit te voeren. Aanvallers spelen in op een populaire grap, afbeelding of filmpje, waarna gebruikers via een malafide website malware op hun pc of laptop krijgen afgeleverd. (Dat is momenteel gelukkig nog lastiger op mobiele platforms.) Dat gaat middels drive-by: het slachtoffer hoeft niets zelf te doen en wordt automatisch geïnfecteerd.
De meest gewilde buit bij zulke bedrijfshacks bestaat uit credentials, de inloggegevens van werknemers. Aanvallers krijgen daarmee toegang tot back-end systemen om data te verzamelen, lateraal te kunnen bewegen in het netwerk op zoek naar nog waardevollere gegevens - bijvoorbeeld credentials met hogere rechten - of om andere malware naar systemen te pushen.
Schade beperken
De schade die je oploopt door dat afspeuren naar data kun je beperken door gedragsmonitoring, oftewel het detecteren van acties die ongebruikelijk zijn. Verder door credentialgebruik te monitoren om te zien wanneer iemand een systeem probeert te benaderen waar hij of zij geen toegang tot hoort te hebben.
Sowieso zou een organisatie multifactor-authenticatie moeten gebruiken. Daarbij vereist inloggen een tweede authenticatielaag, bijvoorbeeld met een softwaretoken, zodat aanvallers niet genoeg hebben aan credentials alleen. Verder moeten admin-credentials beperkt worden, zo niet helemaal worden uitgesloten, bijvoorbeeld door uitsluitend JIT-authenticatie te gebruiken. Daar lees je in dit artikel meer over.
Preventieve policy's
Maar goed, dat is als ze al binnen zijn. Voorkomen is beter dan genezen en een sleutelconcept voor preventie zijn mobiele policy's. Het gebruik daarvan is onvermijdelijk als je BYOD toestaat in je organisatie. Daarmee kun je bijvoorbeeld apps whitelisten, zodat onbekende niet gedraaid kunnen worden. Of je kunt gejailbreakte/geroote apparaten de toegang tot het netwerk ontzeggen om sideloading tegen te gaan.
We hebben het nu dus over Mobile Device Management (MDM), Mobile Application Management (MAM) en Enterprise Mobile Management (EMM) met beheertools als MobileIron, BlackBerry Enterprise Server, Microsofts Intune, VMware's AirWatch, XenMobile, of een van de vele andere opties om mobiele apparaten binnen een organisatie te beheren.
Gelaagde aanpak
Andere middelen zijn beveiliging in Network Acces Control (NAC) en beveiligingspakketten op de endpoints zelf. Een aanpak die veel organisaties gebruiken bestaat uit een goede mix van compatibele aanpakken, zodat een organisatie policy's kan afdwingen en sterk kan optreden tegen malware. Onderzoek welke tools je leveranciers hebben en welke lagen precies nodig zijn voor jouw organisatie (afhankelijk van wat je doet en wat aanvallers interessant kunnen vinden).
Een van de issues waar beveiligers vaak tegenaan lopen is dat ze te weinig budget hebben voor mobiele beveiliging. Hier moet je helder over zijn bij C-level: BYOD heeft nou eenmaal stevig beheer nodig, omdat ieder apparaat een potentieel infiltratiepunt is voor het bedrijfsnetwerk. Maak kraakhelder duidelijk wat de risico's zijn als je BYOD zónder beveiligingsbeleid voert en laat het bestuur daar officieel akkoord voor geven - al is het maar om je in te dekken wanneer het misgaat.
Op de laatste pagina: Maak de effecten concreet voor personeel, want policy's zorgen natuurlijk niet voor waakzame gebruikers.
Als apparaten niet voldoen aan de policy's kan de toegang tot bedrijfsresources worden ontzegd om het risico te verkleinen. Houd er wel rekening mee dat de gebruiker het apparaat kan synchroniseren met andere apparaten - bijvoorbeeld via een dock naar de pc of met kabel naar de laptop - en malware kan op die manier springen naar apparaten die je niet hebt geblokkeerd.
Uitrollen van patches
Er zijn genoeg redenen om patches uit te stellen: ze moeten worden getest, ze maken bepaalde software incompatibel met andere applicaties en sturen belangrijke bedrijfsvoering potentieel stevig in de war. Maar elke organisatie moet de risico's van malware die binnenkomt door ongepatchte kwetsbaarheden afwegen met de risico's van de patch voor belangrijke dependency's.
Je kunt een routine opbouwen met automatisch testen door de gepatchte software in een sandbox draaien met beperkte beveiliging op een bepaald aantal servers voor je het volledig uitrolt. Daarmee heb je een sneller patchbeleid om gaten te dichten terwijl je wel zorg draagt voor de integriteit en uptime van je systeem.
Blijvend voorlichten
Alle technologie in de wereld is niet genoeg om malware tegen te houden als personeel zichzelf niet onderdeel maken van de beveiligingsstrategie. Gebruik beloningspogramma's om mensen te motiveren oplettend te blijven en voer tests uit om te zien of ze lessen ook in de praktijk brengen. Richt je op positieve zaken (met gamification-elementen) en minder op negatieve (slecht gedrag bestraffen) om ze een extensie van de beveiligers te maken in plaats van de aanvallers.
Dat blijft een continu proces. Je moet de aandacht blijven vasthouden en ze de risico's van memes, games en apps bijbrengen en uitleggen waarom restrictieve policy's precies nodig zijn. Je moet officiële downloadsites benadrukken en laten zien waaraan je malafide apps en sites kunt herkennen, want veel doorsnee gebruikers zien het verschil niet. Verder moet je ze testen (en belonen) om te zien of ze hun gedrag aanpassen aan de nieuwe kennis.
-
-
Er zijn nog geen reacties.Reageer
Preview