Tijdens de beoordeling maakte het CISA Red Team gebruik van een bestaande webshell om initiële toegang tot het netwerk van de organisatie te verkrijgen. Van daaruit infiltreerden ze de gedemilitariseerde zone (DMZ), verplaatsten ze zich lateraal en compromitteerden ze gevoelige zakelijke systemen en de domeincontroller van de organisatie. Hoewel de organisatie enkele vroege kwaadaardige activiteiten detecteerde, slaagde ze er niet in om de dreiging tijdig aan te pakken, waardoor kritieke systemen blootgesteld bleven. Het Red Team ontdekte zwakke punten in netwerksegmentatie en een overmatige afhankelijkheid van host-gebaseerde Endpoint Detection and Response (EDR)-oplossingen, die verschillende kwaadaardige payloads niet konden detecteren.
De beoordeling bracht systemische tekortkomingen aan het licht, zoals het ontbreken van robuuste netwerkbeschermingslagen, zoals firewalls en intrusion prevention systems (IPS). Verouderde systemen, onveilige configuraties en gebrekkig identiteitsbeheer waren extra factoren die het Red Team in staat stelden om langdurig onopgemerkt te blijven en hun privileges te vergroten. Daarnaast werd duidelijk dat personeel training en middelen nodig heeft om effectief op cyberbedreigingen te reageren, aangezien veel werknemers niet over de technische expertise beschikken om dergelijke uitdagingen aan te pakken.
Beslissingen op managementniveau verergerden de kwetsbaarheden, aangezien de organisatie prioriteit gaf aan andere zaken in plaats van bekende risico’s aan te pakken die door het cybersecurityteam waren geïdentificeerd. Deze hiaten benadrukken het belang van proactief management en gerichte investeringen in cybersecuritymaatregelen om zich te beschermen tegen evoluerende dreigingen.
Om deze problemen aan te pakken, beveelt CISA de implementatie van een Zero Trust-architectuur aan, inclusief veilige praktijken voor identiteits- en toegangsbeheer, phishing-resistente multi-factor authenticatie (MFA) en centrale monitoring om abnormale activiteiten te detecteren. Regelmatige trainingen voor medewerkers, met name over phishingbedreigingen, zijn ook essentieel om het risico op gegevensdiefstal te verminderen.
Het advies benadrukt de noodzaak om cybersecuritymaatregelen af te stemmen op de Cross-Sector Cybersecurity Performance Goals (CPG’s) die zijn ontwikkeld door CISA en NIST. Deze richtlijnen bieden een basis voor organisaties om zich te beschermen tegen veelvoorkomende bedreigingen en hun netwerken beter te beveiligen. Bovendien beveelt CISA aan om de infrastructuur te moderniseren om geavanceerde verdedigingsmechanismen te ondersteunen, zoals veilige clouddiensten en verbeterde endpointbewaking, om zich te verdedigen tegen steeds geavanceerdere aanvallen.
Source: Industrial Cyber
De European Cyber Intelligence Foundation is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.