Ga naar de hoofdinhoud
Andrew Heller, marketingmanager

In honderden projecten van Lares en Damovo komen steeds weer dezelfde onderliggende problemen naar voren, ongeacht of de omgevingen voornamelijk on-premises, in de cloud of hybride zijn:

  • Zwakke wachtwoorden en gebrekkig wachtwoordbeleid
  • Onzorgvuldige omgang met gevoelige informatie en gebrekkig gegevensbeheer
  • Onvoldoende netwerkscheiding

Verkeerde configuraties en niet-gepatchte kwetsbaarheden komen ook vaak voor, maar deze drie gebieden vormen steevast de basis voor de meest schadelijke aanvalsroutes.

Zwakke wachtwoorden: het startpunt voor veel aanvallen

Zwakke wachtwoorden vormen nog steeds een van de meest effectieve manieren om toegang te krijgen tot bedrijfsgegevens, van Windows-domeinen tot cloudapplicaties en alles daartussenin. Gecompromitteerde inloggegevens als gevolg van externe ‘password spraying’ of gekraakte hashes door domeinaanvallen blijven de meest voorkomende bevindingen.

Het hergebruiken van wachtwoorden is een nauw verwant probleem. Als één set inloggegevens in handen van kwaadwillenden valt, kan dat tal van deuren openen als hetzelfde wachtwoord wordt gebruikt voor VPN, e-mail, SaaS en interne systemen. Veel gebruikers zonder technische achtergrond begrijpen niet helemaal waarom sterke, unieke wachtwoorden zo belangrijk zijn, of hoe snel een wachtwoord kan worden misbruikt zodra het in verkeerde handen valt.

Typisch werkproces van een aanvaller:

  • Gebruik OSINT en gegevens over datalekken om wachtwoorden te vinden die al zijn blootgesteld in databasedumps en eerdere incidenten.
  • Breng de waarschijnlijke patronen van een organisatie in kaart: bedrijfsnaam123, seizoensgebonden woorden in combinatie met jaartallen, of voorspelbare woorden uit het woordenboek gevolgd door cijfers.
  • Voer credential stuffing en password spraying uit op portalen en diensten die door de organisatie worden gebruikt, totdat toegang is verkregen.

Het bestrijden van zwakke wachtwoorden is makkelijker gezegd dan gedaan. Gebruikers kiezen vaak wachtwoorden die ze kunnen onthouden, ook al zijn die makkelijk te raden. In grote lijnen zijn dit enkele effectieve maatregelen:

  • Het invoeren van blokkeerlijsten voor wachtwoorden en lijsten met verboden woorden, zodat veelgebruikte en voorspelbare wachtwoorden worden geweigerd.
  • Het regelmatig controleren van het gebruik van wachtwoorden en het beleid hieromtrent om slechte praktijken op te sporen.
  • De nadruk ligt op voorlichting van gebruikers en positieve bekrachtiging in plaats van louter op straffen, zodat mensen begrijpen wat de gevolgen zijn van slecht wachtwoordbeheer.
  • Het gebruik van technische maatregelen, zoals Microsoft Entra Password Protection en soortgelijke diensten, om het gebruik van veelvoorkomende wachtwoorden in hybride omgevingen te beperken.

Gegevensbeheer: aanvallers beschouwen gegevens als goud

Naast zwakke wachtwoorden is gebrekkig gegevensbeheer een van de belangrijkste factoren die aanvallers in de kaart spelen. Door te veel openbare informatie te delen op LinkedIn, GitHub en andere kanalen kunnen interne systemen, configuraties en inloggegevens aan het licht komen. Binnen het netwerk geven slordige werkwijzen rond documenten en bestandsopslag aanvallers vaak alles wat ze nodig hebben om hun toegang te vergroten.

Slechte gegevensbeheerpraktijken zijn meestal het gevolg van gewoontes en gemakzucht: beheerders en gebruikers verspreiden gevoelige informatie over SharePoint, gedeelde mappen, scripts en spreadsheets omdat dat op dat moment zo handig is. Na verloop van tijd ontstaat er zo een situatie waarin bijna iedereen wel iets bruikbaars kan vinden, mits hij of zij weet waarnaar te zoeken.

SharePoint

SharePoint vormt vaak een rijke bron van inloggegevens en gevoelige configuratie-informatie. Zodra aanvallers voet aan de grond hebben gekregen en over geldige inloggegevens beschikken, kunnen ze zoeken op termen als ‘password’, ‘passwd’, ‘pwd’, ‘credential’ en soortgelijke variaties. Documentatie- en configuratiebestanden bevatten vaak hardgecodeerde wachtwoorden of verbindingsstrings die toegang geven tot andere systemen.

Hybride omgevingen vergroten dit risico. Naarmate steeds meer documenten, inloggegevens en configuratiegegevens naar samenwerkingsplatforms in de cloud worden verplaatst, vormen slecht beheerde SharePoint-sites en soortgelijke diensten een rechtstreekse weg naar verhoogde toegangsrechten.

Bestandsdelingen

Windows-bestandsmappen bevatten vaak jaren aan verzamelde gegevens. De belangrijkste risico’s zijn:

  • Te soepele toegangsbeperkingen voor mappen
  • Het ontbreken van beleid inzake gegevensbewaring en gegevensopschoning
  • Scripts, configuratiebestanden en spreadsheets waarin actuele inloggegevens zijn opgeslagen

Tools zoals Snaffler zijn speciaal ontwikkeld om misbruik te maken van deze situatie. Ze inventariseren computers en mappen in Active Directory, indexeren bestanden en gebruiken patronen en reguliere expressies om ‘interessante’ gegevens te identificeren, zoals inloggegevens, sleutels en configuratiegegevens. Spreadsheets zijn een bijzonder veelvoorkomende bron van inloggegevens, omdat gebruikers ze vaak gebruiken als informele wachtwoordbeheerders.

Hoe je een betere aanpak kunt hanteren

Het verbeteren van databeheer is deels een kwestie van beleid, deels van technische maatregelen en deels van een cultuuromslag:

  • Stel duidelijke richtlijnen op die het opslaan van wachtwoorden in documenten en spreadsheets zoveel mogelijk verbieden.
  • Beperk de toegang tot gevoelige gedeelde mappen tot specifieke mappen met zo min mogelijk rechten, en controleer regelmatig wie waar toegang toe heeft, met name bij belangrijke administratieve mappen.
  • Controleer belangrijke bestandsmappen op afwijkende toegangs patronen, zoals wanneer een standaardgebruiker plotseling duizenden bestanden leest (bijvoorbeeld met behulp van Windows SACL’s en Event ID 5145 voor gedetailleerde controle van bestandsmappen).
  • Herschrijf onderhouds- en automatiseringsscripts zodat er geen inloggegevens hard worden gecodeerd, maar in plaats daarvan gebruik wordt gemaakt van beveiligde wachtwoordopslagplaatsen, API’s of beheerde identiteiten, indien ondersteund.
  • Als inloggegevens moeten worden opgeslagen, zorg er dan voor dat ze uitsluitend voor een specifiek doel worden gebruikt, goed beveiligd zijn en worden gecontroleerd.

Aanvallers beschikken over een breed scala aan geautomatiseerde tools, dus beveiligingsmedewerkers moeten niet aarzelen om dezelfde tools te gebruiken om hiaten in de detectie en het herstel te dichten. Crawlers zoals Snaffler of vergelijkbare oplossingen kunnen worden afgestemd op het zoeken naar specifieke bestandstypen of patronen, waardoor beveiligingsteams problemen kunnen opsporen en verhelpen voordat aanvallers dat doen.

Gebrek aan netwerksegregatie: laterale verplaatsing wordt hierdoor eenvoudig

Onvoldoende netwerksegmentatie is een ander veelvoorkomend zwak punt, vooral in minder volwassen omgevingen. Slecht gesegmenteerde netwerken vergroten het aanvalsoppervlak en maken laterale bewegingen veel gemakkelijker.

In een goed gesegregeerd netwerk:

  • Het aantal blootgestelde diensten wordt tot een minimum beperkt.
  • Systemen worden op basis van hun doel en gevoeligheid in segmenten onderverdeeld.
  • Een inbreuk in één zone betekent niet automatisch dat de rest ook kwetsbaar wordt.

In vlakke of licht gesegmenteerde netwerken kunnen aanvallers:

  • Voer ARP-vergiftiging en andere man-in-the-middle-aanvallen uit.
  • Netwerkdiensten (SQL, HTTP, RDP, VoIP, SMB, enz.) en verkeer naar externe locaties onderscheppen.
  • Inloggegevens stelen en zwakke authenticatieprotocollen omzeilen of misbruiken.
  • Lanceer grootschalige aanvallen aan de kant van de gebruiker en verspreid snel malware zoals ransomware.

Zelfs als er EDR-oplossingen (Endpoint Detection and Response) zijn geïmplementeerd, zorgen verkeerde configuraties, gaten in de firewall en ontbrekende segmentatie er vaak voor dat gevoelige systemen onnodig kwetsbaar blijven. Zodra aanvallers voet aan de grond hebben gekregen, wordt het moeilijk om een inbreuk in te dammen en krijgen ze de tijd om meerdere toegangsroutes en mechanismen voor blijvende aanwezigheid op te zetten.

Zwakke plekken combineren tot concrete aanvalsroutes

Wanneer zwakke wachtwoorden, gebrekkig gegevensbeheer en een gebrek aan netwerksegmentatie samenkomen, beschikken aanvallers over meerdere, elkaar overlappende manieren om hun doel te bereiken. Gecompromitteerde inloggegevens bieden toegang tot het systeem, inloggegevens en configuratiegegevens die zijn opgeslagen in gedeelde mappen of op SharePoint-schijven maken escalatie mogelijk, en in platte netwerken is laterale beweging een fluitje van een cent. Dit is een van de redenen waarom ransomware en soortgelijke aanvallen zo effectief blijven in onvolwassen omgevingen.

Deze patronen gelden zowel voor on-premises- als voor cloudomgevingen. Azure en andere cloudplatforms beperken het risico enigszins door het afdwingen van best practices, maar configuratiefouten, zwakke punten in de identiteitsbeveiliging en te ruimhartig delen van gegevens kunnen nog steeds misbruikbare kwetsbaarheden opleveren. Lares stelt openbare aanvalskits en onderzoeksresultaten beschikbaar om zowel testers als beveiligingsspecialisten te helpen deze patronen in hybride omgevingen te begrijpen.

Je omgeving vanuit een bottom-up-perspectief bekijken

Een praktische manier om deze aanvalsroutes te beperken, is door de beveiligingsstatus van de organisatie van onderaf te bekijken:

  • Zorg voor veiligheidsbewustzijnstrainingen voor het personeel die specifiek gericht zijn op wachtwoordbeheer, omgang met gegevens en het herkennen van risicovol gedrag.
  • Evalueer het netwerkontwerp en stel een plan op voor een zinvolle segmentatie, met name rond kritieke systemen en beheerinterfaces.
  • Controleer Windows- en hybride cloudomgevingen op tekortkomingen in het gegevensbeheer en ondersteun het beleid met afdwingbare technische maatregelen.
  • Geef waar mogelijk voorrang aan preventie en zorg ervoor dat, wanneer preventie niet haalbaar is, de opsporing en de respons daarop regelmatig worden afgestemd en getest.

Hoe Damovo en Lares u kunnen helpen

Damovo helpt organisaties bij het ontwerpen, integreren en beheren van veilige netwerken, samenwerkingsplatforms en cloudomgevingen, met een sterke focus op inzicht en controle. Lares, de afdeling voor offensieve beveiliging binnen Damovo, test deze omgevingen op dezelfde manier als echte aanvallers dat zouden doen, en brengt zwakke wachtwoorden, gebrekkig gegevensbeheer en hiaten in de segmentatie aan het licht door middel van penetratietests, red teaming en beoordelingen van interne bedreigingen.

Samen kunnen Damovo en Lares u helpen met:

  • Breng in kaart welke concrete routes aanvallers zouden kunnen gebruiken om uw omgeving te compromitteren.
  • Geef prioriteit aan het aanpakken van knelpunten op het gebied van identiteitsbeheer, gegevensbeheer en netwerkontwerp.
  • Controleer of verbeteringen effectief zijn door middel van adversarial testing, afgestemd op dreigingsrapporten en kaders zoals het ENISA Threat Landscape en het NIST CSF.

Als u wilt weten welke kwetsbaarheden in uw omgeving het grootste risico vormen op een volledige inbreuk, en hoe u die risico’s op een praktische manier kunt wegnemen, kan Damovo u begeleiden bij een beoordelingsaanpak die is afgestemd op uw specifieke situatie.

praat met onze experts
Sluit u aan bij meer dan 10.000 anderen op de e-maillijst van Damovo om de nieuwste inzichten en exclusieve content te ontvangen.
Nu abonneren