Wat zijn Cybersecuritydreigingen?

Cybersecuritydreigingen zijn handelingen die worden uitgevoerd door personen met kwaadwillende bedoelingen, met als doel het stelen van gegevens, het veroorzaken van schade of het verstoren van computersystemen. Veelvoorkomende categorieën van cyberdreigingen zijn malware, social engineering, man-in-the-middle-aanvallen (MitM), denial-of-service-aanvallen (DoS) en injectieaanvallen — we lichten elk van deze categorieën hieronder verder toe.

Cyberdreigingen kunnen afkomstig zijn van uiteenlopende bronnen: van vijandige staten en terroristische groeperingen tot individuele hackers of zelfs vertrouwde personen zoals medewerkers of opdrachtnemers die hun toegangsrechten misbruiken om kwaadaardige acties uit te voeren.

Veelvoorkomende bronnen van cyberdreigingen

Hieronder staan enkele veelvoorkomende bronnen van cyberdreigingen voor organisaties:

  • Naties — Vijandige landen kunnen cyberaanvallen uitvoeren op lokale bedrijven en instellingen om communicatie te verstoren, chaos te veroorzaken of schade aan te richten.
  • Terroristische organisaties — Voeren cyberaanvallen uit met als doel het vernietigen of misbruiken van kritieke infrastructuur, het bedreigen van nationale veiligheid en het veroorzaken van maatschappelijke ontwrichting.
  • Criminele groepen — Georganiseerde hackersgroepen proberen economische winst te behalen via phishing, spam, spyware en malware om losgeld te eisen, gegevens te stelen of online oplichting te plegen.
  • Hackers — Individuele hackers gebruiken verschillende aanvalstechnieken, gemotiveerd door persoonlijk gewin, wraak, politiek of status binnen de hackergemeenschap.
  • Kwaadaardige insiders — Medewerkers, leveranciers of partners met legitieme toegang tot systemen die deze toegang misbruiken om informatie te stelen of schade toe te brengen. Ook externe aanvallers die accounts hebben overgenomen, vallen hieronder.

Soorten Cybersecuritydreigingen

Malware-aanvallen

Malware is een afkorting van “malicious software” en omvat virussen, wormen, trojans, spyware en ransomware, en is het meest voorkomende type cyberaanval. Malware infiltreert een systeem, meestal via een link op een niet-vertrouwde website of e-mail, of via een ongewenste softwaredownload. Het installeert zich op het doelsysteem, verzamelt gevoelige gegevens, manipuleert en blokkeert toegang tot netwerkcomponenten, en kan gegevens vernietigen of het systeem volledig uitschakelen.

Belangrijke vormen van malware:

  • Virussen – Injecteren kwaadaardige code in applicaties die bij uitvoering schade aanrichten.
  • Wormen – Malware die misbruik maakt van kwetsbaarheden in Software en ‘backdoors’ om toegang te krijgen tot een besturingssysteem. Eenmaal geïnstalleerd in het netwerk, kan de worm aanvallen uitvoeren zoals bijvoorbeels distributed denial of service (DDoS) aanvallen.
  • Trojans – Kwaadaardige code of software die zich voordoet als een onschuldig programma, verborgen in apps, games of e -mailbijlagen. Een nietsvermoedende gebruiker downloadt de Trojan, waardoor deze controle over hun apparaat kan krijgen.
  • Ransomware – Een gebruiker of organisatie wordt de toegang tot zijn eigen systemen of gegevens geweigerd doormiddel van Encryptie. De aanvaller vereist meestal dat een losgeld wordt betaald in ruil voor een decoderingsleutel om de toegang te herstellen, maar er is geen garantie dat het betalen van het losgeld de volledige toegang of functionaliteit daadwerkelijk zal herstellen.
  • Cryptojacking – Aanvallers implementeren software op het apparaat van een slachtoffer en gebruiken ongemerkt de computer resources om cryptocurrency te genereren (Minen). Getroffen systemen kunnen langzaam worden en cryptojacking -kits kunnen de systeemstabiliteit beïnvloeden.
  • Spyware – Verzamelt gegevens van een nietsvermoedende gebruiker, inclusief gevoelige informatie zoals wachtwoorden en betalingsgegevens. Spyware kan desktopbrowsers, mobiele telefoons en desktopapplicaties beïnvloeden.
  • Adware – De browse -activiteit van een gebruiker wordt bijgehouden om gedragspatronen en interesses te bepalen, waardoor adverteerders op de gebruiker gerichte advertenties kunnen verzenden. Adware is gerelateerd aan spyware, maar omvat niet het installeren van software op het apparaat van de gebruiker en wordt niet noodzakelijkerwijs gebruikt voor kwaadaardige doeleinden, maar het kan worden gebruikt zonder toestemming van de gebruiker en hun privacy in gevaar te brengen.
  • Fileless malware – Er wordt geen software geïnstalleerd op het besturingssysteem. Native bestanden zoals WMI en PowerShell worden bewerkt om kwaadaardige functies mogelijk te maken. Deze stealthy vorm van aanval is moeilijk te detecteren (antivirus kan het niet identificeren), omdat de gecompromitteerde bestanden als legitiem worden erkend.
  • Rootkits – Software wordt geïnjecteerd in toepassingen, firmware, besturingssysteemkernels of hypervisors, waardoor externe administratieve toegang tot een computer mogelijk wordt. De aanvaller kan het besturingssysteem starten binnen een gecompromitteerde omgeving, volledige controle over de computer krijgen en aanvullende malware leveren.

Social Engineering-aanvallen

Social engineering houdt in dat gebruikers worden misleid om een toegangspunt voor malware te bieden. Het slachtoffer verstrekt gevoelige informatie of installeert onbewust malware op hun apparaat, omdat de aanvaller zich voordoet als een betrouwbare bron.

Voorbeelden:

  • Baiting – De aanvaller lokt een gebruiker in een social engineering-val, meestal met een belofte van iets aantrekkelijks zoals een gratis cadeaubon. Het slachtoffer verstrekt gevoelige informatie, zoals inloggegevens, aan de aanvaller.
  • Pretexting – Vergelijkbaar met Baiting, zet de aanvaller het doelwit onder druk om informatie te verstrekken onder valse voorwendselen. Dit houdt meestal in dat de aanvaller zich voordoet als iemand met autoriteit, bijvoorbeeld een belastingambtenaar of politieagent, wiens positie het slachtoffer dwingt om mee te werken.
  • Phishing – De aanvaller verstuurt e-mails die lijken te komen van een vertrouwde bron. Phishing omvat vaak het verzenden van frauduleuze e-mails naar zoveel mogelijk gebruikers, maar kan ook gerichter zijn. Bijvoorbeeld, “spear phishing” personaliseert de e-mail om een specifieke gebruiker te targeten, terwijl “whaling” nog een stap verder gaat door zich te richten op hoogwaardige individuen zoals CEO’s.
  • Spear phishing & whaling – Gericht op specifieke personen of hooggeplaatste targets (zoals CEO’s).
  • Vishing – (Voice phishing) — de bedrieger gebruikt de telefoon om het doelwit te misleiden tot het vrijgeven van gevoelige gegevens of het verlenen van toegang tot het doelsysteem. Vishing richt zich meestal op oudere personen, maar kan tegen iedereen worden ingezet.
  • Smishing – (SMS-phishing) — de aanvaller gebruikt tekstberichten als middel om het slachtoffer te misleiden.
  • Piggybacking – Een geautoriseerde gebruiker verleent fysieke toegang aan een andere persoon die “meelift” op de inloggegevens van de gebruiker. Bijvoorbeeld, een medewerker kan toegang verlenen aan iemand die zich voordoet als een nieuwe medewerker die zijn toegangskaart is kwijtgeraakt.
  • Tailgating – Een ongeautoriseerd persoon volgt een geautoriseerde gebruiker naar een locatie, bijvoorbeeld door snel door een beveiligde deur te glippen nadat de geautoriseerde gebruiker deze heeft geopend. Deze techniek is vergelijkbaar met piggybacking, behalve dat de persoon die wordt gevolgd niet weet dat hij of zij wordt gebruikt door een ander individu.

Supply Chain-aanvallen

Supply Chain-aanvallen zijn een nieuw type bedreiging voor softwareontwikkelaars en fabrikanten. Het doel is om legitieme toepassingen te infecteren en malware te verspreiden via broncode, Software ontwikkeling (Build processes), of software-update mechanismen.

Aanvallers zoeken naar onveilige netwerkprotocollen, serverinfrastructuur en codeertechnieken, en gebruiken deze om ontwikkel (build)- en updateprocessen te compromitteren, broncode te wijzigen en kwaadaardige inhoud te verbergen.

Aanvallen op de toeleveringsketen zijn bijzonder ernstig omdat de toepassingen die door aanvallers worden gecompromitteerd, zijn ondertekend en gecertificeerd door vertrouwde leveranciers. Bij een aanval op de softwaretoeleveringsketen is de softwareleverancier zich niet bewust dat zijn toepassingen of updates zijn geïnfecteerd met malware. Kwaadaardige code draait met dezelfde vertrouwensniveaus en privileges als de gecompromitteerde toepassing.

Voorbeelden:

  • Compromitteren van buildtools of ontwikkelomgevingen
  • Misbruik van code-signing procedures
  • Schadelijke code in software-updates of firmware
  • Vooraf met kwaadaardige code geïnfecteerde apparaten

Man-in-the-Middle (MitM) aanvallen

Een Man-in-the-Middle (MitM)-aanval houdt in dat de communicatie tussen twee eindpunten, zoals een gebruiker en een toepassing, wordt onderschept. De aanvaller kan de communicatie afluisteren, gevoelige gegevens stelen en zich voordoen als elke partij die aan de communicatie deelneemt.

Voorbeelden:

  • Wi-Fi afluisteren – Een aanvaller richt een Wi-Fi-verbinding (Fake hotspots) in en doet zich voor als een legitieme partij, zoals een bedrijf, waarmee gebruikers verbinding kunnen maken. De Fake hotspots stelt de aanvaller in staat om de activiteiten van verbonden gebruikers te monitoren en gegevens zoals betaalkaartgegevens en inloggegevens te onderscheppen.
  • E-mail kaping – Een aanvaller vervalst het e-mailadres van een legitieme organisatie, zoals bijvoorbeeld een bank, en gebruikt dit om gebruikers te misleiden om gevoelige informatie prijs te geven of geld over te maken naar de aanvaller. De gebruiker volgt instructies waarvan hij denkt dat ze van de bank komen, maar die in werkelijkheid van de aanvaller afkomstig zijn.
  • DNS-spoofing – Een Domain Name Server (DNS) wordt vervalst, waardoor een gebruiker wordt doorgestuurd naar een kwaadaardige website die zich voordoet als een legitieme site. De aanvaller kan verkeer van de legitieme site omleiden of de inloggegevens van de gebruiker stelen.
  • IP-spoofing – Een internetprotocol (IP)-adres verbindt gebruikers met een specifieke website. Een aanvaller kan een IP-adres vervalsen om zich voor te doen als een website en gebruikers te misleiden door hen te laten denken dat ze die website echt bezoeken.
  • HTTPS-spoofing – HTTPS wordt over het algemeen beschouwd als de veiligere versie van HTTP, maar kan ook worden gebruikt om de browser te laten denken dat een kwaadaardige website veilig is. De aanvaller gebruikt “HTTPS” in de URL om de kwaadaardige aard van de website te verbergen.

Denial-of-Service (DoS) aanvallen

Een Denial-of-Service (DoS)-aanval overbelast het doelsysteem met een grote hoeveelheid verkeer, waardoor het systeem niet normaal kan functioneren. Een aanval waarbij meerdere apparaten betrokken zijn, wordt een distributed denial-of-service (DDoS)-aanval genoemd.

Voorbeelden van een DoS aanval zijn:

  • HTTP flood – De aanvaller gebruikt HTTP-verzoeken die legitiem lijken om een toepassing of webserver te overbelasten. Deze techniek vereist geen hoge bandbreedte of misvormde pakketten en probeert doorgaans een doelsysteem te dwingen om zoveel mogelijk resources toe te wijzen voor elk verzoek.
  • SYN flood – Het opzetten van een verbinding via het Transmission Control Protocol (TCP) begint met het verzenden van een SYN-verzoek, waarop de host moet reageren met een SYN-ACK ter bevestiging van het verzoek. Vervolgens moet de aanvrager reageren met een ACK. Aanvallers kunnen deze verbindingsreeks misbruiken door SYN-verzoeken te versturen, maar niet te reageren op de SYN-ACK-antwoorden van de host. Hierdoor blijven serverbronnen bezet zonder dat er daadwerkelijk een verbinding tot stand komt.
  • UDP flood – Een externe host wordt overspoeld met UDP-pakketten (User Datagram Protocol) die naar willekeurige poorten worden gestuurd. Deze techniek dwingt de host om te zoeken naar applicaties op de getroffen poorten en te reageren met “Destination Unreachable”-pakketten. Dit verbruikt waardevolle systeembronnen van de host.
  • ICMP flood – Een stortvloed aan ICMP Echo Request-pakketten overspoelt het doelwit en verbruikt zowel inkomende als uitgaande bandbreedte. De servers proberen mogelijk op elk verzoek te reageren met een ICMP Echo Reply-pakket, maar kunnen de hoge hoeveelheid verzoeken niet bijhouden, waardoor het systeem vertraagt.
  • NTP amplification – Network Time Protocol (NTP)-servers zijn openbaar toegankelijk en kunnen door een aanvaller worden misbruikt om grote hoeveelheden UDP-verkeer naar een doelwitserver te sturen. Dit wordt beschouwd als een amplificatie-aanval vanwege de verhouding tussen verzoek en antwoord van 1:20 tot 1:200. Hierdoor kan een aanvaller open NTP-servers gebruiken om DDoS-aanvallen met een zeer hoog volume en hoge bandbreedte uit te voeren.

Injectie-aanvallen

Injectie-aanvallen maken misbruik van verschillende kwetsbaarheden om kwaadaardige invoer direct in de code van een webapplicatie in te voegen. Als zo’n aanval slaagt, kan dit leiden tot het blootleggen van gevoelige informatie, het uitvoeren van een DoS-aanval of het volledig compromitteren van het systeem.

Enkele voorbeelden van Injection attacks:

  • SQL-injectie – Een aanvaller voert een SQL-query in via een invoerveld voor eindgebruikers, zoals een webformulier of een reactieveld. Een kwetsbare applicatie stuurt de gegevens van de aanvaller naar de database en voert daarbij alle SQL-commando’s uit die in de query zijn geïnjecteerd. De meeste webapplicaties maken gebruik van databases die zijn gebaseerd op Structured Query Language (SQL), waardoor ze kwetsbaar zijn voor SQL-injectie. Een nieuwe variant van deze aanval zijn NoSQL-aanvallen, die gericht zijn op databases die geen relationele datastructuur gebruiken.
  • Code-injectie – Een aanvaller kan code injecteren in een applicatie als deze kwetsbaar is. De webserver voert de kwaadaardige code uit alsof het onderdeel is van de applicatie.
  • OS Command injectie – Een aanvaller kan misbruik maken van een command injection-kwetsbaarheid om opdrachten in te voeren die door het besturingssysteem worden uitgevoerd. Dit stelt de aanvaller in staat om gegevens van het besturingssysteem te onderscheppen of het systeem over te nemen.
  • LDAP-injectie – Een aanvaller voert tekens in om LDAP-query’s (Lightweight Directory Access Protocol) te manipuleren. Een systeem is kwetsbaar als het ongefilterde LDAP-query’s gebruikt. Deze aanvallen zijn zeer ernstig, omdat LDAP-servers gebruikersaccounts en inloggegevens van een hele organisatie kunnen bevatten.
  • XML eXternal Entities (XXE) Injection – Een aanval wordt uitgevoerd met speciaal samengestelde XML-documenten. Dit verschilt van andere aanvalsvectoren omdat het gebruikmaakt van inherente kwetsbaarheden in verouderde XML-parsers, in plaats van ongevalideerde gebruikersinvoer. XML-documenten kunnen worden gebruikt om paden te doorlopen, code op afstand uit te voeren en server-side request forgery (SSRF) toe te passen.
  • Cross-Site Scripting (XSS) – Een aanvaller voert een tekst in die kwaadaardige JavaScript bevat. De browser van het doelwit voert deze code uit, waardoor de aanvaller gebruikers kan doorsturen naar een kwaadaardige website of sessiecookies kan stelen om de sessie van een gebruiker over te nemen. Een applicatie is kwetsbaar voor XSS (Cross-Site Scripting) als deze gebruikersinvoer niet opschoont om JavaScript-code te verwijderen.

Cybersecurity-oplossingen

Cyberbeveiligingsoplossingen zijn hulpmiddelen die organisaties gebruiken om zich te beschermen tegen cyberdreigingen, evenals tegen accidentele schade, rampen en andere bedreigingen. Hieronder staan de belangrijkste soorten beveiligingsoplossingen::

  • Applicatiebeveiliging – Wordt gebruikt om kwetsbaarheden in softwareapplicaties te testen tijdens de ontwikkel- en testfase, en om applicaties die in productie draaien te beschermen tegen bedreigingen zoals netwerkaanvallen, misbruik van softwarekwetsbaarheden en aanvallen op webapplicaties.
  • Netwerkbeveiliging – Monitort het netwerkverkeer, identificeert mogelijk kwaadaardig verkeer en stelt organisaties in staat om bedreigingen te blokkeren, filteren of beperken.
  • Cloudbeveiliging – Implementeert beveiligingsmaatregelen in publieke, private en hybride cloudomgevingen, en detecteert en verhelpt foutieve beveiligingsconfiguraties en kwetsbaarheden.
  • Endpointbeveiliging – Wordt ingezet op endpoints zoals servers en werkstations van medewerkers, en kan bedreigingen voorkomen zoals malware, ongeautoriseerde toegang en misbruik van kwetsbaarheden in het besturingssysteem en de browser.
  • IoT-beveiliging – Verbonden apparaten worden vaak gebruikt om gevoelige gegevens op te slaan, maar zijn meestal niet goed beveiligd. IoT-beveiligingsoplossingen helpen om inzicht te krijgen in deze apparaten en de beveiliging ervan te verbeteren.
  • Threat intelligence – Informatie over dreigingen, aanvalspatronen en bedreigingsactoren, ter ondersteuning van detectie en respons

Cybersecuritydreigingen nemen in omvang en complexiteit toe. Bedrijven en personen moeten zich wapenen tegen steeds geavanceerdere aanvallen, of het nu via malware, social engineering of supply chain-aanvallen is. Goede beveiligingsmaatregelen, educatie en betrouwbare tools zijn essentieel om digitale veiligheid te waarborgen.