De zeven fasen van een cyberaanval
Cybercriminelen worden steeds sneller en cyberaanvallen steeds geavanceerder. Om aanvallen tegen te kunnen gaan, is het belangrijk om inzicht te krijgen in de werkwijze van de aanvallers. Hiervoor wordt wereldwijd veelal de Cyber Kill Chain gebruikt. Dit is een model waarin zeven fasen van een cyberaanval worden beschreven.
In de praktijk worden niet altijd alle stappen doorlopen, soms worden bepaalde stappen herhaald om dieper in de netwerken door te dringen. Elke stap is ontworpen om zoveel mogelijk schade aan te richten en zo onopgemerkt mogelijk te blijven.
Aanvallers kunnen de volgende stappen doorlopen bij een cyberaanval:
- Verkennen
De aanvallers kiezen een doelwit en gaat op zoek naar zwakke plekken in de organisatie. Voorbeelden van zwakke plekken zijn: zwakke wachtwoorden en/of technische fouten in de beveiliging.
- Bewapening
Als de aanvallers een zwakte hebben gevonden, wordt gereedschap ontwikkeld om binnen te kunnen dringen. Voorbeelden van gereedschap zijn: phishing mails en/of het misbruiken van zwakke wachtwoorden.
- Aflevering
Nadat het doelwit is gekozen en het gereedschap is gemaakt, wordt het gereedschap afgeleverd bij het doelwit. Dit kan bijvoorbeeld door een onbetrouwbare e-mail of een foute USB-stick.
- Uitvoeren van de aanval
Als de aanvallers tot de netwerken zijn binnengedrongen wordt hier de kwaadaardige software geactiveerd. Een medewerker heeft bijvoorbeeld op een linkje geklikt in een phishing mail.
- Installatie
In deze fase willen de aanvallers zich op zo’n manier in het netwerk nestelen dat het voor de organisatie moeilijk wordt om hen te verwijderen. Ze beogen daarom de kwaadaardige software te installeren en te verspreiden op bijvoorbeeld zoveel mogelijk computers.
- Beheer en controle
In deze fase worden meerdere onderdelen van het systeem overgenomen. De aanvallers nemen langzaam de controle over en proberen de echte beheerders buitenspel te zetten. Kortom, de aanvallers nemen de touwtjes in handen.
- Uitvoeren van het doel
In deze fase zullen de aanvallers de kwaadaardige acties uitvoeren. Zo kunnen zij gevoelige informatie stelen en/of bestanden versleutelen om de betaling van losgeld af te dwingen. Pas in deze, allerlaatste, fase maken de aanvallers bekend dat ze het netwerk of systeem hebben overgenomen. Zij kunnen dus al veel langer aanwezig zijn, voordat dit bekend wordt bij de organisatie.