FireEye-aanval legt lat voor cyberbestendigheid voor iedereen hoger

De cyberaanval op FireEye, die eerder deze week bekend werd gemaakt, verhoogt het cyberrisico voor alle organisaties. Maar dankzij het delen van informatie en de tegenmaatregelen die FireEye heeft vrijgegeven, is het een verhoogd dreigingsniveau waarop cyberbeveiligingsprofessionals kunnen anticiperen en dat ze kunnen beperken.

Zoals alom werd gemeld, heeft FireEye dinsdag na het sluiten van de aandelenmarkten aangekondigd dat een cyberaanvaller - hoogstwaarschijnlijk een natiestaat - toegang had gekregen tot Red Team-tools die het bedrijf normaal gesproken gebruikt om de beveiliging van zijn eigen klanten te testen. Dit zijn tools die FireEye legitiem gebruikt, met toestemming van klanten, om "white hat"-aanvallen uit te voeren die de cyberveerkracht van een organisatie testen. Hoewel ze in detail verschillen, zijn ze in concept vergelijkbaar met de phishing-simulatietools die bedrijven aanbieden om het cyberbeveiligingsbewustzijn van werknemers te testen.

In zijn openbare mededeling schreef Kevin Mandia, CEO van FireEye, dat de aanvallers "een nieuwe combinatie van technieken gebruikten die wij of onze partners in het verleden niet hebben gezien." De technieken dwarsboomden tegenbeveiligingsinstrumenten en forensisch onderzoek, waardoor de cyberaanvallers onopgemerkt hun gang konden gaan. Volgens The New York Times omvatte dit onder meer het gebruik van duizenden nieuw geregistreerde IP-adressen die nog nooit eerder bij aanvallen waren gebruikt. [1] Mandia zei dat er geen bewijs is dat klantgegevens zijn gecompromitteerd; maar als dat wel het geval is, zal direct contact worden opgenomen met de betrokken klanten.

Wat FireEye doet om organisaties te helpen hun cyberbestendigheid te vergroten

Mandia somde verder een reeks maatregelen op die FireEye neemt om klanten en de bredere cyberbeveiligingsgemeenschap te helpen zichzelf te beschermen, mochten cyberaanvallers de gestolen tools beginnen te gebruiken. Tot op heden heeft het bedrijf echter nog geen aanwijzingen gevonden dat de tools zijn ingezet. FireEye heeft niet bekendgemaakt wanneer de aanval precies heeft plaatsgevonden.

FireEye's acties omvatten:

• Ontwikkeling van meer dan 300 tegenmaatregelen die kunnen worden gebruikt ter verdediging tegen de Red Team-instrumenten,
• die tegenmaatregelen in haar eigen producten op te nemen, en
• Ze beschikbaar maken voor de hele cyberbeveiligingsgemeenschap via GitHub.

Aanvullende tegenmaatregelen om uw cyberbestendigheid te vergroten

Daarnaast merkte Carl Wearn, Head of Risk & Resilience, E-Crime & Cyber Investigation bij Mimecast, op dat het belangrijk is om goed te letten op de al jaren aanbevolen principes voor cyberhygiëne - die door te veel organisaties worden genegeerd. Deze omvatten:

• Strikt beperkte toegangscontrole
• Robuuste bescherming tegen phishing en bewustmakingsprogramma's tegen phishing
• Gebruik van multifactorauthenticatie (MFA)
• Een sterk wachtwoordregime
• regelmatig en tijdig patchen van kritieke kwetsbaarheden (aangezien die het vaakst het doelwit van dergelijke instrumenten zijn)

Organisaties moeten bijzondere aandacht besteden aan tools voor toegang op afstand, zoals RDP-processen (Remote Desktop Protocol) en netwerkverkeer, om te voorkomen dat misbruik wordt geïntroduceerd of geà "xfiltreerd", aldus Wearn. "Dit zijn maatregelen die organisaties sowieso zouden moeten nemen, gezien de voortdurende aandacht van dreigingsactoren voor RDP-processen en exploits."

Hoe Mimecast zichzelf en zijn klanten beschermt

Mimecast heeft intern passende maatregelen genomen op basis van de tot dusver verstrekte informatie en zal de situatie blijven volgen

Peter Bauer, CEO van Mimecast, merkte op dat de aanval op FireEye "bewijst dat geen enkele organisatie ongevoelig is voor cyberaanvallen. Wij juichen het toe dat FireEye proactief informatie deelt om klanten te helpen beschermen. Hoewel niet elke organisatie een waarschijnlijk doelwit is voor actoren uit een natiestaat, is elke organisatie wel een waarschijnlijk doelwit voor een of andere kwaadwillende."

"Organisaties moeten samenwerken met hun stakeholders en cyberbeveiligingsleveranciers om inzicht te krijgen in de bedreigingen waarmee ze worden geconfronteerd en de acties te identificeren om de risico's voor henzelf, hun klanten en derden waarmee ze zakendoen, tot een minimum te beperken. Meer dan ooit moeten organisaties rekening houden met het netwerk van de bredere beveiligingsgemeenschap en defense-in-depth beoefenen", aldus Bauer.

De kern van de zaak

De Red Team-tools van FireEye zijn gestolen en zullen, naarmate de tijd vordert, vermoedelijk in handen komen van dreigingsactoren over de hele wereld. Er zijn specifieke tegenmaatregelen van FireEye die bedrijven kunnen inzetten om hun cyberweerbaarheid te vergroten door cyberaanvallen met deze tools te helpen detecteren en voorkomen. Maar aan het eind van de dag is de belangrijkste tegenmaatregel - zoals altijd - ouderwets cyberbewustzijn van hoge kwaliteit. Veel organisaties zouden op dat front wel wat ijveriger mogen zijn.

[1] " FireEye, een top cyberbeveiligingsbedrijf, zegt dat het gehackt is door een natiestaat ," The New York Times