Misbruik machine-identiteiten ondermijnt cyberbeveiliging

Cybercriminelen misbruiken steeds vaker machine-identiteiten om organisaties aan te vallen. Bij recente incidenten zoals die van SolarWinds en Kaseya, is de software supply chain als ingang benut, door een onvoldoende beheer van alle machine-identiteiten en code-signing. Op welke wijze misbruiken cybercriminelen machine-identiteiten en hoe is dat te voorkomen?

Tijdens een datalek in 2018 bij Equifax zijn de persoonlijke gegevens van miljoenen Amerikaanse consumenten gestolen. Dat leidde tot een grote reputatieschade bij deze kredietbeoordelaar en een boete van 575 miljoen dollar door Amerikaanse toezichthouders. Dit incident werd veroorzaakt door een verlopen certificaat, een veelgebruikt en eenvoudig onderdeel om over het hoofd te zien, maar een met mogelijk verwoestende gevolgen.

Door de COVID-19 pandemie is het gebruik en beheer van machine-identiteiten aanzienlijk complexer geworden. Veel applicaties zijn verhuisd naar de cloud, mensen werken vaker op afstand en organisaties worden steeds afhankelijker van Internet of Things (IoT)-apparaten. Deze ontwikkeling heeft organisaties en de benodigde cybersecurity voorgoed veranderd.

Terwijl snelle technische innovatie voor veel organisaties van cruciaal belang bleek om de pandemie te overleven, kreeg de beveiliging daarvan te weinig aandacht. Door alle gebruikte machine-identiteiten beter te gaan beheren is de ontstane achterstand nog in te halen en kunnen organisaties hun waardevolle assets en klantinformatie goed beschermen.

Belang van machine-identiteiten

Alle digitale communicatie verloopt via ‘machines’, vanaf de connectiviteit tot datastromen. PC’s, IoT- en mobiele apparaten, apps, kantoorapparatuur zoals printers en faxapparaten, industriële machines en hun besturingen, containers en microservices, ze spelen allemaal een grote rol in moderne bedrijfsomgevingen.

Elke machine heeft een unieke identiteit nodig om de machine-to-machine-verbindingen en communicatie binnen een netwerk te beheren en te beveiligen. Alle apparaten en software krijgen een unieke ‘digitale ID’ via SSL, TLS en code-signing beveiligingscertificaten, authenticatietokens en SSH-sleutels, die daarna fungeren als hun eigen machine-identiteit.

Machine-identiteiten zijn noodzakelijk om de miljarden transacties te faciliteren die dagelijks wereldwijd plaatsvinden, van routering tot het verwerken van financiële transacties en besturen van productielijnen. Het is dus geen wonder dat cyberaanvallers deze voortdurend proberen te compromitteren.

Aanvalsmogelijkheden

Eén verkeerd beheerde of onbeveiligde machine-identiteit kan al een ernstig securityincident veroorzaken. Als een identiteit eenmaal is gestolen of gemanipuleerd, kunnen aanvallers namelijk hun kwaadaardige activiteiten camoufleren, zoals gegevens stelen, surveillance uitvoeren, ransomware inzetten, enzovoort.

Het misbruiken van machine-identiteiten is een risicofactor die veel organisaties nog steeds onvoldoende begrijpen. Ondertussen nemen de cyberincidenten die gerelateerd zijn aan machine-identiteit echter jaarlijks toe. Er was een stijging van 700% in de gerapporteerde incidenten tussen 2015 en 2019, met een sprong van 400% tussen 2018 en 2019 alleen al.

Onderzoek uitgevoerd door Venafi en AIR Worldwide schat dat de wereldeconomie jaarlijks tussen 51 en 72 miljard dollar verlies lijdt als gevolg van onvoldoende bescherming van machine-identiteiten. De grootste ondernemingen met een jaaromzet van meer dan 2 miljard dollar lijden het meest, naar schatting tussen 14% en 25% van het totale verlies.

Exploitatiemethoden

Cybercriminelen zoeken continu naar zwakke plekken in de netwerken van bedrijven en de onderliggende identiteitsprotocollen voor machines. Hoewel hun aanvalstechnieken zich voortdurend ontwikkelen, zijn de populairste methoden die we hebben waargenomen:

• Compromitteren van SSL/TLS-beveiligingscertificaten: Gestolen of malafide certificaten kunnen worden gebruikt om websites of activiteiten legitiem te laten lijken. Verlopen certificaten kunnen ook worden misbruikt om communicatie af te luisteren of om tijdens transacties in te grijpen.
• Misbruik maken van ontoereikende bescherming voor code signing-certificaten: Hoewel cruciaal bij het verifiëren van de authenticiteit en integriteit van software kunnen code signing certificaten ook worden misbruikt voor malware signing.
  Een voorbeeld hiervan is de inbraak bij SolarWinds in 2019. Aanvallers waren in staat om het netwerk van de softwareleverancier te infiltreren en misbruik te maken van een gebrek aan code-signing en verificatiebeleid om een kwaadaardige Orion-update te implementeren die de Sunburst-backdoor bevatte. De malware werd bij ongeveer 18.000 klanten afgeleverd en een handvol werd uitgekozen voor verdere exploitatie.
• Misbruik van SSH-sleutels: SSH-sleutels worden gebruikt om toegang te krijgen tot versleutelde en beveiligde kanalen en om vertrouwen te wekken. Als deze sleutels worden achtergelaten, vergeten, niet gecontroleerd of verkregen via handel op het Dark Web, zijn bedrijfsactiva en -accounts kwetsbaar voor een gijzeling. Veel stammen van malware kunnen inmiddels misbruik maken van SSH-sleutels. Door zwakke inloggegevens op openbare servers af te dwingen en sleutels toe te voegen aan geautoriseerde sleutellogboeken, kunnen inloggegevens worden gestolen, lateraal worden verplaatst en op geïnfecteerde systemen blijven bestaan. Trickbot, CryptoSink en Skipmap zijn varianten die over deze mogelijkheden beschikken.
  In de vijf jaar voorafgaand aan 2019 is de ontwikkeling van commodity-malware met functies voor misbruik van machine-identiteit met 300% toegenomen.

Hoe zijn machine-identiteiten beter te beschermen?

Het beheer van machine-identiteiten kan een tijdrovende en moeilijke verantwoordelijkheid zijn. Veel organisaties weten namelijk niet hoeveel certificaten en sleutels ze gebruiken. In combinatie met meer toegangen door de snelle verschuiving naar hybride werken en het groeiend aantal apparaten dat aanwezig is op bedrijfsnetwerken, moeten organisaties meer nadruk leggen op de bescherming van machine-identiteiten om hun netwerken te beveiligen.

Bedrijven moeten zowel oplossingen voor machine-identiteitsbeheer implementeren om alle apparaten te beschermen, als IT-teams beter inzicht te geven in de systemen en software die ze proberen te beschermen, zonder dat dit een extra last op hun schouders legt. De beste oplossing hiervoor is automatisering van de beheer- en monitoringprocessen, omdat dit tevens het risico verkleint dat een datalek ontstaat door menselijke fouten.

Een automatiseringsoplossing implementeren voor het beveiligen van machine-identiteiten is echter niet voldoende. Het is ook nodig om elke fase van de ontwikkelcyclus voor software en de daaraan gerelateerde supply chain beter te beveiligen. Pas dan is het misbruikrisico van machine-identiteiten, -certificaten en -sleutels te verkleinen. Anders verwoord, een ‘security-first’ cultuur creëren, vanaf de directie tot en met de IT-professionals en gebruikers.

Kevin Bocek, Vice President, Security Strategy & Threat Intelligence at Venafi

Lees ook:

• Kwetsbaarheid OT-omgeving neemt toe, advies blijft achter
• Nalatigheid beveiligen softwareontwikkeling moet gevolgen krijgen
• 9 cybersecurity trends voor 2022