Tactieken, Technieken en Procedures (TTP’s) die je vandaag nog zou moeten herkennen
In onze vorige blog bespraken we hoe identity security meer is dan MFA en een goed IAM-platform. Maar laten we het nog concreter maken.
Want de realiteit is: het is kinderlijk eenvoudig om in te breken via identiteiten (accounts).
Veel cyberaanvallen zijn geen hightech operaties. Ze beginnen met iets heel basaals. Een foutje. Een verkeerde instelling. Of gewoon een gebruikersaccount dat nét even iets te veel toegang heeft.
En dan gaat het mis. Niet omdat je geen tooling hebt. Maar omdat je op het verkeerde moment, op de verkeerde plek kwetsbaar was.
In deze blog nemen we je mee in een aantal TTP’s (Tactics, Techniques & Procedures) die aanvallers gebruiken – elke dag, wereldwijd. En misschien ook bij jou, zonder dat je het doorhebt.
Tactiek: Initial Access
Techniek: Gebruik van gecompromitteerde inloggegevens
(MITRE ATT&CK: T1078 – Valid Accounts)
Het klinkt spannend: een hacker breekt in. Maar meestal is er niet eens sprake van “inbreken”. Meestal lopen ze gewoon naar binnen met een gevonden sleutel.
Zo werkt het:
Een medewerker gebruikt z’n werkmail en wachtwoord op een extern platform. Denk aan een event-registratie, cloudtool of zelfs een sportclub-website. Dat platform wordt gehackt, de inlog komt op het dark web, en een aanvaller probeert dezelfde combinatie op je VPN, Office 365 of Citrix.
Als je daar geen MFA op hebt – of alleen op een deel van de omgeving – dan zit je er al naast.
Het kost een aanvaller vaak niet meer dan 3 minuten om dit te proberen. En het werkt vaker dan je denkt.
Tactiek: Privilege Escalation
Techniek: Misbruik van beheerdersaccounts
(MITRE ATT&CK: T1068 – Exploitation for Privilege Escalation)
Zodra de aanvaller binnen is, kijkt hij rond. Welke accounts zijn er? Waar zit meer macht? En jawel – daar is ‘ie: het vergeten beheeraccount, zonder MFA, zonder monitoring, met toegang tot alles.
Realistisch voorbeeld:
Een gebruiker krijgt per ongeluk ergens admin-rechten omdat zijn account ooit werd gebruikt voor een project. Die rechten zijn nooit ingetrokken. De gebruiker weet het zelf niet eens.
Een aanvaller ontdekt dit via een simpele scan en promoot zichzelf binnen een minuut tot Domain Admin.
Geen zero-day. Geen ransomware nodig. Gewoon misbruik maken van iets dat al jaren vergeten is.
Tactiek: Discovery
Techniek: Enumeratie van Active Directory
(MITRE ATT&CK: T1087 – Account Discovery)
Zodra de aanvaller wat rechten heeft, gaat hij op verkenning. En Active Directory is daarbij een open boek. Met simpele tools zoals PowerView of AD Explorer zie je wie welke rechten heeft, welke servers er zijn, welke shares openstaan, en waar je naartoe kunt bewegen.
Kinderlijk eenvoudig:
Je hebt geen domeinadmin nodig om deze informatie op te halen. Vaak volstaat een standaard gebruikersaccount.
De aanvaller zit rustig te inventariseren, zonder dat iemand iets doorheeft.
Maar hoe dan!?
Omdat het te vaak een kwestie is van het verkeerde moment op de verkeerde plek:
- Een gebruiker logt toevallig in vanaf huis zonder MFA – op exact dat moment proberen aanvallers een wachtwoord via brute force.
- Er is stiekem een stukje software geinstalleerd op een werkplek (stealer logs) en die stuurt alle inlog informatie door.
- Een beheerder heeft z’n VPN-account openstaan – net op het moment dat zijn device besmet is met malware.
- Een oud projectaccount blijft actief – en wordt toevallig gevonden in een credential dump van 4 jaar geleden.
Aanvallen zijn zelden gericht op jouw organisatie. Maar als je de deur op een kier hebt staan, wordt er vroeg of laat op geduwd.
Wat kun je hiertegen doen?
Dit soort aanvallen zijn te stoppen. Niet met magie, maar met focus.
✔ Weet waar je identiteiten zitten.
✔ Zorg dat toegang beperkt is tot wat echt nodig is (least privilege).
✔ Zet MFA aan op alles wat ertoe doet – inclusief Active Directory en beheerdersaccounts.
✔ Monitor gedrag en afwijkingen. Niet alleen aan de rand van je netwerk, maar ook intern.
Conclusie: identity security is geen luxe – het is urgent
Wat we hierboven beschreven hebben, gebeurt elke dag. Bij grote bedrijven, mkb’ers, overheidsinstellingen – en ja, waarschijnlijk ook (bijna) bij jullie.
En het kost aanvallers geen dure tools. Geen team van experts. Alleen een beetje geduld en wat openstaande deuren.
Daarom is het nu tijd om serieus naar je identity security te kijken.
