Wat is een dreigingsactor (Threat Actor)?
Een dreigingsactor is een term die wordt gebruikt om een entiteit te beschrijven die de digitale infrastructuur of het netwerk van een organisatie kan aanvallen. Hieronder vallen professionele cybercriminelen en cyberbendes, nationale actoren/staatsgesponsorde groepen, hacktivisten of kwaadwillende insiders.
Over het algemeen zoeken dreigingsactoren naar kwetsbaarheden in de IT-omgeving van een doelwit om toegang te krijgen tot waardevolle systemen en gegevens om financiële of politieke redenen.
Het precieze doel hangt af van de modus operandi van de aanvaller.
Soorten dreiginsactoren
Zoals hierboven vermeld, zijn er verschillende categorieën dreiginsactoren. We zullen een aantal veelvoorkomende groepen in detail bespreken.
Cybercriminelen
Deze categorie verwijst naar bedreigers die cybercriminaliteit plegen om geld te verdienen. Cybercriminelen richten zich vaak op computers en andere IT-systemen met technieken zoals phishing of het benutten van kwetsbare plekken in software om de apparaten te infecteren met virussen, malware, (ryuk) ransomware en spyware.
Zodra ze een apparaat of netwerk hebben aangetast, proberen ze meestal waardevolle gegevens en intellectueel eigendom op te sporen met het doel deze online te verkopen via hackingforums en het dark web.
Terwijl de meeste cybercriminelen op zoek gaan naar eenvoudige exploits van systemen, kunnen meer ervaren cyberbendes meer geavanceerde technieken gebruiken om hun doelen te bereiken.
Nationale actoren / door de staat gesponsorde groepen
Deze dreigingsactoren zijn groepen die met toestemming en financiering van een staat werken om spionageactiviteiten uit te voeren of de kritieke infrastructuur van een buitenlandse staat als doelwit te nemen.
Sommige landen werken om politieke redenen samen met nationale actoren om andere landen te ontwrichten, terwijl andere landen, zoals Noord-Korea, samenwerken met cybercriminelen om geld te verdienen. De aanzienlijke financiering die aan statelijke actoren wordt verstrekt, maakt hen tot een van de moeilijkste entiteiten voor organisaties om zich tegen te verdedigen.
Hacktivisten
Hacktivisten zijn politiek gemotiveerde dreigingsactoren die de IT-activiteiten van een doelwit willen verstoren of gegevens willen lekken om een politiek of sociaal doel te bereiken. Een van de bekendste voorbeelden is Anonymous, een hackersgroep die naar verluidt zijn oorsprong vindt op 4Chan.
Een ander voorbeeld is het IT-leger van Oekraïne, een vrijwilligersgroep van individuen die ermee hebben ingestemd om verstorende cyberoperaties uit te voeren tegen de Russische staat. Hacktivistische groepen maken vaak gebruik van Denial of Service (DoS) en Direct Denial of Service (DDoS) aanvallen om hun doelwitten downtime te bezorgen of om gegevens te lekken naar het publiek.
Kwaadwillende insiders
Kwaadwillende insiders zijn alle dreigingsactoren die zich binnen een organisatie bevinden. Dit omvat werknemers, aannemers of iedereen met toegang tot IT-infrastructuur of beschermde informatie.
Medewerkers kunnen kwaadwillend worden als ze ontevreden zijn en wraak willen nemen op hun werkgever of winst willen maken.
In sommige gevallen bieden ransomwarebendes en andere entiteiten aan om insiders te betalen om toegang tot een netwerk te krijgen. Kwaadwillende insiders zijn moeilijk te onderscheppen, omdat veel beveiligingsteams over het hoofd zien dat aanvallen van binnenuit kunnen plaatsvinden.
Hoe vaak komen acties van dreigingsactoren voor? Waarom zijn ze een probleem?
Dreigingsactoren vormen een voortdurende bedreiging voor moderne organisaties. Het Federal Bureau of Investigation (FBI) 2022 Internet Crime Report schat dat in 2022 meer dan $10,3 miljard verloren ging aan cybercriminaliteit, tegenover $3,4 miljard in 2021.
Wat datalekken betreft, ontdekte het Identity Theft Resource Center in 2022 in totaal 1.802 compromitteringen, met gevolgen voor meer dan 422.143.312 slachtoffers.
Bij deze inbreuken vond gegevensverzameling plaats, waarbij persoonsgegevens werden gelekt zoals naam, burgerservicenummer, geboortedatum, het thuisadres, het rijbewijs, de medische geschiedenis, het bankrekeningnummer en de ziektekostenverzekering van klanten.
Deze inbreuken zijn problematisch omdat ze de gegevens van klanten blootstellen aan cybercriminaliteit en kostbaar zijn voor de verantwoordelijke organisatie.
Volgens IBM bedragen de gemiddelde kosten van een datalek $4,45 miljoen, voornamelijk door operationele verstoring en downtime.
5 tools voor bedreigers waarvan u op de hoogte moet zijn
Wanneer ze een organisatie als doelwit kiezen, hebben dreigingsactoren een aantal belangrijke tools die ze gebruiken om hun doelen te bereiken. Enkele voorbeelden beschrijven we in het volgende deel van dit artikel.
Virussen
Veel dreigingsactoren maken gebruik van phishing-technieken, schadelijke bijlagen en geïnfecteerde bestanden die worden ingezet om apparaten van gebruikers te infecteren met virussen. Deze virussen produceren zelfreplicerende code die zich kan verspreiden naar andere computers en netwerken.
Malware
Hackers gebruiken ook regelmatig malware of kwaadaardige software om apparaten of IT-systemen te compromitteren. Hieronder vallen virussen, wormen, ransomware, spyware en trojans.
Ook deze worden overgebracht via phishing, e-mailbijlagen en gecompromitteerde bestanden op sites voor het delen van bestanden.
Ransomware
Ransomware is een zeer populaire vorm van malware waarmee een hacker de bestanden van het slachtoffer kan versleutelen. Zodra de bestanden zijn versleuteld, geeft de hacker een losgeldbrief uit, waarin hij dreigt de gegevens te wissen of te lekken als de gebruiker niet betaalt.
Ransomware wordt op dezelfde manier verzonden als de meeste malware.
Phishing
Phishing is een vorm van cybercriminaliteit waarbij een hacker e-mail-, sms- of spraakberichten verstuurt om gebruikers te verleiden tot het delen van gevoelige informatie door hen naar een vals aanmeldingsformulier te leiden of een geïnfecteerde bijlage te downloaden.
Phishing wordt vaak gebruikt om apparaten van gebruikers te infecteren met malware.
Denial of Service en Distributed Denial of Service-aanvallen
DOS- en DDoS-aanvallen, waarbij een aanvaller een netwerk of server probeert te overspoelen met verkeer, zijn een goede keuze voor hackers die operationele verstoringen willen veroorzaken en gebruikers geen toegang willen geven tot kritieke services.
Software misbruiken
Hackers proberen vaak misbruik te maken van kwetsbaarheden in software en applicaties om toegang te krijgen tot de netwerkomgeving van een gebruiker. Ernstige kwetsbaarheden kunnen aanvallers de mogelijkheid geven om op afstand code uit te voeren.
Hoe te verdedigen tegen bedreigers
In de meeste gevallen komt het verdedigen tegen bedreigers neer op het volgen van best practices op het gebied van cyberbeveiliging. Hieronder staan enkele basisstappen die genomen kunnen worden ter verdediging:
- Schakel multi-factor authenticatie in. Activeer multi-factor authenticatie op gebruikersaccounts zodat hackers niet kunnen inloggen met gestolen referenties.
- Installeer antivirus- en antimalwaresoftware. Installeer antivirus- en antimalwaresoftware op endpoints zodat u malware-infecties kunt identificeren, verwijderen en voorkomen.
- Regelmatig software patchen. Breng regelmatig patches aan op apps, systemen en software om het aantal kwetsbaarheden in uw omgeving te verminderen en de kans te verkleinen dat een dreigeingsactor een exploit kan gebruiken om toegang te krijgen.
- Training in beveiligingsbewustzijn. Breng werknemers op de hoogte van best practices op het gebied van cyberbeveiliging door middel van trainingen en verklein hiermee de kans dat ze worden verrast door een aanvaller of dat ze belangrijke systemen en gegevens in gevaar brengen. Deze training kan gaan over het detecteren van phishing e-mails, het rapporteren van aanvallen en het kiezen van sterke wachtwoorden.
- Bedrijfsbeveiliging. De inzet van cybersecurity tools zoals netwerkbewakingsplatforms, Extended Detection and Response (XDR), Managed Detection and Response (MDR), Security Orchestration, Automation and Response (SOAR) en Security Incident and Event Management (SIEM) kan uw vermogen om dreigingsactoren te detecteren en erop te reageren helpen verbeteren.