Nu steeds meer organisaties overgaan op werken op afstand, gedistribueerde teams en omgevingen met cloudconnectiviteit, zijn oplossingen voor externe toegang onmisbare hulpmiddelen geworden om flexibel werken mogelijk te maken.
Hoewel de opkomst van externe toegang een uitstekende technologische vooruitgang is, heeft het ook meer toegangspunten en meer mogelijkheden voor aanvallers gecreëerd.
Vandaag de dag behoren aanvallen via externe toegang en uitbuiting van het Remote Desktop Protocol (RDP) nog steeds tot de meest gebruikte methoden voor initiële toegang door ransomware-groepen en cybercriminelen.
Eén positieve trend? We hebben nu meer gedetailleerde rapportages dan ooit. Beveiligingsleveranciers, IR-teams en nieuwsmedia publiceren regelmatig incidentanalyses die precies laten zien hoe aanvallers toegang krijgen, welke tools voor externe toegang ze gebruiken en hoe ze privileges escaleren.
Voor organisaties die hier aandacht aan willen besteden, biedt deze mate van transparantie twee grote voordelen:
- U ziet precies hoe kwetsbaarheden voor externe toegang worden uitgebuit.
- U ziet wat er moet veranderen in uw omgeving om het risico te verminderen.
In deze gids geven we een overzicht van de meest voorkomende kwetsbaarheden voor externe toegang, hoe aanvallers daar misbruik van maken en de specifieke stappen die u kunt nemen om uw omgeving te beveiligen en ransomware-aanvallen op basis van RDP te voorkomen.
Veelvoorkomende kwetsbaarheden voor externe toegang
Kwetsbaarheden in externe toegang vormen de ruggengraat van veel succesvolle cyberaanvallen. Ze bieden aanvallers een open deur om uw netwerk te infiltreren, gegevens te stelen of kwaadaardige software te implementeren.
Naarmate het werk op afstand wereldwijd toeneemt, groeit ook het risico op externe toegang. Volgens het World Economic Forum zal het aantal digitale banen wereldwijd tot 2030 met 25% toenemen, waardoor er miljoenen nieuwe endpoints op afstand bijkomen die potentiële toegangspunten voor aanvallers kunnen worden.
Dit onderstreept het belang van inzicht in deze kwetsbaarheden om uw beveiligingspositie te versterken en mogelijke inbreuken te voorkomen.
Hieronder bespreken we de meest voorkomende kwetsbaarheden voor externe toegang waarmee organisaties tegenwoordig te maken hebben:
Gebrek aan informatie en zichtbaarheid
Veel organisaties hebben geen volledig overzicht van en inzicht in externe toegangssystemen, zoals VPN-configuraties, RDP-instellingen en toegangscontroles door derden.
Zonder een duidelijke inventarisatie van externe toegangstools en eindpunten kunnen er gemakkelijk verkeerde configuraties ontstaan. Deze hiaten in de kennis kunnen leiden tot:
- Slecht geconfigureerde VPN’s en firewalls
- Onopzettelijke blootstelling van gevoelige gegevens
- Onbevoegde gebruikers krijgen toegang via slecht beveiligde apparaten
Bovendien kunnen externe werknemers onbewust verbinding maken met onbeveiligd openbaar Wi-Fi, waardoor het risico op man-in-the-middle-aanvallen toeneemt.
Delen van wachtwoorden en zwakke inloggegevens
Het delen van wachtwoorden is een veelvoorkomende maar gevaarlijke praktijk. Wanneer medewerkers wachtwoorden delen, vooral voor externe toegangssystemen, wordt het moeilijk om de verantwoordelijkheid te achterhalen.
Hergebruikte of zwakke wachtwoorden maken systemen kwetsbaar voor brute-force aanvallen of credential stuffing. Wanneer een werknemer vertrekt, kan het niet wijzigen van gedeelde wachtwoorden systemen kwetsbaar maken voor misbruik, ook lang nadat de werknemer weg is.
Onbeveiligde of verouderde software
Ransomware en andere soorten malware maken gebruik van ongepatchte software. Veel organisaties blijven verouderde RDP-software, VPN-clients of andere systemen voor externe toegang gebruiken, die bekende doelwitten zijn voor cybercriminelen. Kwetsbaarheden in deze systemen:
- Levering van malware via ongepatchte exploits toestaan
- Uitvoeren van code op afstand door aanvallers mogelijk maken
- Achterdeurtoegang bieden tot gevoelige gegevens en systemen
Veel softwareleveranciers brengen regelmatig patches uit om deze kwetsbaarheden te verhelpen, maar als updates niet worden toegepast, blijven de systemen kwetsbaar. Software van derden, plugins of extensies die verouderd of onveilig zijn, kunnen ook onbedoelde toegangspunten bieden.
Gebruik van persoonlijke apparaten voor werk op afstand
Persoonlijke apparaten, die niet worden beheerd door de IT-afdeling van de organisatie, vormen een aanzienlijk risico wanneer ze voor het werk worden gebruikt. Medewerkers kunnen verbinding maken vanaf:
- Onbeveiligde persoonlijke apparaten, die niet beveiligd zijn op ondernemingsniveau
- Apparaten die niet voldoen aan het beveiligingsbeleid van het bedrijf, zoals encryptie van endpoints
- Schaduw-IT, waarbij ongeautoriseerde apps of diensten worden gebruikt voor het werk
Deze apparaten kunnen ook regelmatige beveiligingsupdates missen, waardoor organisaties kwetsbaar worden voor malware- en ransomware-aanvallen. Persoonlijke apparaten hebben meestal niet hetzelfde niveau van controle, monitoring of verificatie als apparaten die door het bedrijf worden beheerd, waardoor ze kwetsbaar zijn voor ongeautoriseerde toegang.
Onvoldoende patchbeheer
Veel organisaties worden geconfronteerd met uitdagingen bij het patchen en updaten van systemen, vooral wanneer ze te maken hebben met verouderde infrastructuur of beperkte IT-resources. Ongepatchte systemen zijn een makkelijk doelwit voor cybercriminelen, die netwerken actief scannen op kwetsbaarheden. Wanneer patches worden uitgesteld of gemist:
- Aanvallers kunnen misbruik maken van bekende kwetsbaarheden in software voor externe toegang
- Geautomatiseerde aanvalstools kunnen naar ongepatchte apparaten scannen en ze compromitteren
- Kwaadaardige code kan zich over het netwerk verspreiden door deze kwetsbaarheden als toegangspunten te gebruiken
In het geval van RDP gebruiken aanvallers vaak brute-force aanvallen op zwakke of ongepatchte services om toegang te krijgen.
Kwetsbare back-ups
Back-ups zijn cruciaal voor herstel in het geval van een cyberaanval, maar onbeveiligde back-ups kunnen ook een doelwit zijn. Aanvallers gaan vaak op zoek naar onbeschermde cloudback-ups of onversleutelde gegevens en gebruiken deze als secundaire aanvalspunten. Zonder sterke toegangscontrole en versleuteling kunnen deze back-ups een gemakkelijk toegangspunt worden voor gegevensdiefstal of ransomware.
Slechte hygiëne van apparaten
Het verwaarlozen van regelmatige apparaatupdates en beveiligingscontroles kan het risico op malware- en ransomware-infecties verhogen. Apparaten stapelen na verloop van tijd kwetsbaarheden op, die:
- Het aanvalsoppervlak voor cybercriminelen vergroten
- Onbevoegde toegang toestaan als machtigingen of beveiligingscertificaten verouderd zijn
- Aanvallers in staat stellen apparaten te infecteren, die later kunnen worden gebruikt als lanceerplatform voor grotere netwerkinfiltraties
Regelmatige hygiëne van apparaten en het bijwerken van beveiligingssoftware zijn essentieel om het risico op inbreuken op de beveiliging te verkleinen.
Phishing-aanvallen
Phishing blijft een van de meest voorkomende methoden om ongeautoriseerde toegang te krijgen. Cybercriminelen sturen:
- Misleidende e-mails die er legitiem uitzien: Aanvallers sturen vaak e-mails die lijken op vertrouwde bedrijven, leveranciers of interne afdelingen. Deze berichten kunnen valse facturen, koppelingen voor het opnieuw instellen van wachtwoorden of dringende verzoeken bevatten die zijn ontworpen om gebruikers op kwaadaardige koppelingen te laten klikken of gevoelige informatie te laten delen.
- Smishing (sms phishing) of vishing (voice phishing): Cybercriminelen gebruiken ook sms-berichten en telefoongesprekken om geloofwaardig over te komen. Smishing-berichten kunnen koppelingen naar frauduleuze websites bevatten of dringende vragen om uw account te “verifiëren”. Bij vishing doen bellers zich voor als banken, IT-ondersteuning of overheidsinstanties om slachtoffers onder druk te zetten zodat ze inloggegevens, financiële informatie of beveiligingscodes vrijgeven.
- Valse inlogportals: Aanvallers zetten look-alike inlogpagina’s op voor diensten als e-mail of cloudaccounts. Deze pagina’s bootsen de echte merknamen en URL’s na en verleiden gebruikers om hun gebruikersnaam en wachtwoord in te voeren, die vervolgens worden gestolen.
Aanvallers gebruiken nu geavanceerde tactieken, waaronder machinaal leren, om gepersonaliseerde phishingberichten en domain spoofing op te stellen om hun aanvallen geloofwaardiger te maken. Als de inloggegevens eenmaal zijn gestolen, kunnen ze gemakkelijk worden gebruikt om toegang te krijgen tot externe toegangssystemen zoals RDP, VPN’s of cloudservices.
Hoe aanvallers kwetsbaarheden in externe toegang misbruiken om toegang te krijgen
Het is al lang bekend dat een aanzienlijk percentage van de ransomware-aanvallen, ongeacht de variant, begint met phishing of inbraak via het externe bureaublad.
Phishing, dat we in het vorige hoofdstuk hebben genoemd, is een voor de hand liggend ingangspunt: als het succesvol is, krijgen aanvallers een endpointsessie en geldige gebruikersgegevens. Maar aanvallen via extern bureaublad (inclusief die met commerciële externe toegangstools) bieden hetzelfde resultaat.
Of aanvallers nu brute-force pogingen gebruiken (waarbij duizenden wachtwoorden worden getest) of gestolen inloggegevens kopen of verzamelen bij eerdere inbraken, RDP-aanvallen blijven even effectief en staan daarom zij aan zij met phishing als de belangrijkste aanvalsvector.
Echte voorbeelden van RDP-exploitatie
Een goed gedocumenteerd voorbeeld is MedusaLocker, een ransomware-variant die voor het eerst werd geïdentificeerd in 2019 en die onlangs weer genoeg is opgedoken om een Joint Cybersecurity Advisory van overheidsinstanties uit te lokken. MedusaLocker-operators richten zich voornamelijk op blootgestelde RDP-verbindingen—soms expres gepubliceerd voor het gemak, andere keren per ongeluk open gelaten. Nadat ze toegang hebben gekregen, zetten ze ransomware in, versleutelen ze kritieke gegevens en eisen ze betaling.
Een ander geval met grote impact, gedocumenteerd door onderzoekers van Sophos, onthulde hoe een groep met LockBit ransomware een Amerikaans overheidsnetwerk infiltreerde via RDP. Schokkend genoeg verkenden de aanvallers het netwerk gedurende vijf maanden zonder ontdekt te worden voordat ze de ransomware gingen gebruiken.
Hoe aanvallers escaleren en lateraal bewegen met behulp van externe toegang
Nu u begrijpt hoe aanvallers kwetsbaarheden in externe toegang misbruiken om toegang te krijgen, bespreken we hoe zij escaleren en lateraal bewegen met behulp van externe toegang:
Zodra aanvallers lokale toegang verkrijgen, is de volgende logische fase, volgens het MITRE ATT&CK Framework, zijwaartse beweging. Mechanismen voor externe toegang (vooral intern RDP) worden in deze fase vaak misbruikt.
Recente gegevens van bedrijf voor ransomware-incidentrespons Coveware laten zien dat zijwaartse beweging voorkomt in ongeveer 70% van de ransomware-aanvallen. Hun analisten merken op dat deze fase “voornamelijk bestaat uit het misbruiken van interne Remote Desktop (RDP) nadat initiële toegang is verkregen.”
Door lateraal te bewegen, kunnen aanvallers rechten escaleren, toegang krijgen tot extra eindpunten, gevoelige gegevens lokaliseren en ransomware positioneren voor maximale impact.
Effectieve strategieën om misbruik van externe toegang bij ransomware-aanvallen te voorkomen
Omdat bedreigingsactoren externe toegang voortdurend misbruiken voor kwaadaardige doeleinden, moeten IT- en beveiligingsleiders beslissende stappen nemen om de risico’s te beperken. Hieronder staan de meest doeltreffendste maatregelen die organisaties kunnen ondernemen om misbruik te voorkomen:
Extern toegankelijke externe toegang uitschakelen
Aanvallers voeren vaak brute-forceaanvallen uit op inloggegevens van desktops en servers die zijn blootgesteld aan het openbare internet. Zelfs de recente Windows 11-update van Microsoft, die automatisch RDP brute-force pogingen blokkeert, kan de dreiging niet volledig beperken, vooral wanneer aanvallers een set gestolen inloggegevens in handen hebben.
Met 59% van de organisaties die te maken hebben met phishing-campagnes gericht op het stelen van inloggegevens, in combinatie met de aanwezigheid van Dark Web-services gewijd aan het verkopen van referenties, moet het duidelijk zijn dat veel aanvallers niet langer gebruikmaken van brute-forceaanvallen om toegang te krijgen.
Schakel indien mogelijk extern toegankelijke RDP en andere externe toegangsroutes op desktopniveau.
Overweeg om helemaal te stoppen met RDP
Voor zowel externe als interne toegang tot externe desktops heeft Microsoft stappen ondernomen om ervoor te zorgen dat de RDP-services zo veilig mogelijk zijn. Maar er blijft een tweeledig probleem:
- Ten eerste beveiligt niet elke organisatie de RDP-omgeving op alle eindpunten.
- Ten tweede, zelfs als het veilig is, zijn ransomware-bendes nu op zoek naar zero-day exploits (en zijn ze bereid om er zeven-cijferige bedragen voor te betalen), en de prevalentie van RDP in bijna elke Microsoft omgeving maakt het een primair doelwit voor hackers die op zoek zijn naar manieren om voordeel te halen uit “standaard” applicaties die overal beschikbaar zijn.
Door over te stappen op veilige, moderne oplossingen voor externe toegang met granulaire toegangsbeheer kunt u uw risico aanzienlijk verkleinen.
Beveiligde verificatie inschakelen
multifactorauthenticatie (MFA) blijft een van de meest effectieve verdedigingen tegen misbruik van externe toegang. Het vereisen van een tweede factor, zoals smartcards, certificaten, authenticatie-apps of hardwaresleutels, maakt gestolen wachtwoorden in feite nutteloos en voorkomt ongeautoriseerde toegang, zelfs als de inloggegevens gecompromitteerd zijn.
Software regelmatig bijwerken en patchen
Het regelmatig updaten en patchen van alle tools en software voor externe toegang is cruciaal om aanvallers op afstand te houden. Ongepatchte systemen zijn een doelwit bij uitstek voor cybercriminelen, dus up-to-date blijven met updates is essentieel voor de bescherming van uw netwerk.
Medewerkers opleiden en trainen
Investeer in cyberbeveiligingstraining om het bewustzijn van de risico’s van externe toegang te vergroten. Door uw personeel te trainen in de gevaren van phishing en wachtwoordbeheer kunt u de kans op diefstal van referenties en ongeautoriseerde toegang verkleinen.
Mogelijk vindt u dit ook interessant: VNC vs SSH: Het juiste protocol voor externe toegang kiezen voor veilig systeembeheer.
Versterk de beveiliging van externe toegang met RealVNC voordat het te laat is
Cyberbeveiligingsstrategieën moeten voortdurend worden aangepast aan het huidige bedreigingslandschap. Kaders zoals MITRE ATT&CK bestaan om deze reden: ze helpen organisaties om op één lijn te blijven met hoe aanvallers in echte omgevingen te werk gaan.
Externe toegang zal een topdoelwit blijven voor ransomware-groepen totdat organisaties prioriteit geven aan configuratie op basis van veiligheid in plaats van gemak op basis van productiviteit.
Door de huidige aanvalspatronen te bestuderen en de bovenstaande aanbevelingen te implementeren, kunnen organisaties de beveiliging van hun externe toegangsomgeving aanzienlijk versterken en hun interne en externe aanvalsoppervlak verkleinen.
Kortom: het beveiligen van externe toegang is niet optioneel, het is fundamenteel om beveiligingsrisico’s te vermijden.
Nu is het tijd om uw oplossingen voor externe toegang te beoordelen en ervoor te zorgen dat ze robuust genoeg zijn om u te helpen zich te verdedigen tegen de bedreigingen van vandaag.
Meer informatie over hoe RealVNC’s oplossingen voor beveiligde externe toegang uw netwerk kunnen beschermen tegen ransomware-aanvallen en pogingen tot onbevoegde toegang kunnen blokkeren .
FAQs
Hieronder vindt u antwoorden op enkele van de meest gestelde vragen over aanvallen met externe toegang.
Wat is een aanval via externe toegang?
Een aanval op externe toegang vindt plaats wanneer cybercriminelen ongeautoriseerd toegang krijgen tot een systeem of netwerk via externe toegangsmethoden zoals RDP, VPN’s, SSH of cloud-gebaseerde externe tools. Bij deze aanvallen gaat het vaak om diefstal van inloggegevens, phishing of het uitbuiten van ongepatchte kwetsbaarheden. In veel gevallen automatiseren aanvallers deze pogingen om grote aantallen blootgestelde systemen aan te vallen.
Welke kwetsbaarheden zijn gekoppeld aan externe toegang?
Veel voorkomende kwetsbaarheden zijn onder andere verkeerd geconfigureerd RDP, zwakke of hergebruikte wachtwoorden, blootgestelde eindpunten, verouderde of ongepatchte software, onbeveiligde persoonlijke apparaten en onvoldoende authenticatiecontroles. Deze zwakke plekken geven aanvallers gemakkelijke toegangspunten om netwerken te compromitteren.
Wat zijn de drie belangrijkste soorten externe toegang?
De primaire vormen van externe toegang zijn onder andere:
- Remote Desktop Protocol (RDP): RDP wordt veel gebruikt, maar is vaak het doelwit vanwege open poorten en zwakke inloggegevens.
- Virtuele Private Netwerken (VPN’s): VPN’s versleutelen verkeer, maar kunnen een single point of failure zijn als ze gecompromitteerd worden.
- Cloudgebaseerde oplossingen voor externe toegang: Deze tools zijn sterk afhankelijk van accountbeveiliging en de juiste MFA-configuratie.
