Kies uit één van de onderstaande verschillende attack vector mogelijkheden. Of combineer deze in een gepersonaliseerd abonnement.

Full Kill-Chain APT Module

Ben je klaar voor Advanced Persistent Threat (APT)? Simuleren. Evalueren. Remediëren.

Cymulate maakt het eenvoudig om je beveiligingsraamwerk concreet te maken, zodat je continu de effectiviteit van je IT-controls kunt testen, meten en verbeteren om je te verdedigen tegen echte cyberaanvallen.

Security controls testen over de volledige aanvalsketen

Een Advanced Persistent Threat (APT) probeert de beveiligingscontrols in de hele cyber-kill-keten te omzeilen, van het afleveren van aanvallen tot exploitatie en post-exploitatie. Daarom vereist het verdedigen tegen een APT het testen van de effectiviteit van meerdere beveiligingscontrols binnen je arsenaal. Aangezien de doeltreffendheid van één controle de blootstelling van de volgende controle in de kill-keten beïnvloedt, is het lastig om vast te stellen of je verdediging tegen een volledige aanval werkt.

Orkestreren van je beveiliging met APT-Simulaties

De Full Kill-Chain APT-simulatiemodule van Cymulate lost de uitdaging van het testen van de beveiligingseffectiviteit in de hele cyber-kill-keten op, door je beveiligingsraamwerk op een uitgebreide en gebruiksvriendelijke manier te orkestreren. In plaats van elke aanvalsvector afzonderlijk uit te dagen, kunnen organisaties nu met één klik op de knop een simulatie van een volledige APT-aanval uitvoeren en zo een handig overzicht van beveiligingslekken in hun arsenaal krijgen.

Kies uit sjablonen van spraakmakende APT's

Organisaties kunnen kiezen uit acht APT-aanvalssjablonen die de modus operandi nabootsen van echte APT-aanvallen, gelanceerd door bekende APT-groepen als Fancy Bear, OilRig, Lazarus Group, Ocean Lotus en Dragonfly 2.0.

Gesimuleerde APT-aanvalsstroom

Net als bij een echte APT worden de verschillende vectoren opeenvolgend gelanceerd, te beginnen met een gesimuleerde aanval op de e-mail of web gateway. Deze wordt gevolgd door een aanval op endpoint security. Afhankelijk van het gekozen APT-sjabloon kan de module vervolgens het netwerkbeleid van de organisatie uitdagen, testen op de mogelijkheid om lateraal te bewegen, en proberen vooraf gedefinieerde gegevenssets te exfiltreren. Voorbeelden zijn nep-PII, nep-medische dossiers, betalingsgegevens enz. Kortom: het testen van de effectiviteit van je DLP-controles.

Bruikbare inzichten en rapportage

Een aanvalssimulatie is slechts zo effectief als de corrigerende maatregelen die zijn genomen om geïdentificeerde hiaten te verhelpen.
Aan het einde van elke APT-simulatie worden de volgende bruikbare inzichten automatisch gegenereerd en geleverd:

  • Het resultaat van elke poging van de APT-aanval wordt getoond, b.v. succes, mislukking of gedeeltelijk succes.
  • De blootstellingsscore houdt rekening met de potentiële impact op assets, het slagingspercentage van infecties en de waarschijnlijkheid van de actie.
  • Remediërings- en mitigatierichtlijnen sluiten aan op het MITRE ATT&CK-raamwerk voor extra context.
  • KPI Metrics bieden meetbare benchmarks voor beveiligingssituaties en een onmiddellijk, objectief inzicht in waar je het meest kwetsbaar bent. Zo kun je prioriteit geven aan herstelinspanningen en middelen. Deze statistieken bieden ook de gelegenheid om de prestaties van beveiligingscontroles in de loop der tijd te meten, en jezelf te vergelijken met anderen in jouw branche.
  • Briefings op executive- en technisch niveau geven een samenvatting van de simulatieresultaten voor de directie, of zijn gedetailleerd voor het technische team. Zo beschikken zij over de informatie die nodig is om het aanvalsoppervlak te verkleinen.

Email Gateway Attack Vector

Cymulate’s Email Gateway-aanvalsvector helpt je bij het testen van je zakelijke e-mailbeveiliging.

E-mail is de meest gebruikte aanvalsmethode om misbruik te maken van zwakke punten in de beveiliging, en brengt bedrijfsomgevingen in gevaar. Onderzoek toont aan dat meer dan 75% van de cyberaanvallen wereldwijd afkomstig zijn van een kwaadaardige e-mail, en het aantal gerichte aanvallen blijft toenemen. Zoals we in het verleden hebben gezien, worden zowel zeer spraakmakende cybercampagnes als minder bekende gestart via een e-mail met een kwaadaardige bijlage, of link voor het infecteren van slachtoffers met ransomware of het openen van een directe verbinding met Command & Control (C&C) ) servers van hackers.

Organisaties gebruiken verschillende beveiligingsmaatregelen, zoals Secure Email Gateways (SEG's), Sandbox en Content Disarm and Reconstruction (CDR) -oplossingen om de mailboxen van hun werknemers te beschermen. Echter, onjuiste configuratie of implementatie kan leiden tot de valse veronderstelling dat een organisatie veilig is.

Cymulate’s Email Gateway-simulatievector is ontworpen om de e-mailbeveiliging van uw organisatie en de mogelijke blootstelling aan een aantal kwaadaardige payloads die per e-mail worden verzonden te evalueren. De gesimuleerde aanval legt kritieke kwetsbaarheden bloot binnen het e-mailbeveiligingsraamwerk. Door e-mails te verzenden met bijlagen die ransomware, wormen, Trojaanse paarden of links naar kwaadaardige websites bevatten, onthult de simulatie of gesimuleerde kwaadaardige e-mails de eerste verdedigingslinie van uw organisatie kunnen omzeilen en de inbox van uw werknemers kunnen bereiken. Na het uitvoeren van een simulatie, zou de volgende stap zijn om het beveiligingsbewustzijn van werknemers te testen met betrekking tot e-mails op basis van social engineering die hen proberen te verleiden tot het openen van kwaadaardige bijlagen, het onthullen van hun inloggegevens of het klikken op kwaadaardige links (zie Phishing Awareness Vector).

Web Gateway Attack Vector

Cymulate’s Web Gateway Vector helpt je bij het testen van je inkomende en uitgaande HTTP/HTTPS-blootstelling aan kwaadaardige of aangetaste websites.

Onveilig surfen op het web wordt vaak misbruikt door hackers om zwakke punten in de beveiliging te misbruiken en bedrijfsomgevingen in gevaar te brengen. Het wereldwijde internet staat vol met kwaadaardige websites en er worden elke dag nieuwe geüpload. Bovendien worden legitieme websites die op een onveilige manier zijn ontwikkeld, gecompromitteerd en gebruikt om malware en andere aanvallen te verspreiden. Ongeveer 12% van de geregistreerde cyberaanvallen draait een aanzienlijk aantal malware en kwaadaardige scripts tijdens het browsen naar geïnfecteerde websites of via browser add-ons.

Bovendien vormen kwaadaardige scripts - met behulp van Flash-, Java- en Microsoft Silverlight-plug-ins op webpagina's - een kwart van de malware-aanvallen. De aanvallen van Cerber en Bad Rabbit zijn begonnen door een kwaadwillende hacker die een legitieme website compromitteerde om malware te verspreiden. In het geval van Cerber bleek dat de website van de Amerikaanse National Wildfire Coordinating Group (NWCG) een JavaScript-downloader hostte die werd gebruikt om de Cerber-ransomware te leveren. Men gebruikte een zip-archief met een JavaScript-bestand met een versluierde PowerShell. De PowerShell downloadde het uitvoerbare Cerber-bestand en vermomde het  als een GIF-bestand. Deze aanval werd pas na een dag van de website verwijderd. Duizenden slachtoffers die de legitieme website van NWCG hadden bezocht, waren toen al geraakt.

Ondanks het alomtegenwoordige gebruik van proxy's, webfilters en allerlei veilige browse-oplossingen, worden kwaadaardige en gecompromitteerde websites alsnog veel bezocht als gevolg van onschuldig ogende maar kwaadaardige online advertenties, frauduleuze links, exploitkits en meer. Aangezien het merendeel van de malware-infecties op het web plaatsvindt tijdens legitiem het bezoeken van geïnfecteerde reguliere websites of via browser-add-ons, is het cruciaal om de uitgaande blootstelling aan kwaadaardige websites te beoordelen.

Cymulate's Web Gateway cyberaanval-simulatievector is ontworpen om de inkomende en uitgaande blootstelling van uw organisatie aan kwaadaardige of gecompromitteerde websites, en de huidige mogelijkheden om inkomend verkeer te analyseren, te evalueren. Hiermee kunt u de blootstelling van uw organisatie aan een uitgebreide en continu groeiende database van kwaadaardige en gecompromitteerde websites verifiëren.

Onmiddellijke, bruikbare simulatieresultaten stellen IT- en beveiligingsteams in staat lacunes in de beveiliging te identificeren, prioriteit te geven aan herstel en corrigerende maatregelen te nemen om het aanvalsoppervlak van uw organisatie te verkleinen.

Web Application Firewall Attack Vector

Cymulate’s Web Application Firewall (WAF) -vector daagt je WAF-beveiligingsweerstand tegen webpayloads uit en helpt bij het beschermen van je web-apps tegen toekomstige aanvallen.

Webapplicaties, waaronder consumentgerichte applicaties en bedrijfsapps, zijn een centraal bedrijfsonderdeel geworden en er wordt enorm veel geld en moeite gestoken in de bescherming ervan. Dit is ingewikkeld geworden omdat webapps zijn uitgegroeid van slechts een paar zakelijke applicaties tot een veelvoud aan backend webapps, SaaS-apps en andere cloudgeleverde oplossingen.

Bovendien blijft de diversiteit aan en het aantal bedreigingen toenemen, van geavanceerde malware en webspecifieke applicatielaagaanvallen tot denial en distributed denial of service (DoS, DDoS) -aanvallen en door beveiliging veroorzaakte bruikbaarheidsproblemen. Wat beveiliging betreft vertrouwen organisaties op WAF voor bescherming van hun web-apps. Tegenwoordig is het voor cybercriminelen en beginnende 'black hats' heel gemakkelijk om allerlei geautomatiseerde aanvalstools online te vinden. Met dergelijke tools hoeven ze alleen maar een URL-adres als doel in te voeren ende aanval vindt plaats. Een succesvolle aanval kan een website offline halen, terwijl organisaties juist daarvan (deels) afhankelijk zijn voor generatie van inkomsten. Elke minuut dat de website uitvalt, kost de organisatie veel geld en heeft invloed op haar geloofwaardigheid. Een berucht voorbeeld is de inbreuk op Equifax die werd veroorzaakt door een toepassingskwetsbaarheid (Apache Struts) op één van de websites. Meer dan 140 miljoen consumenten werden getroffen.

Met de WAF-aanvalssimulatie van Cymulate kun je controleren of je WAF-configuratie, implementatie en functies payloads kunnen blokkeren voordat ze in de buurt van je webapplicaties komen. Het platform simuleert een aanvaller die de WAF van je organisatie probeert te omzeilen en de webapplicatie bereikt, waarna deze kwaadaardige acties uitvoert, zoals het delven van gevoelige informatie, het toebrengen van schade en het doorsturen van gebruikers naar geïnfecteerde websites met behulp van applicatieve aanvallen zoals cross-site scripting(XSS), SQL en commando-injecties.

Aan het einde van elke WAF-aanvalssimulatie of andere simulatievector wordt een Cymulate-risicoscore gegeven, die de mate van blootstelling van de organisatie uitdrukt, samen met andere KPI-statistieken en bruikbare richtlijnen voor het verfijnen van controles en het dichten van lacunes in de beveiliging.

Phishing Awareness Attack Vector

Cymulate’s Phishing Awareness-vector helpt je bij het beoordelen van de bekendheid van je werknemers met op basis van social engineering ontworpen aanvalscampagnes

Phishing-aanvallen (waaronder spear-phishing, ransomware, BEC- of CEO-fraude) gebruiken social engineering om te infiltreren en bedrijfs- en productieomgevingen in gevaar te brengen. Daarom is het belangrijk om werknemers bewust te maken van cyberaanvallen met behulp van social engineering-methoden zoals de Nigeriaanse phishingcampagnes.

De Phishing Awareness-vector van Cymulate is ontworpen om het beveiligingsbewustzijn van je werknemers te evalueren. Het simuleert phishingcampagnes en detecteert zwakke schakels in je organisatie. Omdat het is ontworpen om het risico op spear-phishing, ransomware of CEO-fraude te verminderen, kan de oplossing je helpen datalekken te voorkomen, malware-gerelateerde downtime te minimaliseren en geld te besparen op incidentrespons.

Het beveiligingsbewustzijn van werknemers wordt getest door het creëren en uitvoeren van gesimuleerde, op maat gemaakte phishing-campagnes waarmee je kunt detecteren wie de zwakste schakels in je organisatie zijn.

De phishing-simulatie maakt gebruik van kant-en-klare of op maat gemaakte sjablonen die zijn toegewezen aan een bijbehorende bestemmingspagina met kwaadaardige dummylinks. Aan het einde van de simulatie wordt een rapport gegenereerd met statistieken en details van werknemers die de e-mail hebben geopend en degenen die op de kwaadaardige dummylink hebben geklikt, waardoor organisaties het inschattingsvermogen van hun werknemers wat betreft gevaarlijke e-mail kunnen beoordelen.

Endpoint Security Attack vector

Cymulate’s Endpoint Security-vector daagt je endpoint security controls uit en controleert of deze goed zijn afgestemd om je te beschermen tegen handtekening- en gedragsgerelateerde aanvallen.

Endpoints zijn het doelwit geworden van hackers. De werkstations van gebruikers binnen een netwerkdomein zijn ook toegangspunten voor aanvallers. Daarom versterken organisaties hun eindpunten met beschermingslagen zoals antivirus-, antispyware- en gedragsdetectie-oplossingen. Ze zetten zelfs zeer geavanceerde misleidingsystemen in om aanvallers weg te leiden van de echte eindpunten en ze naar honeypots en vallen te lokken.

Zoals herhaaldelijk opgemerkt in de krantenkoppen en op basis van de bevindingen van het Cymulate Research Lab, schieten beveiligingsmaatregelen zoals EDR's EPP's en AV's nog steeds tekort en missen ze verschillende soorten wormen, ransomware en Trojaanse paarden, waardoor ze onbedoeld toegang geven aan cybercriminelen, kwaadwillende hackers en schurkenstaten.

Een van de ontdekkingen vorig jaar betrof een kwaadwillende in Iran gevestigde aanvaller die een wijdverbreide spear phishing-campagne lanceerde die gericht was op overheids- en defensie-entiteiten. Aan de spear phishing-e-mails waren schadelijke, macrogebaseerde documenten toegevoegd met behulp van social engineering-methoden die indirecte code-uitvoering mogelijk maakten via INF (Setup Information) en SCT (Scitex)-beeldbestanden.

Die kwaadaardige macro in het document installeerde bestanden, waaronder een SCT-bestand. Dat klinkt op zichzelf niet schadelijk, maar bevatte een VBS-script dat kan worden uitgevoerd vanuit REGSVR32 en daarom verborgen was en de beveiligingsoplossingen voor endpoints kon omzeilen.

De belangrijkste functie van het SCT-bestand was om Base64 de inhoud van het WindowsDefender.ini-bestand te decoderen en de gedecodeerde PowerShell uit te voeren. Eenmaal succesvol uitgevoerd, stelde de POWERSTATS-achterdeur de aanvallers in staat vaste voet aan de grond te krijgen in de organisatie en gevoelige informatie te bereiken (zie Hopper (Lateral Movement) Vector en Data Exfiltration Vector).

Cymulate’s Endpoint Security-vector stelt organisaties in staat om simulaties van ransomware, Trojaanse paarden, wormen en virussen op een speciaal eindpunt op een gecontroleerde en veilige manier implementeren en uitvoeren. De aanvalssimulatie stelt vast of de beveiligingsproducten goed op elkaar zijn afgestemd en de essentiële activa van je organisatie daadwerkelijk beschermen tegen de nieuwste aanvalsmethoden. De uitgebreide tests omvatten alle aspecten van eindpuntbeveiliging, inclusief maar niet beperkt tot: gedragsdetectie, virusdetectie en bekende kwetsbaarheden.

De endpoint aanvalsimulatieresultaten bieden direct bruikbare resultaten, waaronder de risicoscore van Cymulate, KPI-statistieken, prioritering van herstelmaatregelen en een technische en uitvoerende rapportage.

Lateral Movement Attack Vector

Cymulate’s Lateral Movement (Hopper) -vector daagt je interne netwerken uit met verschillende technieken en methoden die door aanvallers worden gebruikt om toegang te krijgen en aanvullende systemen op een netwerk te besturen, als gevolg van het initieel compromitteren van één systeem.

Zodra de afweer van een organisatie faalt en de eindpuntbeveiliging wordt omzeild, is zijdelingse beweging binnen het netwerk een veelvoorkomende volgende stap in een penetratiescenario. Zo krijgt de aanvaller voet aan de grond in de organisatie (zie Endpoint Security Vector). Organisaties zetten tal van beveiligingsoplossingen en -controles in om dergelijke bewegingen te voorkomen. Of het nu als onderdeel van hun interne beleidsconfiguratie of een specifieke beveiligingsoplossing is, organisaties zijn afhankelijk van verschillende controles om zijdelingse bewegingen te voorkomen, detecteren en bewaken.

Naarmate bedreigingsactoren dieper in het netwerk komen, worden hun bewegingen en methoden moeilijker te detecteren, vooral wanneer ze misbruik maken van Windows-functies en -tools die doorgaans worden gebruikt door IT-beheerders (bijvoorbeeld PowerShell). Het verkrijgen van administratieve privileges maakt de activiteiten van bedreigingsactoren ook niet detecteerbaar en zelfs onvindbaar. Enkele bekende voorbeelden waren de WannaCry- en NotPetya-aanvallen. Die laatste zetten de operaties van vrachtvervoerder Maersk letterlijk stop en veroorzaakten honderden miljoenen dollars schade.

Dergelijke aanvallen kunnen kleine bedrijven failliet laten gaan. Ze kunnen ook noodoperaties en chirurgische ingrepen onderbreken, zoals te zien was tijdens de WannaCry-campagne die tientallen NHS-ziekenhuizen en medische centra in de UK trof. Deze aanvallen gebruikten een krachtige exploit genaamd Eternal Blue om zich te verspreiden en lateraal binnen netwerken te bewegen.

Op basis van onderzoek en onze eigen ervaring hebben aanvallers, zodra ze erin slagen om lateraal te bewegen binnen een gecompromitteerd netwerk, gemiddeld drie maanden de tijd om hun kwaadaardige activiteiten uit te voeren zonder te worden gedetecteerd.

Handmatige methodologieën om organisaties binnen te dringen en inbreukplekken van hackers te simuleren zijn beperkt in snelheid, volume en reikwijdte. Cymulate's Lateral Movement vector simuleert een gecompromitteerd werkstation binnen de organisatie en legt het risico van een potentiële cyberaanval of dreiging bloot. Er worden verschillende technieken en methoden gebruikt om zijdelings binnen het netwerk te bewegen.

Het platform gebruikt een geavanceerd en effectief algoritme om alle gebruikelijke en slimme technieken na te bootsen die de meest bekwame hackers gebruiken om zich binnen het netwerk te verplaatsen.

De resultaten van de Hopper-aanvalssimulatie worden gepresenteerd in een interactief grafisch diagram dat het laterale bewegingspad van de aanvaller toont, samen met Cymulate's risicoscore, KPI-statistieken en bruikbare mitigatieaanbevelingen. Dankzij corrigerende maatregelen kunnen IT- en beveiligingsteams de juiste tegenmaatregelen treffen om hun interne netwerkbeveiliging te vergroten.

Data Exfiltration Attack Vector

Cymulate’s Data Exfiltration-vector daagt je Data Loss Prevention (DLP) controls uit, zodat je de beveiliging van uitgaande kritieke gegevens kunt beoordelen voordat je gevoelige informatie wordt blootgesteld.

Organisaties worden gedwongen om te voldoen aan een toenemend aantal wet- en regelgevingen die ontworpen zijn om gegevens beter te beschermen, wat hen de verantwoordelijkheid oplegt om hun gegevens volledig te beschermen. Afgezien van compliance vereisten hebben datalekken ook enorme financiële gevolgen voor de reputatie van het getroffen bedrijf. DLP-oplossingen zijn ontworpen om te beschermen tegen data-exfiltratie. Organisaties zijn bijna volledig afhankelijk van de implementatie, methodologie en configuratie van DLP om hun waardevolle gegevens te beschermen.

De data-exfiltratie-vector is ontworpen om te evalueren hoe goed je DLP-oplossingen en -controles elke extractie van kritieke informatie van buiten de organisatie voorkomen. Het platform test de uitgaande gegevensstromen (zoals persoonlijk identificeerbare informatie (PII), medische, financiële en vertrouwelijke bedrijfsinformatie) om te valideren dat die informatie binnen de organisatie blijft.

De resultaten van de aanvalssimulatie worden gepresenteerd in een alomvattend en gebruiksvriendelijk formaat, waardoor organisaties hun DLP-gerelateerde beveiligingslacunes kunnen begrijpen en gepaste maatregelen kunnen nemen met behulp van bruikbare mitigatieaanbevelingen.

Immediate Threat Intelligence Attack Vector

Cymulate’s Immediate Threat Intelligence-vector helpt je om de beveiligingshouding van je organisatie te testen tegen duidelijke en minder duidelijke maar aanwezige cyberbedreigingen.

Elke dag verschijnen er talloze nieuwe payloads en aanvallen in het veld, georkestreerd door bekende en onbekende vijandige entiteiten. Organisaties over de hele wereld zijn kwetsbaar voor deze nieuwe bedreigingen, al vrij snel na hun lancering. De dreiging van nieuwe Zero-Days of oude beveiligingslacunes die worden misbruikt om een grootschalige aanval uit te voeren is een dagelijkse zorg voor CISO's, CIO's, risicomanagers en andere beveiligingsprofessionals die de beveiliging van hun organisatie moeten regelen en hierover moeten rapporteren aan het uitvoerend management.

Deze nieuwe aanvallen (zoals Emotet, Dridex, Ryuk, Trickbot en andere) komen in verschillende vormen voor, zoals een e-mailbijlage of een downloadlink die verschijnt op een legitieme of gecompromitteerde website. Nadat ze de perimeter van de organisatie zijn binnengedrongen, kunnen ze uiteindelijk ernstige schade aan een organisatie toebrengen. Daarom moeten deze professionals er zeker van zijn dat hun cyberbeveiligingsraamwerk bestand is tegen dergelijke actieve bedreigingen die in het veld circuleren.

Cymulate’s Immediate Threat Intelligence-vector is ontworpen om de beveiliging van je organisatie zo snel mogelijk te informeren en evalueren tegen de allernieuwste cyberaanvallen. De simulatie is gemaakt door het Cymulate Research Lab dat bedreigingen opmerkt en analyseert onmiddellijk nadat ze zijn gelanceerd door cybercriminelen en kwaadwillende hackers.

Door deze simulatie uit te voeren, kun je binnen korte tijd valideren of je organisatie kwetsbaar is voor deze nieuwste bedreigingen en maatregelen nemen voordat een aanval plaatsvindt.

De simulatieresultaten worden gepresenteerd in een gemakkelijk te begrijpen uitgebreid rapport. Mitigatie-aanbevelingen worden aangeboden voor elke ontdekte, en variëren afhankelijk van het type gesimuleerde aanval en de mate waarin de aanval zichzelf heeft kunnen verspreiden. Hierdoor kan de organisatie haar beveiligingshouding echt begrijpen en actie ondernemen, om controles waar nodig te verbeteren of bij te werken.