Lesson 1.pptx

# Inleiding tot cyberdreigingsinformatie (CTI) Deze sectie introduceert de fundamentele concepten van Cyber Threat Intelligence (CTI), de dynamische aard van het cyberdreigingslandschap en het cruciale belang van CTI voor organisaties. CTI wordt gepresenteerd als een ambacht dat een continu proces vereist, met als doel toegevoegde waarde te leveren binnen elke rol binnen een organisatie en een voorsprong te creëren voor CTI-analisten. ### 1.1 Het cyberdreigingslandschap Het cyberdreigingslandschap wordt gekenmerkt door snelle evolutie en toenemende complexiteit. Aanvallers worden slimmer en hun methoden geavanceerder, terwijl de aanvalsoppervlakte (attack surface) groeit. Verdedigers moeten daarom wendbaar (agile) zijn om effectief te kunnen reageren. #### 1.1.1 De evolutie van cyberaanvallen De evolutie van cyberaanvallen kan worden geïllustreerd aan de hand van diverse casestudies: * **Phishing:** De lokazen (lures) zijn geëvolueerd van positieve berichten naar dreigende taal. Aanvallers investeren veel in verkenningswerkzaamheden om het succes van hun aanvallen te waarborgen. Dit gaat van voor de hand liggende phishingcampagnes tot zeer goed uitgewerkte cybercampagnes. * **Emotet:** Een voorbeeld van een geëvolueerde aanvalsvector. * **Sextortion:** Dit type aanval is geëvolueerd van een simpele losbrief naar meer verfijnde methoden, zoals het gebruik van gelekte wachtwoorden, gespoofde e-mails en het uitbuiten van kwetsbaarheden in media. De hypothese is dat deepfakes in de toekomst een rol kunnen spelen, waarbij angst effectiever wordt ingezet dan gezond verstand. Eén simpele campagne kon meer dan driehonderdduizend euro opleveren. * **Ransomware:** Dit type malware kent twee hoofdaanpakken: * **Shotgun Approach:** Een breed ingestelde aanpak waarbij kwetsbaarheden worden gezocht en kwetsbare computers worden gescand om impact te creëren bij een grote groep gebruikers. * **Big Game Hunting:** Een gerichte aanpak waarbij een hoogwaardig doelwit wordt gezocht. Hierbij wordt de volledige cyber kill chain gebruikt om actie op de doelstellingen te garanderen. Dit wordt vaak uitgevoerd door professionele georganiseerde criminele groepen, soms met gebruik van nuldaagse kwetsbaarheden (0-days), valse bedrijven en professionele hulp. Ransomware als een Service (RaaS) is ook een model geworden, waarbij professionele groepen worden ingehuurd. * **Mobiele Malware (FluBot):** FluBot, ook wel bekend als 'derde keer, goede keer', maakt gebruik van een zeer simpele lok aanpak, met de gebruiker als voornaamste infectievector. De malware zelf is echter zeer geavanceerd en maakt gebruik van technieken zoals DNS-over-HTTPS (DoH) en Domain Generation Algorithms (DGA) voor command-and-control (C2) communicatie. De aanvaller is zeer wendbaar, verandert SMS-lokken vaak en gebruikt SMS-obfuscatie technieken. DGA en DoH worden gebruikt voor C2 communicatie. Coördinatie en informatie-uitwisseling zijn cruciaal voor de respons op FluBot, met frequente bijeenkomsten tussen instanties zoals het BIPT, telecomproviders en het CCB, naast bewustmakingscampagnes en persberichten. #### 1.1.2 Andre dreigingen en tactieken Naast de eerder genoemde evoluties, zijn er nog andere significante dreigingen en tactieken: * **Supply Chain Attacks:** Aanvallen gericht op de toeleveringsketen van software of diensten, waarbij een zwakke schakel wordt misbruikt om een breder doelwit te bereiken. * **DDoSia:** Een tool die wordt gebruikt voor gedistribueerde denial-of-service (DDoS) aanvallen. De tool bevat een configuratiebestand met een lijst van doelwitten en kan gebruikmaken van crowdsourcing om een botnet op te bouwen. * **Hacktivism:** Hoewel momenteel een minder actuele dreiging, kan hacktivisme nog steeds voor overlast zorgen. ### 1.2 Het belang van Cyber Threat Intelligence (CTI) CTI is essentieel voor organisaties om zich effectief te kunnen verdedigen tegen de voortdurend veranderende cyberdreigingen. Het stelt organisaties in staat om proactief te handelen, de impact van aanvallen te minimaliseren en hun beveiligingsstrategieën te verbeteren. #### 1.2.1 Kernconcepten van CTI * **Risk Landscape:** Elke situatie of verhaal heeft een potentieel "slechterik" (threat actor). * **Impact (CIA Triad):** De impact van een cyberaanval wordt vaak gemeten aan de hand van de principes van Vertrouwelijkheid (Confidentiality), Integriteit (Integrity) en Beschikbaarheid (Availability). Non-repudiation (niet-weerlegbaarheid) is ook een belangrijk aspect. * **Prerequisites of a Threat:** Een dreiging ontstaat wanneer drie elementen samenkomen: * **Intent (Intentie):** Het motief van de aanvaller, zoals financieel gewin. * **Capability (Capaciteit):** De middelen en vaardigheden van de aanvaller, zoals het ontdekken van kwetsbaarheden of het gebruik van nuldaagse exploits. * **Opportunity (Gelegenheid):** De aanwezigheid van een kwetsbaar doelwit, zoals een niet-gepatchte server. * **De menselijke factor:** De grootste dreiging komt vaak van de menselijke factor – iedereen en alles is potentieel online aanwezig. #### 1.2.2 Het delen van informatie Het delen van informatie is cruciaal voor effectieve cybersecurity. Dit omvat: * **Actiegericht delen van informatie:** Het delen van bruikbare informatie om concrete acties te ondernemen. * **Samenwerking:** Samenwerking is essentieel voor vooruitgang. Het principe is: "Coming together = beginning, Keeping together = progress, Working together = success." * **Delen binnen de organisatie:** Het delen van intelligentie binnen de eigen organisatie. * **Delen binnen de gemeenschap:** Het delen van informatie met de bredere cybersecuritygemeenschap. * **Delen met partners:** Het delen van informatie met samenwerkende partners. * **Verantwoord delen:** Het delen van informatie op een verantwoordelijke manier, waarbij de geldende grenzen worden gerespecteerd, zoals de Traffic Light Protocol (TLP) classificaties, Partnership Accords (PAP), Non-Disclosure Agreements (NDA) en managementbeslissingen. > **Tip:** Het effectief delen van CTI vereist duidelijke richtlijnen en protocollen om ervoor te zorgen dat informatie veilig en correct wordt verspreid. > **Example:** Een voorbeeld van hoe de menselijke factor een risico vormt, is de situatie waarbij een wachtwoord op een post-it note wordt bewaard, wat de beveiliging van het systeem aanzienlijk ondermijnt. --- # Evolutie en typen cyberaanvallen Dit gedeelte onderzoekt hoe cyberaanvallen zich ontwikkelen, van phishing tot ransomware, inclusief specifieke voorbeelden zoals Emotet en Sextortion. ### 2.1 De evoluerende dreigingslandschap Het cyberdreigingslandschap evolueert in een razendsnel tempo. Aanvallers worden steeds slimmer en hun methoden geavanceerder, terwijl de aanvalsoppervlakte groter wordt. Dit vereist van verdedigers een grote mate van flexibiliteit en aanpassingsvermogen. #### 2.1.1 Evolutie van aanvalsstrategieën Aanvallen zijn significant geëvolueerd van simpele, duidelijke pogingen tot goed uitgewerkte cybercampagnes. Aanvallers investeren veel in verkenning (reconnaissance) om de kans op succes te maximaliseren. > **Tip:** Begrijpen hoe aanvallers te werk gaan, is cruciaal voor het ontwikkelen van effectieve verdedigingsstrategieën. ### 2.2 Specifieke cyberaanvalstypen #### 2.2.1 Phishing Phishingaanvallen zijn in de loop der tijd geëvolueerd. De 'lure' (lokmiddel) is veranderd van positieve of neutrale berichten naar meer dreigende taal om slachtoffers onder druk te zetten. #### 2.2.2 Emotet Emotet is een voorbeeld van een geavanceerde en evoluerende malware die oorspronkelijk als bankiertrojan begon, maar zich ontwikkelde tot een veelzijdige 'dropper' voor andere malware, zoals ransomware. > **Example:** Emotet kan zich verspreiden via malafide e-mailbijlagen, kwaadaardige links, en door gebruik te maken van kwetsbaarheden in software. #### 2.2.3 Sextortion Sextortion-aanvallen zijn een zorgwekkende evolutie in de wereld van cybercriminaliteit. Deze aanvallen maken gebruik van misleiding en intimidatie om slachtoffers geld afhandig te maken. * **Evolutie van Sextortion:** * **Eenvoudige ransomnote:** Initiële pogingen waren vaak direct en dreigend. * **Misleiding met gelekte wachtwoorden:** Aanvallers claimen wachtwoorden te hebben verkregen en dreigen met publicatie. * **Vervalsing van e-mails:** Het gebruik van gespoofte e-mailadressen om de aanval legitiemer te laten lijken. * **Misleiding met kwetsbaarheden (Media):** In een meer recente ontwikkeling wordt geclaimd dat er kwetsbaarheden zijn ontdekt in media, wat angst inboezemt bij gebruikers van specifieke diensten. * **Hypothese: Deepfakes in de toekomst:** De verwachting is dat deepfake-technologie in de toekomst zal worden ingezet om nog overtuigendere sextortion-campagnes te creëren. > **Tip:** Angst is de primaire drijfveer achter de effectiviteit van sextortion-aanvallen. Het is belangrijk om kalm te blijven en niet toe te geven aan de druk. Een simpele sextortion-campagne kan aanzienlijke bedragen opleveren, zoals meer dan driehonderdduizend euro die met één campagne is geïnd. De vraag "Wie zou hier intrappen?" wordt vaak gesteld, maar de psychologische manipulatie blijkt effectief. ### 2.3 Ransomware Ransomware is een type malware dat data versleutelt en losgeld eist voor de ontsleuteling. Aanvallen met ransomware kunnen worden onderverdeeld in twee hoofdcategorieën: #### 2.3.1 Shotgun Approach Deze methode hanteert een brede aanpak: * **Kwetsbaarheid vinden:** Zoeken naar bekende kwetsbaarheden in software of systemen. * **Scannen op kwetsbare computers:** Massaal scannen van netwerken om kwetsbare systemen te identificeren. * **Korte aanval met grote impact:** Snel toeslaan om zoveel mogelijk systemen tegelijkertijd te infecteren. #### 2.3.2 Big Game Hunting Deze aanpak richt zich op hogere winsten door specifieke, waardevolle doelen te kiezen: * **Vinden van een High-Value target:** Identificeren van organisaties met gevoelige data of bedrijfskritische systemen. * **Gebruik van de Full Cyber Kill Chain:** Een grondige, stapsgewijze aanpak om controle te verkrijgen. * **Professionele georganiseerde criminaliteit:** Vaak uitgevoerd door professionele criminele groepen. * **Gebruik van 0-days:** Exploitatie van nog onbekende kwetsbaarheden. * **Valse bedrijven:** Opzetten van nepbedrijven om geloofwaardigheid te creëren. * **Professionele hulp:** Inhuren van externe experts voor specifieke taken. * **Ransomware as a Service (RaaS):** Criminele organisaties bieden ransomware-kits en infrastructuur aan tegen betaling, waardoor minder technisch onderlegde criminelen ook aanvallen kunnen uitvoeren. > **Example:** Recente rapporten tonen hoe SQL brute-force aanvallen leidden tot de verspreiding van Bluesky ransomware, en hoe Trigona ransomware binnen enkele uren toesloeg tijdens de kerstdagen. ### 2.4 Mobiele Malware: FluBot FluBot is een voorbeeld van geavanceerde mobiele malware die zeer effectief is gebleken. De belangrijkste kenmerken zijn: * **Zeer eenvoudige 'lure':** Gebruikers worden verleid via simpele SMS-berichten. * **Hoofdinfectievector: Gebruiker:** De infectie vindt plaats doordat de gebruiker interactie heeft met het verdachte bericht. * **Zeer geavanceerde malware:** Ondanks de eenvoudige lure, is de malware zelf complex. * **Gebruik van DoH en DGA:** Domain Generation Algorithms (DGA) en DNS-over-HTTPS (DoH) worden gebruikt voor Command & Control (C2) communicatie, wat het detecteren en blokkeren bemoeilijkt. * **Aanvaller is zeer wendbaar:** * **SMS-lures veranderen constant:** Om detectiesystemen te omzeilen. * **SMS-obfuscatie technieken:** Technieken om de inhoud van SMS-berichten te verbergen of te verhullen. * **DGA & DOH voor C2:** Zorgt voor een dynamische en moeilijker te traceren communicatie met de aanvallers. Coördinatie en informatie-uitwisseling zijn essentieel om dergelijke bedreigingen aan te pakken. Samenwerking tussen overheidsinstanties, telecomproviders en cybersecuritycentra is cruciaal. ### 2.5 Supply Chain Attacks Supply chain attacks richten zich op het compromitteren van software of hardware voordat deze de eindgebruiker bereikt. Door een legitiem product te infecteren, kunnen aanvallers toegang krijgen tot de systemen van vele gebruikers tegelijkertijd. ### 2.6 DDoSia (DDoS as a Service) DDoSia verwijst naar Distributed Denial-of-Service aanvallen die als een dienst worden aangeboden. Dit kan op verschillende manieren gebeuren: * **DDoS Tool:** Aanbieders bieden tools waarmee aanvallers DDoS-aanvallen kunnen uitvoeren. * **Config file met target list:** Configureerbare bestanden met doelwitten voor de aanval. * **Crowdsourcing van een DDoS-botnet:** Het verzamelen van gecompromitteerde apparaten (bots) via internet om een krachtig aanvalsnetwerk op te bouwen. De actuele dreiging van dergelijke diensten kan variëren van georganiseerde criminaliteit tot pure hacktivism. ### 2.7 Belang van gedeelde informatie (Intelligence Sharing) Het delen van actuele en bruikbare informatie (intelligence) is van het grootste belang om effectief te kunnen reageren op cyberdreigingen. > **Principle:** "Coming together is a beginning, keeping together is progress, working together is success." – Henry Ford Het delen van intelligence moet plaatsvinden op verschillende niveaus: * **Binnen uw organisatie:** Zorg voor interne communicatie over dreigingen en incidenten. * **Binnen uw gemeenschap:** Werk samen met andere organisaties in uw sector of regio. * **Met uw partners:** Deel informatie met leveranciers, klanten en andere relevante partijen. * **Verantwoordelijk delen:** Wees bewust van de grenzen en restricties, zoals TLP (Traffic Light Protocol), PAP (Privacy Assessment Protocol), NDA's (Non-Disclosure Agreements) en managementbeslissingen. > **Tip:** Het correct toepassen van informatie deelprotocollen zorgt ervoor dat informatie veilig en effectief kan worden uitgewisseld, wat de algehele cyberweerbaarheid versterkt. --- # Mobiele malware en supply chain aanvallen Dit hoofdstuk behandelt de specifieke dreigingen van mobiele malware, zoals FluBot, en de mechanismen achter supply chain aanvallen, inclusief de rol van DDoSia. ### 3.1 Mobiele malware: FluBot FluBot is een type mobiele malware dat zich verspreidt via een combinatie van geavanceerde technieken. De verspreiding vindt voornamelijk plaats via de gebruiker, wat betekent dat social engineering en misleidende inhoud een cruciale rol spelen in de initiële infectie. #### 3.1.1 Infectievectoren en technieken * **SMS-lures:** FluBot maakt veelvuldig gebruik van SMS-berichten als primaire infectievector. Deze berichten worden continu aangepast en geoptimaliseerd om gebruikers te verleiden op kwaadaardige links te klikken. * **Obfuscatietechnieken:** Om detectie te omzeilen en de effectiviteit van de SMS-lures te vergroten, past FluBot diverse obfuscatietechnieken toe. * **Zeer geavanceerde malware:** De malware zelf is technisch zeer geavanceerd, wat duidt op een professionele ontwikkeling en onderhoud. #### 3.1.2 Communicatie en C2-infrastructuur * **DoH (DNS-over-HTTPS):** FluBot gebruikt DoH voor de communicatie met zijn command-and-control (C2) servers. Dit versleutelt DNS-verkeer, waardoor het moeilijker te detecteren en te blokkeren is voor netwerkbeheerders. * **DGA (Domain Generation Algorithm):** De malware maakt gebruik van DGA-algoritmes om domeinnamen voor de C2-servers te genereren. Dit zorgt ervoor dat de C2-infrastructuur dynamisch is en bestand tegen het blacklisten van specifieke domeinen. * **Agiliteit van de aanvaller:** De combinatie van snelle aanpassing van SMS-lures, obfuscatietechnieken, DoH en DGA toont de grote agiliteit van de aanvaller achter FluBot. #### 3.1.3 Respons en samenwerking * **Essentiële samenwerking:** Effectieve bestrijding van FluBot vereist intensieve samenwerking tussen verschillende partijen, waaronder overheidsinstanties zoals het BIPT (Belgisch Instituut voor Postdiensten en Telecommunicatie), telecomproviders en het Centrum voor Cybersecurity België (CCB). * **Regelmatige coördinatie:** Er worden frequente bijeenkomsten georganiseerd om de snel veranderende dreigingen te bespreken en gezamenlijke responsstrategieën te ontwikkelen. * **Bewustwordingscampagnes:** Naast technische maatregelen, spelen publieke bewustwordingscampagnes en persberichten een belangrijke rol om het publiek te informeren over de gevaren van FluBot en hoe men zichzelf kan beschermen. * **Actieve onderbrekingsmaatregelen:** Er worden actief maatregelen genomen om de FluBot-infrastructuur te ontwrichten, zoals het in beslag nemen van C2-servers of het blokkeren van verspreidingskanalen. > **Tip:** Mobiele malware zoals FluBot benadrukt het belang van voorzichtigheid bij het klikken op links en het downloaden van apps, zelfs als deze via vertrouwde kanalen lijken te komen. ### 3.2 Supply chain aanvallen Supply chain aanvallen maken misbruik van de vertrouwensrelaties binnen de toeleveringsketen van software of diensten om kwaadaardige code te introduceren. #### 3.2.1 DDoSia DDoSia is een tool die wordt gebruikt om supply chain aanvallen te faciliteren, met name gericht op het creëren van gedistribueerde denial-of-service (DDoS) botnets. * **Configuratiebestand:** DDoSia gebruikt een configuratiebestand dat een lijst met doelwitten bevat. Dit bestand dicteert welke systemen gecompromitteerd moeten worden of deel moeten uitmaken van het botnet. * **Crowdsourcing van een DDoS-botnet:** Het doel van DDoSia is om een DDoS-botnet op te bouwen door gebruik te maken van "crowdsourcing". Dit houdt in dat een groot aantal systemen, vaak zonder medeweten van de eigenaren, wordt gerekruteerd om deel te nemen aan de DDoS-aanval. * **Tool voor hacktivisme:** DDoSia wordt gezien als een tool voor puur hacktivisme, waarbij de aanvallen mogelijk worden gemotiveerd door ideologische of politieke redenen. #### 3.2.2 Mechanismen en impact Supply chain aanvallen kunnen verwoestende gevolgen hebben omdat ze de beveiliging van legitieme software-updates of diensten misbruiken. Wanneer een aanvaller eenmaal toegang heeft gekregen tot een kritiek punt in de supply chain, kan deze kwaadaardige code distribueren naar talloze gebruikers die de gecompromitteerde software of dienst vertrouwen. Dit kan leiden tot grootschalige infecties, datalekken of systemen die onbruikbaar worden gemaakt, zoals bij DDoS-aanvallen die door tools als DDoSia worden gefaciliteerd. > **Tip:** Het controleren van de integriteit van software-updates en het minimaliseren van het aantal leveranciers in de supply chain kunnen helpen om de risico's van supply chain aanvallen te beperken. ### 3.3 Het belang van het delen van informatie Het effectief bestrijden van geavanceerde cyberdreigingen zoals mobiele malware en supply chain aanvallen vereist een proactieve en collaboratieve aanpak. * **Samenkomst als begin:** Het concept "Coming together is a beginning" benadrukt het belang van het starten van samenwerking en informatie-uitwisseling. * **Vooruitgang door cohesie:** "Keeping together is progress" illustreert dat het onderhouden van deze samenwerking en het continu delen van inzichten leidt tot voortdurende vooruitgang in de verdediging. * **Succes door gezamenlijke inspanning:** "Working together is success" onderstreept dat de ultieme succesfactor ligt in het effectief samenwerken en het bundelen van krachten. #### 3.3.1 Deelstrategieën * **Deel intelligentie binnen uw organisatie:** Stimuleer een cultuur waarin informatie over dreigingen intern wordt gedeeld tussen verschillende afdelingen en teams. * **Deel intelligentie in uw gemeenschap:** Werk samen met andere organisaties binnen dezelfde sector of regio om collectieve kennis op te bouwen en te delen. * **Deel intelligentie met uw partners:** Zorg voor een veilige en gestructureerde uitwisseling van informatie met externe partners, zoals leveranciers of dienstverleners. * **Deel intelligentie verantwoordelijk:** Bij het delen van informatie is het cruciaal om rekening te houden met gevoelige gegevens, vertrouwelijkheidsafspraken (zoals TLP - Traffic Light Protocol, PAP - Protective Actions Protocol) en managementbeslissingen. Het verantwoordelijk en effectief delen van actuele en bruikbare intelligentie is essentieel om de steeds evoluerende cyberdreigingen voor te blijven. --- # Samenwerking en delen van intelligentie Dit gedeelte benadrukt het cruciale belang van samenwerking, informatie-uitwisseling en het verantwoord delen van intelligentie binnen organisaties, gemeenschappen en met partners. ### 4.1 Het belang van samenwerking en informatie-uitwisseling In de dynamische en steeds evoluerende cyberdreigingslandschap is samenwerking en het delen van informatie essentieel voor effectieve beveiliging. Organisaties, gemeenschappen en partners moeten actief kennis en inzichten uitwisselen om cyberdreigingen te begrijpen, te voorspellen en erop te reageren. Dit is geen optie, maar een noodzaak om proactief te kunnen handelen en de impact van aanvallen te minimaliseren. ### 4.2 De drievoudige component van een dreiging Een effectieve dreiging vereist drie sleutelcomponenten: * **Intentie:** De drijfveer achter de aanval, zoals financieel gewin, sabotage of ideologische motieven. * **Capabiliteit:** De middelen en technische vaardigheden die de aanvaller tot zijn beschikking heeft, zoals exploits, malware of geavanceerde hackingtechnieken. * **Opportuniteit:** De kwetsbaarheid of het moment waarop de aanval succesvol kan worden uitgevoerd, bijvoorbeeld door een ongepatcht systeem of een zwakke beveiligingsmaatregel. Het begrijpen van deze componenten helpt bij het inschatten van de waarschijnlijkheid en de mogelijke impact van een dreiging. ### 4.3 Het evoluerende cyberdreigingslandschap Het cyberdreigingslandschap ontwikkelt zich razendsnel. Aanvallers worden steeds slimmer en hun methoden geavanceerder. Tegelijkertijd neemt de 'aanvals-oppervlakte' toe door de toenemende digitalisering en connectiviteit. Dit vereist dat verdedigers continu alert en wendbaar blijven. > **Tip:** Blijf op de hoogte van de nieuwste trends en technieken die door aanvallers worden gebruikt, evenals de nieuwste verdedigingsstrategieën. #### 4.3.1 Evolutie van cyberaanvallen: Casestudies De manier waarop aanvallen worden uitgevoerd, evolueert constant. Van eenvoudige phishing-pogingen tot complexe, goed georkestreerde campagnes. * **Phishing:** Lures zijn geëvolueerd van positieve berichten naar dreigende taal om de ontvanger onder druk te zetten. Aanvallers investeren aanzienlijk in verkenning om hun aanvallen zo geloofwaardig mogelijk te maken. * **Emotet:** Een voorbeeld van een geavanceerde malwarecampagne die zich snel verspreidde en zich aanpaste aan detectiemethoden. * **Sextortion:** Deze vorm van afpersing is geëvolueerd van simpele losse brieven naar het gebruik van gedeelde wachtwoorden, spoofed e-mails en zelfs dreiging met het lekken van persoonlijke informatie. De angst die hiermee wordt gecreëerd, wint het vaak van het rationeel denken. Het gebruik van deepfakes in de toekomst is een reële hypothese. * **Ransomware:** * **Shotgun Approach:** Een brede aanpak waarbij kwetsbaarheden worden gezocht en gescand om massale impact te creëren. Dit is gericht op snelle, wijdverspreide verspreiding. * **Big Game Hunting:** Aanvallers richten zich op hoogwaardige doelen en gebruiken de volledige cyber kill chain om hun acties te coördineren en te zorgen voor succes. Dit omvat vaak het gebruik van nul-dagen exploits, nepprofessionele hulpdiensten en de inhuur van professionele criminele groepen, wat leidt tot 'Ransomware-as-a-Service' modellen. #### 4.3.2 Mobiele Malware: FluBot FluBot is een voorbeeld van mobiele malware die zich zeer snel verspreidt. De belangrijkste infectievector is de gebruiker via SMS-lures die constant worden aangepast en geobfusceerd. De malware maakt gebruik van geavanceerde technieken zoals DoH (DNS over HTTPS) en DGA (Domain Generation Algorithms) voor command-and-control communicatie, waardoor de aanvaller zeer wendbaar is. Coördinatie en informatie-uitwisseling, bijvoorbeeld tussen telecomproviders en beveiligingsinstanties, zijn cruciaal om deze dreiging effectief te bestrijden en bewustzijnscampagnes te voeren. #### 4.3.3 Supply Chain Attacks Aanvallen op de toeleveringsketen (supply chain attacks) zijn een groeiende zorg. Hierbij wordt de beveiliging van software- of hardwareleveranciers misbruikt om toegang te krijgen tot hun klanten. Dit kan leiden tot wijdverspreide infecties via legitieme software-updates of geïntegreerde componenten. #### 4.3.4 DDoSia DDoSia illustreert een model waarbij een configuratiebestand met een lijst van doelwitten wordt gebruikt om gedistribueerde denial-of-service (DDoS) aanvallen te coördineren, vaak door middel van het crowdfunden van een botnet. Hoewel soms gerelateerd aan hacktivisme, is het delen van actuele, bruikbare intelligentie hierbij van groot belang om deze aanvallen te mitigeren. ### 4.4 Het belang van verantwoord delen van intelligentie Het delen van intelligentie is effectiever wanneer het verantwoord gebeurt. Dit betekent rekening houden met de context, de grenzen van het delen en de mogelijke gevolgen. > **Tip:** Begrijp en respecteer classificatie-indicatoren zoals TLP (Traffic Light Protocol) en PAP (Privacy Access Policy), evenals geheimhoudingsverklaringen (NDA's) en managementbeslissingen. Het principe is dat "samenkomen het begin is, samenblijven vooruitgang is, en samenwerken succes is." Door intelligentie te delen binnen de eigen organisatie, binnen gemeenschappen en met partners, kan een robuustere gezamenlijke verdediging worden opgebouwd. ### 4.5 Het principe van samenwerking en delen Het delen van intelligente informatie, ongeacht de organisatie of gemeenschap, is fundamenteel voor het succes van cyberbeveiliging. Dit proces omvat verschillende niveaus: * **Delen binnen de organisatie:** Zorgen voor een uniforme beveiligingshouding en bewustzijn. * **Delen binnen de gemeenschap:** Sectorbrede samenwerking om specifieke dreigingen te adresseren. * **Delen met partners:** Samenwerken met externe partijen, waaronder overheden en andere organisaties, voor een breder perspectief. Het is van essentieel belang dat dit delen altijd verantwoord en met inachtneming van de nodige protocollen gebeurt om misbruik te voorkomen en de effectiviteit te maximaliseren. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Cyberdreigingsinformatie (CTI) | Cyberdreigingsinformatie is een proces van het verzamelen, verwerken en analyseren van informatie over potentiële of bestaande dreigingen om organisaties te helpen proactief te reageren en hun beveiligingshouding te verbeteren. | | CIA Triad | De CIA Triade is een model dat de drie fundamentele principes van informatiebeveiliging vertegenwoordigt: Vertrouwelijkheid, Integriteit en Beschikbaarheid, die cruciaal zijn voor de bescherming van gegevens. | | Vertrouwelijkheid | Het principe van vertrouwelijkheid zorgt ervoor dat informatie alleen toegankelijk is voor geautoriseerde personen en systemen, waardoor ongeautoriseerde openbaarmaking wordt voorkomen. | | Integriteit | Integriteit garandeert dat informatie accuraat en compleet is en dat deze niet op ongeautoriseerde wijze is gewijzigd, wat de betrouwbaarheid van de gegevens waarborgt. | | Beschikbaarheid | Beschikbaarheid zorgt ervoor dat geautoriseerde gebruikers toegang hebben tot informatie en systeembronnen wanneer dat nodig is, wat de operationele continuïteit waarborgt. | | Niet-repudiatie | Niet-repudiatie is een beveiligingsmaatregel die ervoor zorgt dat een partij niet kan ontkennen dat een bepaalde actie heeft plaatsgevonden, vaak bereikt door middel van digitale handtekeningen of logging. | | Exploit (0-day) | Een 0-day exploit is een aanval die misbruik maakt van een kwetsbaarheid in software of hardware die nog niet bekend is bij de ontwikkelaar of vendor, waardoor er geen patches of oplossingen beschikbaar zijn. | | Cyber Kill Chain | De Cyber Kill Chain is een framework dat de fasen van een cyberaanval beschrijft, van verkenningsfasen tot het bereiken van de doelstellingen van de aanvaller, om verdedigers te helpen de aanvalspaden te begrijpen en te onderbreken. | | Phishing | Phishing is een vorm van sociale manipulatie waarbij aanvallers zich voordoen als legitieme entiteiten om gevoelige informatie zoals wachtwoorden en creditcardgegevens te verkrijgen via misleidende e-mails, berichten of websites. | | Ransomware | Ransomware is een type malware dat de toegang tot een computersysteem of gegevens versleutelt en losgeld eist voor de ontsleuteling, waardoor gebruikers worden gedwongen te betalen om hun bestanden terug te krijgen. | | Mobiele Malware | Mobiele malware is kwaadaardige software die speciaal is ontworpen om mobiele apparaten, zoals smartphones en tablets, te infecteren en te infecteren, vaak met als doel gegevens te stelen of schade aan te richten. | | FluBot | FluBot is een specifieke Android-malware die zich verspreidt via sms-berichten en phishing-aanvallen, met als doel bankgegevens en andere gevoelige informatie te stelen. | | DoH (DNS-over-HTTPS) | DNS-over-HTTPS (DoH) is een protocol dat de communicatie tussen een DNS-resolver en een gebruiker versleutelt via het HTTPS-protocol, wat de privacy en beveiliging van DNS-verzoeken verhoogt. | | DGA (Domain Generation Algorithm) | Een Domain Generation Algorithm (DGA) is een methode die door malware wordt gebruikt om grote aantallen domeinnamen te genereren die als command-and-control (C2) servers kunnen dienen, wat het traceren en blokkeren bemoeilijkt. | | Command-and-Control (C2) | Command-and-Control (C2) verwijst naar de communicatie-infrastructuur die door aanvallers wordt gebruikt om geïnfecteerde systemen te besturen en te coördineren, vaak via specifieke servers. | | DDoS (Distributed Denial of Service) | Een Distributed Denial of Service (DDoS) aanval is een poging om een online dienst onbeschikbaar te maken door deze te overspoelen met een enorme hoeveelheid verkeer vanuit meerdere bronnen, waardoor de servercapaciteit wordt overschreden. | | Supply Chain Attack | Een supply chain attack is een cyberaanval waarbij de aanvaller een legitieme en vertrouwde derde partij in de toeleveringsketen van een doelwit compromitteert om toegang te krijgen tot het doelwit of om malware te verspreiden. | | Hacktivism | Hacktivism is het gebruik van hacken om politieke of sociale doelen te bevorderen, waarbij digitale middelen worden ingezet om een boodschap over te brengen, publieke aandacht te trekken of actie te ondernemen. | | TLP (Traffic Light Protocol) | Traffic Light Protocol (TLP) is een set regels die de verspreiding van gevoelige informatie beperkt, waarbij kleuren (rood, oranje, groen, wit) worden gebruikt om aan te geven hoe de informatie mag worden gedeeld. |