Cybercriminelen ontwikkelen niet altijd heel geavanceerde middelen om succesvol in te breken. Steeds vaker gebruiken ze wat al aanwezig is binnen je organisatie: legitieme systeemtools en standaardsoftware. Deze aanvalstechniek staat bekend als Living off the Land (LotL) en is juist daarom zo moeilijk te detecteren.
Wat is Living off the Land?
Bij een Living off the Land-aanval gebruikt een aanvaller bestaande, legitieme tools binnen een IT-omgeving om kwaadaardige activiteiten uit te voeren.
In plaats van malware te installeren die direct alarmbellen doet rinkelen, “leent” de aanvaller als het ware de tools die systeembeheerders zelf dagelijks gebruiken. Hierdoor lijkt het gedrag op normale administratieve handelingen.
Vaak begint zo’n aanval via:
- Gestolen inloggegevens (phishing)
- Zwakke wachtwoorden
- Onvoldoende beveiligde externe toegang
- Misbruik van een kwetsbaarheid
Eenmaal binnen bewegen aanvallers zich geruisloos door het netwerk, verzamelen gegevens en breiden hun toegang uit, zonder direct op te vallen.
Waarom is dit zo gevaarlijk?
Living off the Land-aanvallen zijn gevaarlijk omdat ze:
1. Moeilijk te detecteren zijn
Beveiligingssoftware die puur kijkt naar “kwaadaardige bestanden” ziet vaak niets verdachts. Er wordt immers gewerkt met legitieme systeemprocessen.
2. Lang onopgemerkt blijven
Aanvallers zijn soms weken of zelfs maanden in een netwerk aanwezig voordat ze toeslaan met datadiefstal of ransomware.
3. Gericht zijn op waardevolle data
LotL-technieken worden vaak gebruikt bij gerichte aanvallen op de zakelijke markt, waar gevoelige data, intellectueel eigendom en klantinformatie centraal staan.
4. De impact vergroten
Omdat de aanvaller beheerfunctionaliteiten gebruikt, kan hij:
- Accounts aanmaken of aanpassen
- Back-ups uitschakelen
- Logging manipuleren
- Beveiligingsinstellingen wijzigen
Dit maakt herstel complex en kostbaar.
Wat zijn de risico’s voor organisaties?
Voor bedrijven kunnen de gevolgen aanzienlijk zijn:
- Datadiefstal en verlies van intellectueel eigendom
- Reputatieschade
- Boetes door GDPR-overtredingen
- Operationele verstoring
- Financiële schade door ransomware of fraude
Vooral organisaties met hybride werkplekken en cloudomgevingen lopen verhoogd risico als toegangsbeheer en monitoring niet optimaal zijn ingericht.
Hoe verklein je het risico?
Hoewel Living off the Land-aanvallen geavanceerd zijn, zijn er effectieve maatregelen om het risico sterk te beperken.
1. Implementeer sterke toegangscontrole
- Multi-Factor Authenticatie (MFA) op alle accounts, vooral beheerders
- Least privilege-principe: medewerkers alleen toegang geven tot wat ze écht nodig hebben
- Regelmatige controle van rechten en accounts
2. Monitor gedrag, niet alleen malware
Kies voor beveiligingsoplossingen die afwijkend gedrag detecteren (EDR/XDR). Denk aan:
- Verdachte aanmeldlocaties
- Onlogische tijdstippen van beheeractiviteiten
3. Beperk en beheer administratieve tools
- Schakel ongebruikte tools uit
- Pas application control toe
4. Segmenteer het netwerk
Door kritieke systemen af te schermen, voorkom je dat een aanvaller zich vrij door het netwerk kan bewegen.
5. Zorg voor continue awareness
Medewerkers blijven een belangrijke schakel. Training helpt om:
- Phishing te herkennen
- Verdachte situaties te melden
- Veilig met inloggegevens om te gaan
