Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Stepping stone server

Technologie

Beveiligde manier om in een digitaal netwerk te komen. Dit wordt ook wel een jumpserver genoemd.

Een stepping stone server is een gecompromitteerde server die door aanvallers wordt gebruikt als tussenstation in een keten van systemen om hun werkelijke identiteit en locatie te verbergen. In plaats van rechtstreeks een doelwit aan te vallen, routeert de aanvaller verkeer via een of meerdere stepping stones, waardoor het voor het slachtoffer vrijwel onmogelijk wordt om de oorsprong van de aanval te achterhalen. Deze techniek wordt al decennia gebruikt door geavanceerde dreigingsactoren, waaronder APT-groepen en door staten gesponsorde hackers, en blijft een van de meest effectieve methoden om anonimiteit te bewaren bij cyberaanvallen.

Hoe werkt een stepping stone server?

Een aanvaller compromitteert eerst een of meer servers op het internet, vaak systemen met bekende kwetsbaarheden, standaardwachtwoorden of verouderde software. Vervolgens logt de aanvaller in op de eerste server via SSH, Telnet of een ander remote access-protocol en maakt van daaruit verbinding met de volgende server in de keten. Dit proces herhaalt zich totdat de aanvaller het uiteindelijke doelwit bereikt via een keten die soms drie tot tien of meer tussenstations omvat.

Het doelwitsysteem ziet alleen het verkeer van de laatste stepping stone in de keten, niet de werkelijke aanvaller. Elke tussenstap voegt een laag van anonimiteit toe en maakt forensisch onderzoek complexer. De aanvaller kan bovendien logbestanden op de stepping stones wissen, versleutelde verbindingen gebruiken en timing-manipulatie toepassen om zijn sporen extra te verbergen. Het resultaat is dat zelfs met medewerking van alle betrokken partijen het traceren van de aanvaller een tijdrovend en vaak onmogelijk proces is.

Naast traditionele servers worden ook proxyservers, VPN-diensten, gehackte IoT-apparaten en cloudinstanties ingezet als stepping stones. De opkomst van cloudcomputing heeft dit nog eenvoudiger gemaakt: aanvallers huren kortstondig virtuele servers bij cloudproviders met gestolen creditcards of cryptocurrency, gebruiken ze als stepping stone en laten ze weer verdwijnen voordat de provider het misbruik detecteert.

Botnets automatiseren dit proces op grote schaal. Duizenden gecompromitteerde systemen fungeren als beschikbare stepping stones die dynamisch worden ingezet. De aanvaller selecteert voor elke aanval een andere keten, waardoor patronen moeilijk te herkennen zijn en IP-blokkering weinig effectief is tegen de onderliggende dreiging.

Wanneer heb je stepping stone-detectie nodig?

Stepping stone-detectie is relevant voor elke organisatie die een aantrekkelijk doelwit vormt voor gerichte aanvallen. Als je netwerk wordt gebruikt als stepping stone zonder dat je het doorhebt, loop je niet alleen het risico op dataverlies maar ook op aansprakelijkheid. Je infrastructuur wordt dan immers gebruikt om andere organisaties aan te vallen, en onder NIS2 ben je medeverantwoordelijk voor de beveiliging van je systemen tegen misbruik door derden.

Organisaties in vitale sectoren zoals energie, financien, overheid en gezondheidszorg lopen extra risico. Onder NIS2 ben je verplicht om je netwerk te monitoren op misbruik, inclusief gebruik als stepping stone. Detectie vereist geavanceerde netwerkmonitoring die verkeerspatronen analyseert en correlaties legt tussen inkomende en uitgaande verbindingen.

Stepping stone-detectie (SSD) is een actief onderzoeksgebied binnen cybersecurity. Onderzoekers ontwikkelen methodes die verkeerspatronen analyseren, zoals timing-gebaseerde correlatie en pakketgrootte-analyse, om kettingen van verbindingen te identificeren die wijzen op stepping stone-gebruik. Deze technieken worden steeds vaker geintegreerd in IDS- en SIEM-systemen om automatische detectie mogelijk te maken.

Let op dat stepping stone-gebruik niet altijd kwaadaardig is. Systeembeheerders loggen soms via meerdere servers in om remote systemen te bereiken. VPN-cascades worden gebruikt voor privacydoeleinden. De uitdaging voor detectiesystemen is het onderscheiden van legitiem en kwaadaardig gebruik van intermediaire systemen.

Geopolitieke spanningen maken stepping stone-aanvallen bijzonder relevant voor Nederlandse organisaties. Door staten gesponsorde APT-groepen routeren hun aanvallen via servers in meerdere landen om jurisdictionele barrieres te creeren voor opsporingsinstanties. Een aanval die via servers in vijf verschillende landen loopt, vereist internationale samenwerking tussen politie- en justitieautoriteiten in elk van die landen, wat het onderzoek maanden tot jaren kan vertragen. Het Nationaal Cyber Security Centrum waarschuwt dat deze techniek steeds vaker wordt ingezet tegen Nederlandse organisaties in vitale sectoren zoals energie, water en financien.

Cloud-infrastructuur heeft het stepping stone-landschap fundamenteel veranderd. Aanvallers huren virtuele servers bij grote cloudproviders met gestolen betaalgegevens, gebruiken ze als relay-punt voor een enkele aanvalssessie en laten ze weer verdwijnen voordat de provider het misbruik detecteert. De korte levensduur van deze instances maakt forensisch onderzoek bijzonder uitdagend, omdat digitaal bewijsmateriaal verdwijnt zodra de instance wordt beeindigd en de bijbehorende opslag wordt vrijgegeven door de cloudprovider.

Voordelen en beperkingen van stepping stone-detectie

Het grootste voordeel van stepping stone-detectie is dat het je in staat stelt om aanvallen te traceren voorbij de directe bron. In plaats van alleen te zien welk IP-adres je aanvalt, kun je de hele keten in kaart brengen en de werkelijke aanvaller identificeren. Dit is essentieel voor incidentrespons en samenwerking met opsporingsinstanties die grensoverschrijdende cyberaanvallen onderzoeken.

Daarnaast helpt detectie bij het identificeren van gecompromitteerde systemen in je eigen netwerk. Als een van je servers als stepping stone wordt misbruikt, wil je dat zo snel mogelijk weten. Vroege detectie voorkomt dat je infrastructuur wordt gebruikt voor aanvallen op derden en beperkt de juridische en reputatierisico's.

De beperkingen zijn aanzienlijk. Aanvallers gebruiken encryptie, timing-manipulatie en traffic padding om detectie te bemoeilijken. Bij langere ketens neemt de detectienauwkeurigheid af. Bovendien genereren detectiesystemen false positives bij legitiem gebruik van proxyketens en VPN-cascades. De technologie vereist daarom gespecialiseerde kennis en zorgvuldige afstemming op je specifieke netwerkomgeving.

Voorkom dat je eigen systemen als stepping stone worden misbruikt door ze goed te patchen, sterke authenticatie te implementeren en uitgangsverkeer te monitoren. Ongebruikelijke uitgaande SSH-verbindingen of onverwacht hoge bandbreedte naar onbekende bestemmingen zijn rode vlaggen die wijzen op mogelijk misbruik als stepping stone. Implementeer netwerksegmentatie zodat een gecompromitteerd systeem niet als springplank kan dienen naar andere delen van je netwerk.

Veelgestelde vragen over stepping stone server

Hoe herken je dat je server als stepping stone wordt misbruikt?

Let op ongebruikelijke inkomende en uitgaande verbindingen, vooral SSH-sessies naar onbekende IP-adressen. Onverklaarbaar hoog netwerkverkeer, onbekende processen en verdachte cronjobs zijn ook indicatoren. Structurele monitoring van uitgangsverkeer maakt deze patronen zichtbaar.

Wat is het verschil tussen een stepping stone en een proxy?

Een proxy is een legitieme dienst die verkeer doorstuurt namens de gebruiker. Een stepping stone is een gecompromitteerd systeem dat zonder medeweten van de eigenaar wordt misbruikt als tussenstation. Proxyservers kunnen echter ook als stepping stone worden ingezet door aanvallers.

Kunnen aanvallers stepping stones automatiseren?

Ja. Botnets automatiseren het compromitteren en inzetten van stepping stones op grote schaal. Aanvallers gebruiken scripts die automatisch kwetsbare systemen scannen, compromitteren en configureren als relay-punten. Hierdoor kunnen ze snel schakelen tussen verschillende ketens.

Hoe bescherm je je server tegen misbruik als stepping stone?

Houd software up-to-date, gebruik sterke authenticatie en MFA, beperk onnodige open poorten, monitor uitgangsverkeer en implementeer netwerksegmentatie. Regelmatige vulnerability scans helpen kwetsbaarheden te identificeren voordat aanvallers ze vinden en misbruiken.

Hoeveel stepping stones gebruiken aanvallers gemiddeld?

Dit varieert sterk. Eenvoudige aanvallen gebruiken een tot drie stepping stones. Geavanceerde APT-groepen gebruiken soms tien of meer, verspreid over meerdere landen, om tracering te bemoeilijken en jurisdictionele barrieres te creeren voor opsporingsinstanties.

Bescherm je infrastructuur tegen misbruik. Vergelijk Incident Response Services aanbieders op IBgidsNL.