‘Cybercrime-as-a-Service’-infrastructuur grijpt om zich heen

0

Ofschoon prominente cyberaanvallen de media domineren, hebben de meeste bedreigingen waarmee organisaties te maken krijgen een opportunistisch karakter. Cybercriminelen hebben daartoe een uitgebreide cybercrime-as-a-service-infrastructuur tot hun beschikking. Daarop wijst cybersecurity-bedrijf Fortinet in zijn Threat Landscape Report.

Het rapport, dat elk kwartaal verschijnt, wijst op een afname van het overzicht en de grip op gedistribueerde infrastructuren bij organisaties, terwijl de aanvalsmogelijkheden groeien.

Tools in de startblokken
Moderne tools om aan te vallen en cybercrime-as-a-service-infrastructuren stellen kwaadwillende personen in staat om razendsnel en op wereldwijde schaal te opereren. Cybercriminelen zijn altijd in de aanval. Ze proberen optimaal gebruik te maken van het verrassingselement, en het liefst op internationaal niveau.

Hoe meer inzicht we verwerven in trends rond exploits (misbruik van kwetsbaarheden) en de manier waarop ransomware fungeert en wordt verspreid, des te effectiever we ons kunnen beschermen tegen de volgende WannaCry. Deze ransomware en zijn varianten wisten honderden organisaties in alle delen van de wereld gelijktijdig te treffen.

Bijna tien procent van alle organisaties detecteerde activiteiten die verband hielden met ransomware. Gemiddeld 1,2 procent bespeurde dagelijks activiteiten van ransomware-botnets binnen hun omgeving. De piekdagen voor ransomware vielen in het weekend, met het idee dat beveiligingsmedewerkers in weekenddienst geen oog zouden hebben voor kwaadaardig verkeer. Naarmate het gemiddelde verkeersvolume van uiteenlopende ransomware-botnets toenam, groeide het aantal bedrijven dat er slachtoffer van werd.

Acht op de tien organisaties maakten melding van ernstige of kritieke exploits. De meeste benutte kwetsbaarheden waren reeds vijf jaar bekend. Ook waren er vele exploits van kwetsbaarheden die reeds voor de eeuwwisseling bekend waren. Wat exploits betreft was er sprake van een tamelijk evenredige verdeling tussen geografische regio’s, waarschijnlijk omdat een groot deel van deze aanvallen volledig is geautomatiseerd: criminelen gebruiken speciale tools om te zoeken naar mogelijkheden voor opportunistische aanvallen.

Hyperconvergentie en IoT
Nu netwerken en gebruikers steeds meer informatie en bronnen delen, kunnen aanvallen zich sneller verspreiden tussen geografische regio’s en diverse sectoren. Het bestuderen van malware kan inzicht bieden in de voorbereidende fase van aanvallen en de technieken die worden gebruikt om netwerken binnen te dringen. Met name het bieden van bescherming tegen mobiele malware vormt een probleem voor organisaties. Mobiele apparaten worden niet afgeschermd binnen het bedrijfsnetwerk, worden regelmatig onbeveiligd verbonden met openbare netwerken en vormen vaak niet het bezit van de organisatie of worden daar niet door beheerd.

De verspreiding van mobiele malware bleef in het eerste kwartaal van 2017 op een stabiel peil. Circa 20% van alle organisaties detecteerde mobiele malware. In het eerste kwartaal haalden meer families van Android-malware de top 10 qua volume en verspreiding. Mobiele malware vertegenwoordigde in het eerste kwartaal 8,7% van alle malware, ten opzichte van 1,7% in het vierde kwartaal van 2016.

De verspreiding van mobiele malware nam toe in alle regio’s, met uitzondering van het Midden-Oosten. In alle gevallen was er sprake van een statistisch significant groeitempo in plaats van willekeurige variatie. In vergelijking met andere bedreigingen leek Android-malware sterkere geografische tendensen te vertonen.

Overzicht neemt af
Bedreigingstrends vormen een weerspiegeling van de omgeving waarin ze plaatsvinden. Het is daarom belangrijk om inzicht te verwerven in manier waarop informatietechnologie, diensten, controlemechanismen en gedragspatronen zich in de loop der tijd ontwikkelen. Dit kan nuttige input bieden voor de ontwikkeling van uitgebreidere beveiligingsregels en governance-modellen en maakt het mogelijk om de ontwikkeling van exploits, malware en botnets in kaart te brengen.

Het overzicht en de grip op moderne infrastructuren nemen af, terwijl het aantal aanvalsmogelijkheden binnen de steeds uitgebreidere netwerkomgevingen toeneemt. Het hoge tempo waarmee bedrijven op publieke en private clouds overstappen, de hoeveelheid en diversiteit van slimme apparaten die een verbinding maken met het netwerk en zaken als schaduw-IT beginnen beveiligingsprofessionals boven het hoofd te groeien.

Gemiddeld was de verhouding van het https-verkeer op het http-verkeer een niveau van maar liefst 55 procent. Hoewel https nuttig is voor het waarborgen van de privacy, bemoeilijkt dit ook de detectie van bedreigingen. Veel beveiligingstools bieden onvoldoende inzicht in het versleutelde communicatieverkeer. Met name organisaties met een hogere https-verhouding kunnen hierdoor ten prooi vallen aan bedreigingen die zich verschuilen in het versleutelde dataverkeer.

Organisaties maakten gemiddeld gebruik van ruim 60 cloud-applicaties: grofweg een derde van alle gedetecteerde applicaties. Het gebruik van IaaS bereikte een nieuw hoogtepunt. Een probleem voor veel organisaties is dat zij als gevolg van de overstap naar de cloud minder zicht op hun data hebben. Bovendien slaan ze steeds meer data in cloud-applicaties en -diensten op.

Een clusteranalyse per verticale markt wijst uit dat het aanvalsoppervlak voor de meeste sectoren gelijk is, met slechts een paar uitzonderingen, zoals het onderwijs en telecommmunicatie. Dit maakt het eenvoudig voor cybercriminelen om misbruik te maken van vergelijkbare aanvalsoppervlakken in diverse sectoren, zeker als ze over tools beschikken voor geautomatiseerde aanvallen.

“Het afgelopen jaar hebben breed in de pers uitgemeten beveiligingsincidenten de publieke bewustwording vergroot van het feit dat onze slimme televisies en smartphones kunnen worden gemanipuleerd om anderen toegang tot het internet te ontzeggen. Daarnaast blijkt dat cybercriminelen tegenwoordig ransomware inzetten voor het verstoren van de vitale patiëntenzorg”, zegt Phil Quade, chief information security officer bij Fortinet.

“Maar bewustwording is op zich niet voldoende. Nu steeds meer organisaties kiezen voor gebruiksvriendelijke en kostenbesparende ICT-oplossingen zoals cloud-diensten en allerhande slimme apparaten aan hun netwerk toevoegen, nemen het overzicht en de grip op de beveiliging af.”

“Ondertussen schaffen kwaadwillende personen tools voor het uitvoeren van cyberaanvallen aan op de zwarte markt en optimaliseren cybercriminelen hun bestaande tools. Beveiligingsstrategieën moeten een hogere mate van netwerksegmentatie en automatisering bieden voor het detecteren en afslaan van pogingen tot het misbruik van kwetsbaarheden in de flanken van de netwerken van bedrijven en overheidsinstellingen.”

Over het onderzoek
Het Global Threat Landscape Report is een kwartaalpublicatie gebaseerd op informatie die Fortinet-onderdeel FortiGuard Labs heeft verzameld via een scala aan netwerkapparaten en sensoren binnen productieomgevingen. Bedreigingen worden bekeken vanuit wereldwijde, regionale, branche- en bedrijfsspecifieke perspectieven. Het rapport concentreert zich op drie centrale, elkaar aanvullende aspecten van het dreigingslandschap: misbruik van kwetsbaarheden in applicaties, malware en botnets.

Felix Speulman
Hoofdredacteur van IT Executive, met een interesse die de techniek voorbij gaat, altijd op zoek naar de menselijke factor. Een kwart eeuw ervaring in alles waaraan geschreven taal te pas komt. Van huis uit historicus met een sterke oriëntatie op politiek en maatschappij. Bereikbaar via felix[at]ictmedia.nl.