Vandaag de dag stelen criminelen niet alleen geld en informatie, ze verstoren ook nog eens de gemoedsrust van je klanten. Vroeger vormden aanvallen van hackers op ict-systemen nog louter een probleem voor grote ondernemingen. Maar nu steeds meer banken, winkelketens en zelfs de lokale supermarkt uitgroeien tot doelwit van cybercriminelen, komen het geld en de persoonlijke gegevens van consumenten nog verder in gevaar. Er is echter niet alleen maar negatief nieuws te melden. Het is ook mogelijk om een groot deel van de cyberaanvallen te voorkomen.
Een van de belangrijkste redenen voor de groei van cybercriminaliteit is de toenemende betrokkenheid van de georganiseerde misdaad. Wellicht heb je recentelijk gelezen over Oost-Europese criminele organisaties die met behulp van een computervirus de rekeningen wisten te plunderen van klanten van banken die aan internetbankieren deden. Of over phishing-trucs in Zuid-Oost Azië waarbij computergebruikers werden overgehaald om hun bankrekeninggegevens prijs te geven aan mensen die zich uitgaven voor medewerkers van de belastingdienst. En herinnert u zich nog Albert Gonzalez? Hij en zijn handlangers stalen van 2005 tot en met 2007 de gegevens van maar liefst 130 miljoen eigenaars van creditcards en bankpasjes door een van de grootste gegevenslekken te veroorzaken die ooit is gerapporteerd. Nu televisies met internetverbindingen worden uitgerust en permanente mobiele verbindingen een vast onderdeel worden van ons dagelijks leven, zullen de kansen voor cybercriminelen waarschijnlijk exponentieel toenemen.
Het zal geen verbazing wekken dat criminelen het op financiële instellingen hebben gemunt. Het stelen van digitaal geld uit informatiesystemen is niets anders dan een moderne vorm van een bankroof. Financiële instellingen bewaren enorme hoeveelheden gevoelige consumentengegevens gedurende aanzienlijk lange perioden. Deze gegevens kunnen door criminelen worden misbruikt voor eigen gewin.
Branches die voor hun dagelijkse bedrijfsvoering afhankelijk zijn van het gebruik van Point of Sale (PoS)-systemen en pasgegevens, zoals winkels, restaurants en hotels, vormen eveneens populaire doelwitten voor cybercriminelen. Ze bieden cybercriminelen namelijk een eenvoudige gelegenheid om informatie in cash om te zetten. Persoonlijke informatie en bankrekeninggegevens zijn een van de meest eenvoudig te misbruiken soorten gegevens.
Volgens het ‘2010 Verizon Data Breach Investigations Report' (DBIR) prijkten persoonlijke informatie en bankrekeninggegevens zelfs bovenaan de lijst van vaakst misbruikte gegevenstypen. Dit onderzoeksrapport is gebaseerd op een unieke samenwerking. Hiervoor wordt gebruikgemaakt van informatie die Verizon heeft verzameld op basis van eigen onderzoek naar beveiligingsincidenten en gegevens over honderden gevallen van cybercriminaliteit die door de Amerikaanse Secret Service werden verzameld. Het onderzoek beslaat momenteel een periode van zes jaar, meer dan negenhonderd onderzochte incidenten en meer dan negenhonderd miljoen gestolen gegevensrecords.
Hoewel zowel cybercriminelen als aanbieders van beveiligingsoplossingen voortdurend proberen om elkaar te slim af te zijn, bestaat er geen twijfel over dat de ict-branche erin is geslaagd om zijn verdedigingen de afgelopen tijd op bemoedigende wijze te verbeteren. In onze onderzoeksrapporten komt natuurlijk slechts het topje van de ijsberg aan bod. Desondanks bieden de resultaten van ons onderzoek inzicht in de huidige werkwijze van cybercriminelen, en meer in het bijzonder wat ze precies stelen en hoe ze dat precies doen.
Bedreigingen – malware
Uit de gegevens van het DBIR bleek dat 70 procent van alle gegevenslekken werd veroorzaakt door aanvallen van buitenaf. Het onderzoeksrapport beschrijft welke handelingen de cybercriminelen moesten uitvoeren om het gegevenslek te veroorzaken. Vaak gebruikte methoden zijn onder meer malware, hacken en sociale tactieken (babbeltrucs). Volgens ons rapport worden veel omvangrijke gegevenslekken veroorzaakt door cybercriminelen die zich een weg door het bedrijfsnetwerk van het doelwit hacken (vaak door misbruik te maken van een kwetsbaarheid in de beveiliging) en malware op computers installeren die de gezochte informatie voor hen verzamelt.
Malware omvat software of programmeercode die speciaal is ontwikkeld om informatieactiva te stelen of er schade aan te berokkenen. Een van de meest gebruikte en schadelijke methoden om computers met malware te besmetten is het gebruik van SLQ-injectie door aanvallers op afstand. De besmetting met malware kan ook plaatsvinden nadat een hacker toegang op root-niveau heeft verkregen. Wat beide aanvalsmethodes zo problematisch maakt, is dat ze detectie door antivirussoftware weten te omzeilen.
Internet is een steeds populairder doelwit voor makers van malware, en wel om de simpele reden dat het de plek is waar mensen hun zakelijke en privélevens rond concentreren. En het aantal kwetsbaarheden neemt alleen maar toe als gevolg van browsers met te lage beveiligingsinstellingen, gebruikers die te goed van vertrouwen zijn en computers waarop standaard de beheerderrechten zijn geactiveerd. Bovendien worden cybercriminelen steeds sneller en vindingrijker in het ontwikkelen van methoden om gegevens te stelen.
Wanneer malware erin slaagt om gevoelige informatie te verzamelen, moet het deze gegevens ook nog eens uit de omgeving van het slachtoffer vandaan zien te krijgen. Dit gebeurt op twee manieren: de malware verzendt de gegevens naar een externe locatie, of de aanvaller verschaft zich opnieuw toegang tot het netwerk om de gegevens persoonlijk op te halen. Nog belangrijker is het feit dat er malware in alle soorten en maten in omloop is. Sommige malware omvat bestaande malware die in een ander jasje is verpakt om detectie door antivirusoplossingen te omzeilen. Andere malware is weer gebaseerd op volledig nieuwe programmeercode.
Het is altijd moeilijk om bewijs voor kwaardaardige opzet te vinden. Hiervoor moet naar de juiste aanwijzingen op de juiste plaats gezocht worden. Dit houdt in dat je in de gaten moet houden wat er allemaal naar binnen komt op je computer en wat er weer naar buiten gaat. Als je bijvoorbeeld geen klanten in Oost-Europa hebt, maar merkt dat er periodiek gegevensverkeer naar deze contreien wordt verzonden, is het zaak om op je hoede te zijn. En hoe zit het met die ZIP- of RAR-bestanden die vorige week plotseling als bijlagen bij e-mailberichten opdoken en sindsdien gestaag in aantal zijn gegroeid? Misschien is er niets aan de hand, maar het is zeker iets om te controleren.
Bedreigingen – hackers
Als we het over aanvallen van hackers hebben, hebben we het in wezen over alle pogingen om gegevens te bemachtigen of informatieactiva te beschadigen door logische beveiligingsmechanismen te omzeilen. Hacken is de op een na populairste methode van cybercriminelen omdat het hen tal van handige voordelen oplevert, waarbij waarschijnlijk het belangrijke voordeel is dat dit op afstand en op anonieme wijze kan worden gedaan. Hoewel voor hacken rechtstreekse interactie of fysieke nabijheid is vereist, zijn er tal van tools beschikbaar die gebruikt kunnen worden om het tempo van deze aanvallen te versnellen.
Het misbruiken van gestolen aanmeldingsgegevens is de populairste methode van hackers. Dit biedt hen tal van voordelen, en niet in de laatste plaats het vermogen om zichzelf als legitieme gebruiker voor te doen. Bovendien wordt het op deze manier veel eenvoudiger voor hackers om eventuele sporen uit te wissen wanneer zij er met de gegevens van het slachtoffer vandoor gaan.
Bedreigingen – sociale tactieken
De nummer drie onder de meest populaire methoden van hackers is het gebruik van sociale tactieken. Hierbij maken ze gebruik van misleiding, manipulatie en intimidatie om mensen voor hun karretje te spannen. Deze methoden worden vaak gebruikt in combinatie met andere aanvalstechnieken, zoals malware die zich voordoet als antivirussoftware.
De afgelopen achttien maanden hebben we een explosieve toename bemerkt van het aantal incidenten waarbij gebruik werd gemaakt van sociale tactieken. Vaak gebruikte tactieken zijn phishing en babbeltrucs. E-mail vormt nog altijd het favoriete medium voor dergelijke aanvalspogingen. Cybercriminelen hanteren echter ook graag een ‘persoonlijke touch' door de telefoon te gebruiken of zelfs persoonlijk met de slachtoffers in contact te treden om de informatie los te peuteren die ze nodig hebben.
De beveiliging van sociale netwerktoepassingen vormt steeds vaker het onderwerp van discussie. Desondanks blijken sociale netwerken in onze onderzoeksgegevens geen prominente rol te spelen – nog niet tenminste!
Maatregelen treffen
Hoewel de resultaten van bevindingen van het DBIR met de tijd veranderen, is er zelden sprake van volledig nieuwe of onverwachte ontwikkelingen. Hieronder volgen een aantal simpele, doch niet altijd even voor de hand liggende maatregelen die je kunt treffen om jouw organisatie te beschermen tegen cyberaanvallen:
Beperk het aantal gebruikers met speciale rechten en bewaak de activiteiten van deze gebruikers. Het is vaak moeilijk om de activiteiten van interne medewerkers te controleren, zeker als het gaat om personen die over een groot aantal toegangsrechten beschikken. De beste strategie is om werknemers in vertrouwen te nemen, maar personeel eerst te screenen voordat ze in dienst treden. Je moet hun gebruikersrechten beperken en verantwoordelijkheden scheiden. De activiteiten van gebruikers met speciale rechten moeten worden gelogd, en er moet periodiek verslag aan het management worden uitgebracht met betrekking tot de activiteiten van deze gebruikers. Zodra er sprake is van onbeoogd gebruik van speciale toegangsrechten, zouden er waarschuwingen moeten worden getriggered die vervolgens onderzocht moeten worden.
Wees beducht op ‘kleine' overtredingen van het beveiligingsbeleid: Om bij het onderwerp van insiders te blijven: in eerdere artikelen hebben we het gehad over een verband tussen 'kleine' overtredingen van het beveiligingsbeleid en ernstiger gevallen van misbruik. Je zou dit de ‘ingeslagen raam'-theorie van cybercriminaliteit kunnen noemen. We raden bedrijven aan om extra aandacht te schenken aan overtredingen van het beveiligingsbeleid en daar op effectieve wijze mee om te gaan. Uit onze onderzoeksgegevens blijkt verder dat de aanwezigheid van ongeoorloofde content zoals pornografie en ongewenst gedrag goede indicators vormen voor toekomstige incidenten. Het loont zonder meer de moeite om op proactieve wijze naar dergelijke indicators te zoeken in plaats van af te wachten totdat er zich een incident voordoet.
Tref maatregelen ter voorkoming van misbruik van gestolen aanmeldingsgegevens: Diefstal van aanmeldingsgegevens vormde in 2009 de populairste methode van cybercriminelen om toegang tot bedrijfsnetwerken te verkrijgen. Of dit nu wijst op een tijdelijke opleving of een permanente trend is minder belangrijk. Het is duidelijk de moeite waard om op dit gebied preventieve maatregelen te treffen. Je eerste prioriteit moet zijn om de computers te vrijwaren van malware die aanmeldingsgegevens verzamelt. Maak waar mogelijk gebruik van ‘two factor'-authenticatie. Leg waar nodig beperkingen op aan de gebruikerstijd, stel een zwarte lijst van ip-adressen op (denk er eens over na om adrestrajecten/regio's te blokkeren die geen legitiem zakelijk doel hebben) en beperk het aantal beheerverbindingen (tot speciale interne medewerkers). Andere doeltreffende methoden zijn het gebruik van een ‘laatste aanmelding'-banner en het aansporen van gebruikers om wachtwoorden te wijzigen en aan de bel te trekken wanneer zij het vermoeden hebben dat iemand anders hun aanmeldingsgegevens gebruikt.
Bewaak en filter al het uitgaande verkeer: De meeste bedrijven hebben reeds afdoende maatregelen getroffen om het inkomende internetverkeer te filteren. Dit is waarschijnlijk te wijten aan het (juiste) inzicht dat er veel zaken en personen buiten de organisatie aanwezig zijn die men graag buiten wil houden. Wat veel bedrijven echter vergeten, is dat er ook binnen de organisatie sprake is van veel zaken die ze liever niet naar buiten zien verdwijnen. Het filteren van het uitgaande verkeer krijgt nog niet de helft van de aandacht die aan zijn tegenhanger wordt besteed. Volgens onze onderzoeksresultaten is hier echter wel goede aanleiding voor. Bij veel incidenten was er sprake van een reeks van gebeurtenissen waarbij iets het bedrijfsnetwerk verliet (gegevens, communicatie met de buitenwereld, uitgaande verbindingen). Indien men had kunnen voorkomen dat dit ‘iets' de organisatie verliet, had men de aanvalsketen kunnen verbreken en was het mogelijk geweest om de poging tot gegevensdiefstal te verijdelen. Met een effectieve bewaking, analyse en controle van het uitgaande verkeer kunnen bedrijven hun kansen om aanvalspogingen af te slaan aanzienlijk vergroten.
Hanteer een andere aanpak voor de bewaking van gebeurtenissen en analyse van logbestanden: De noodzaak voor deze maatregel blijkt wel uit een snelle analyse van de onderzoeksresultaten.
1) Bij de meeste incidenten had het slachtoffer minimaal een paar dagen de tijd om de aanvalspoging te ontdekken en verijdelen;
2) Het duurt lang voordat gegevenslekken worden ontdekt;
3) Wanneer dit eenmaal gebeurt, is het vaak niet de organisatie zelf die dit ontdekt;
4) Vrijwel alle slachtoffers beschikken over logbestanden die het bewijs voor het incident bevatten.
Verdedigingslinies
Hiermee wordt duidelijk dat bedrijven een aantal maatregelen zullen moeten treffen. Ten eerste moet niet alles worden ingezet op real-time bewaking. IDS/IPS mag niet de enige verdedigingslinie zijn. Trek de nodige tijd uit om ervoor te zorgen dat logbestanden voortaan op grondiger wijze worden verwerkt en geanalyseerd. Concentreer je vervolgens op voor de hand liggende maatregelen in plaats van kleine details. Overigens hoeft dit geen kostbare exercitie te zijn. Het kan al voldoende zijn om een simpel script te schrijven dat het aantal regels in logbestanden telt of de omvang van logbestanden bewaakt en een waarschuwing afgeeft zodra een drempelwaarde wordt overschreden. Zorg ervoor dat je over voldoende mensen, de juiste tools en/of afdoende processen beschikt om onregelmatigheden te detecteren en daarop te reageren. Naar onze mening zal deze aanpak de nodige voordelen opleveren en bovendien tijd, inspanning en geld besparen.
Wissel informatie over incidenten uit: Naar onze mening biedt het DBIR-rapport het bewijs van het feit dat je deze maatregelen op verantwoordelijke, veilige en effectieve wijze kunt treffen. Wij geloven dat het succes van beveiligingsprogramma's afhankelijk is van de methoden die ze toepassen. Deze methoden zijn afhankelijk van de beslissingen die worden gemaakt. Die beslissingen zijn op hun beurt weer afhankelijk van datgene wat als de waarheid wordt beschouwd. Deze aannames zijn afhankelijk van wat we weten, en wat we weten is gebaseerd op de informatie die beschikbaar is. De beschikbaarheid van informatie is afhankelijk van mensen die bereid zijn om deze informatie te verzamelen, analyseren en delen. Indien deze keten van afhankelijkheden nergens wordt verbroken, zou je kunnen zeggen dat het succes van beveiligingsprogramma's afhankelijk is van de informatie die men bereid is te delen. Dit kun je meteen als een oproep tot actie zien. Ze zullen iedereen erkentelijk zijn die aan dit proces wil deelnemen.
Geef de hoop niet op
Bedrijven moeten zich niet doodstaren op de vindingrijkheid van cybercriminelen, maar moeten zich beseffen dat er tools en middelen beschikbaar zijn om op effectieve wijze terug te vechten. Hun uitdaging bestaat erin om de juiste tools voor het juiste doel te selecteren en er vervolgens op toe te zien dat deze tools op efficiënte wijze worden ingezet om optimale resultaten te behalen.
