Netwerken zijn vaak te weinig hiërarchisch. Daardoor kunnen 'alle stations op het netwerk elkaar bereiken zonder door een intermediair te gaan, zoals een interne firewall'. Dat zegt RSA. Volgens het beveiligingsbedrijf is het één van de redenen dat ict-omgevingen van grote ondernemingen een relatief gemakkelijk doelwit zijn voor bedrijfsspionage en -sabotage. RSA raadt organisaties aan om 'netwerkzones te creëren om essentiële eigendommen te isoleren'. Ook virtualisatie en thin computing zijn volgens het beveiligingsbedrijf een methode om netwerken veiliger te maken. Daarnaast zou sommige data niet eens op het netwerk bewaard moeten worden.
'Het huidige niveau van complexiteit in ict-omgevingen maakt het voor vaardige aanvallers gemakkelijk om zich te verbergen en onbekende of ongepatchte lekken te vinden', aldus RSA. 'De ict-omgevingen van grote ondernemingen zijn invele jaren en soms zelfs decennia opgebouwd. Organisaties breiden uit, fuseren en zetten wereldomspannende aanvoerketens op. Daarbij combineren ze nieuwe en oude applicaties, verbinden netwerken en integreren hun systemen met die van leveranciers. Bovenop die complexiteit onstaan nieuwe aanvalsmogelijkheden doordat gebruikers hun eigen apparaten meenemen en gebruik maken van sociale applicaties.'
Het probleem wordt verergerd doordat netwerken van ondernemingen volgens RSA vaak te weinig hiërarchisch zijn. Daardoor kunnen 'alle stations op het netwerk elkaar bereiken zonder door een intermediair te gaan, zoals een interne firewall'. Zo'n netwerkarchitectuur is voor netwerkbeheerders weliswaar gemakkelijk te onderhouden, maar 'vergemakkelijkt het voor aanvallers om zich over het netwerk te begeven op zoek naar systemen van grote waarde'.
Beveiligingslekken onontkoombaar
Ook de enorme hoeveelheid applicaties die ondernemingen herbergen vormen een risico. 'Veel van de huidige standaard zakelijke applicaties zijn ontwikkeld in de loop van vele jaren. Ze bevatten miljoenen regels code, waardoor beveiligingslekken onontkoombaar zijn.'
Daar komt volgens RSA nog eens bij dat veel beveiligingsteams niet in staat zouden zijn om geavanceerde aanvalspatronen op het spoor te komen. 'Hun conventionele antivirus, firewall en intrusion detection systemen laten niet alle aanvallen zien. Deze tools laten misschien ongeautoriseerde toegang zien, virussen of phishing mails. Ze leggen echter geen verband tussen al die zaken.'
'Multimodale' aanvallen worden daardoor gemakkelijk over het hoofd gezien.
RSA zelf slachtoffer
Ook RSA zelf werd in maart 2011 het slachtoffer van zo'n type aanval: Een aanvaller zond phishing mails naar twee kleine groepen werknemers van het beveiligingsbedrijf. Eén van hen opende een bijgevoegd Excel-bestand. In het werkblad was Adobe Flash-bestand ingebed, dat misbruik maakte van een zero-day kwetsbaarheid. Zo werd een achterdeur geopend, waarlangs een tool voor beheer op afstand werd binnengesmokkeld.
Bij deze inbraak werd informatie ontvreemd over de SecurID-authenticatieproducten van RSA. De cyberaanval heeft moederbedrijf EMC tot nog toe 66 miljoen dollar gekost.
Haal data van het netwerk af
Omdat het volgens RSA onontkoombaar is geworden dat hackers de netwerken van organisaties binnendringen, raadt het beveiligingsbedrijf ondernemingen aan hun beveiligingsstrategieën aan te passen. Zo moet beveiliging primair gericht zijn op data, in plaats van op de randen van het netwerk. Daarbij is het volgens RSA slimmer om niet alle data te willen beschermen, maar te concentreren op de beveiliging van een aantal kroonjuwelen.
RSA adviseert organisaties om 'netwerkzones te creëren om essentiële eigendommen te isoleren'. Ook virtualisatie en thin client computing zijn volgens het beveiligingsbedrijf een methode om netwerken veiliger te maken. Het minder gebruik maken van het netwerk is een andere oplossing: 'Overweeg, afhankelijk van de waarde of gevoeligheid van de informatie, om bepaalde gegevens van het netwerk af te halen.'
Advanced Persistent Threats (APT)
RSA betoogt dat 'geavanceerde en aanhoudende aanvallen' inmiddels de gewoonste zaak van de wereld zijn geworden. RSA heeft het hier over 'Advanced Persistent Threats (APT). Dat zijn aanvallen die zijn toegespitst op één specifieke organisatie. Ze gebeuren na uitgebreid vooronderzoek en op basis van een ruim budget. Het doel ervan is het verkrijgen van vertrouwelijke informatie of het in de war sturen van kritieke systemen.
Een voorbeeld van zo'n APT is operatie Shady Rat, waarbij intellectuele eigendommen werden ontvreemd van 72 organisaties in de loop van jaren vanaf één commando- en controleserver. McAfee, die de grootschalige inbraak bekend maakte, noemt de Verenigde Naties één van de slachtoffers.
Ook RSA meldt een dramatische stijging van het aantal APT's: de laatste achttien maanden zouden tientallen grote organisaties binnen allerlei industrietakken het slachtoffer geweest van APT's. RSA denkt dat dat nog maar de top van de ijsberg is. 'Ondernemingen en overheidsorganisaties schrikken ervoor terug om toe te geven dat ze schade hebben geleden.'
