Het is voor organisaties nu ‘alle hens aan dek’ om zich te verdedigen tegen cyberaanvallen. Aanvallers zijn beter geworden in het misbruiken van gaten in de beveiliging om ontdekking te voorkomen en zo met hun kwaadaardige activiteiten onder de radar te blijven. Dit blijkt uit het Cisco 2015 Annual Security Report, een onderzoek onder security officers en -managers van 1700 bedrijven in negen landen, dat informatie geeft over cybersecurity-dreigingen en -trends.
De verdedigers, te weten de securityteams, moeten voortdurend de aanpak verbeteren om hun organisaties te beschermen tegen cyberaanvallen die steeds geavanceerder worden. Dit wordt verder gecompliceerd door de geopolitieke drijfveren van de aanvallers en door conflicterende lokale wet- en regelgeving rond de bescherming en versleuteling van data en de plaats waar data zich moeten bevinden.
‘Veel organisaties hebben cybersecurity weggestopt in it-afdelingen’, zegt Fred Noordam, area manager Benelux Security bij Cisco. ‘Maar het moment is aangebroken dat iedereen binnen de organisatie moet bijdragen aan security; van de raad van bestuur tot en met de individuele gebruikers. We maakten ons zorgen over DDoS-aanvallen, nu moeten we ons ook zorgen maken over vernietiging van bedrijfsinformatie. We waren ooit bezorgd over diefstal van intellectueel eigendom, nu moeten we bezorgd zijn over uitval van bedrijfskritische diensten. Onze tegenstanders worden steeds beter in het misbruiken van kwetsbaarheden en kunnen aanvallen goed verbergen. Security moet standaard zijn ingebouwd en beschermen tegen alle mogelijke aanvallen. Dat betekent dat de technologie ook met dit doel ontworpen en gebouwd moet zijn. Ook online diensten moeten tegen aanvallen bestand zijn. Dat alles moet nu gebeuren om onze toekomst veilig te stellen. Daarvoor is leiderschap, samenwerking en verantwoordelijkheid vereist, in een mate die we in ons segment niet eerder hebben gezien.’
Aanvallers
Cybercriminelen breiden hun tactieken uit en passen hun methoden aan om aanvalscampagnes zodanig uit te voeren dat detectie en analyse moeilijker worden. De drie belangrijkste trends op dit gebied zijn snowshoe-spam, web exploits die verborgen blijven en kwaadaardige combinaties.
Bij snowshoe-spam sturen aanvallers kleine hoeveelheden spam vanaf heel veel verschillende ip-adressen om detectie te voorkomen. Zo kunnen gecompromitteerde accounts op verschillende manieren worden misbruikt. Dit wordt een populaire aanvalsmethode.
Veel gebruikte exploit kits (kant-en-klare pakketten met aanvalssoftware) worden nu in korte tijd onschadelijk gemaakt door securitybedrijven. Met als gevolg dat cybercriminelen nu minder gangbare kits gebruiken om hun aanvallen uit te voeren. Zij zien web exploits die verborgen blijven als een duurzaam ‘business-model’, want deze trekken veel minder de aandacht.
Flash en Javascript zijn van oudsher al onveilig, maar omdat de detectie en verdediging van kwetsbaarheden steeds beter worden, zijn aanvallers exploits gaan gebruiken die de zwakheden van beide combineert. Deze kwaadaardige combinaties zijn een voorbeeld van het verdelen van exploits over twee bestanden, een Flash-bestand en een Javascript-bestand, om ontdekking en blokkade door security-apparatuur moeilijker te maken. Ook de analyse met ‘reverse enigineering tools’ wordt zo bemoeilijkt.
Gebruikers
Eindgebruikers bevinden zich in een lastig parket. Zij vormen niet alleen het doelwit maar helpen de cyberaanvallers ook, zonder dat zij zich daar bewust van zijn. Het Cisco-onderzoek naar dreigingen heeft uitgewezen dat de aanvallers in de loop van 2014 hun focus gaandeweg hebben verlegd van servers en besturingssystemen naar de gebruikers op het niveau van de browser en e-mail. In 2014 hebben gebruikers door middel van malware-downloads van besmette sites bijgedragen aan een stijging van 228 procent van de aanvallen op Microsoft Silverlight en een toename van 250 procent van spam en malvertising exploits.
Verdedigers
Op dit moment ontstaat er een toenemende kloof tussen waartoe de verdedigers denken dat hun security in staat is en de werkelijkheid. Zo denkt 75 procent van de chief information security officers dat de eigen security zeer of buitengewoon effectief is. Daar staat tegenover dat minder dan de helft van de respondenten gebruikmaakt van patching en configuratie om het doorbreken van de beveiliging te voorkomen en te controleren of zij de nieuwste softwareversies gebruiken.
Heartbleed was bijvoorbeeld het afgelopen jaar een ernstige kwetsbaarheid waar zeer veel aandacht voor is geweest. Toch was van alle geïnstalleerde OpenSSL-versies bij de respondenten 56 procent meer dan vier jaar oud. Dit is een sterke aanwijzing dat securityteams niet patchen.
Hoewel veel verdedigers geloven dat zij hun processen geoptimaliseerd hebben en dat hun securitytools effectief zijn, moet hun beveiliging hoogstwaarschijnlijk worden verbeterd. Het rapport concludeert dat het hoog tijd is voor de bedrijfsleiding om een rol te spelen bij het bepalen van de beveiligingsprioriteiten en -verwachtingen.
Deze constateringen zijn al jaren geleden voorspeld en honend door critici weggelachen. En nu zijn we min of meer op het punt beland waarbij we niet meer terug kunnen.
I told you so.
Goed stuk. Sluit mooi aan bij recent onderzoek dat Canon samen met Computable gedaan heeft onder IT professionals. 60% van de geïnterviewde IT-professionals vindt dat de beveiliging van bedrijfsprocessen en informatie goed op orde is. Het advies dat security op de agenda van het C-level moet komen ondersteun ik van harte. Veel bedrijven beveiligen vertrouwelijke informatie door hun IT-systemen te beveiligen tegen externe bedreigingen zoals virussen, hackers en andere incidenten. Dit beschermt ze echter niet wanneer de vertrouwelijkheid intern geschonden wordt. En aangezien eerder onderzoek aangeeft dat 40% van kantoormedewerkers regelmatig bedrijfsgevoelige informatie onder ogen krijgt. Van techniek naar bewustwording?
Zoals penetration-testers (mensen die door een bedrijf worden ingehuurd om op het bedrijfsnetwerk in te breken en zo fouten te vinden) weten: Ze komen er _altijd_ in[1].
Dus als meer dan de helft van de IT professionals hun systemen/processen veilig vinden is meer een geval van wishful-thinking dan realiteitszin.
[1] https://www.schneier.com/crypto-gram/archives/2015/0115.html#1
Het is inderdaad wishful-thinking.
Ik heb nog geen effectief veilige infrastructuur omgeving gezien, dan wel een voldoende volwassen ICT ontwikkel en beheer organisatie. Met een goede architectuur en beheerorganisatie kun je een groot deel van de security problemen oplossen, c.q. voorkomen, tezamen met de awareness van gebruikers. Helaas is de basis van het beheer werk zoals patching nog steeds niet goed ingeregeld, dit is zeer onprofessioneel te noemen.