Wat worden dit jaar de grootste beveiligingsdreigingen voor netwerkinfrastructuren en datacenters en hoe kun je je daartegen beschermen? Malvertiseres gaan infiltreren in advertentienetwerken, DDoS-aanvallen worden groter, veilige infrastructuren zijn niet meer te vertrouwen, internet of things (IoT) brengt nieuwe beveiligingsrisico's en posw-systemen komen onder vuur te liggen.
1. Malvertisers infiltreren in advertentienetwerken
Cybercriminelen hebben een snelle en effectieve manier gevonden om miljoenen gebruikers te infecteren, namelijk malvertising. Oftewel het verspreiden van software voor criminele doeleinden via populaire online advertentienetwerken.
Omdat die advertenties door ‘vertrouwde’ websites worden gehost en de inhoud ervan constant verandert, is het voor traditionele security tools die met ‘black lists’ werken moeilijk om meegestuurde malware tegen te houden. Die malware kan daardoor de apparatuur van gebruikers infiltreren, zonder dat zij zich daarvan bewust zijn.
In 2015 gaan malvertisers gebruik maken van bekende netwerkingangen, zoals Dynamic DNS en technieken om sandboxes te ontwijken. Om deze vorm van malware infecties te voorkomen moeten organisaties anti-malware software installeren op alle gebruikersapparatuur om de daarop gebruikte browsers te monitoren. Of een geavanceerde beveiligingsoplossing implementeren die malware in het webverkeer kan detecteren. Omdat veel webgebaseerde advertenties tegenwoordig via een ssl-verbinding worden getoond, is het uiteraard ook nodig om dat verkeer te kunnen decrypten en te inspecteren.
2. Steeds grotere DDoS aanvallen
De afgelopen twee jaar hebben cybercriminelen dns- en ntp-servers gebruikt om de omvang van hun DDoS-aanvallen te vergroten. Bij dit soort aanvallen stuurt de cybercrimineel misleidende servicevragen naar een ontvanger, meestal een server, die reageert met responses. Door snelle vermenigvuldiging van die interacties raakt vervolgens het netwerk overbelast. Via dns-amplification zijn DDoS-aanvallen tot een factor 54 te vergroten en via ntp-amplification zelfs tot 556 keer. Verder kunnen de criminelen en hackers ook nog snmp en Netbios-protocollen misbruiken om hun aanval te versterken.
Tussen 2011 en 2013 groeide de gemiddelde omvang van DDoS-aanvallen volgens een onderzoek door Verizon uit 2014 van zo’n 4,7 naar 10 Gbps. Veel grote DDoS-aanvallen van de laatste tijd worden uitgevoerd via de hiervoor beschreven vergrotingstechnieken, met op 12 februari jongstleden een piekbelasting van 400 Gbps. Ondertussen ontdekken en gebruiken cybercriminelen weer nieuwe aanvallen, zoals de recent ontdekte dvmrp-gebaseerde reflectieaanvallen. Om je tegen deze bedreigingen te verdedigen, is het verstandig beveiligingsapparatuur te installeren die razendsnel kan opschalen en geoptimaliseerd is voor het tegenhouden van grote DDoS-aanvallen.
3. Traditioneel veilige infrastructuren zijn niet meer te vertrouwen
Virtual desktop infrastructuur (vdi) biedt organisaties de mogelijkheid om desktopomgevingen te hosten op servers. Dan kunnen hun medewerkers daar op elke gewenste locatie en tijdstip gebruik van maken. Verder biedt vdi in vergelijking met traditionele desktops de voordelen van lagere hardware en beheerkosten, ondersteuning van bring your own device (byod) beleid en extra beveiliging. Omdat alle data bij vdi op één centrale locatie wordt bewaard, in plaats van op gedistribueerde apparatuur, verkleint vdi ook de kans op datadiefstal.
In de praktijk worden meerdere desktops met hetzelfde operating systeem en applicaties op één fysieke server gehost. Als die echter niet goed worden geïsoleerd, kan een aanvaller met een rootkit meerdere desktops overnemen. Zeker bij een grote mate van uniformiteit kunnen cybercriminelen op die manier vrij eenvoudig duizenden desktops bij hun aanval betrekken.
In 2015 verwachten wij meer brute en creatieve pogingen op virtuele desktops. Om vdi-omgevingen beter te beveiligen, zeker als ze in de cloud worden gehost, is het aan te raden om virtuele omgevingen meer van elkaar te isoleren. Maar ook de datatransmissie er naartoe beter beveiligen, anti-malware software installeren en continu monitoren of er niet wordt ingebroken.
4. Internet of things brengt nieuwe beveiligingsrisico’s
De komende jaren gaat het internet of things (IoT) onze levens vereenvoudigen en ook op industrieel terrein doorbreken. Zonder afdoende maatregelen ontstaan daardoor echter nieuwe beveiligingsrisico’s. Hoewel het IoT nog niet zo groot is, groeit het aantal met internet verbonden apparaten snel en dus ook het aantal mogelijke inbraakpunten voor cybercriminelen. Het IoT brengt drie risico’s met zich mee:
- Aanvallers gaan brute rekenkracht of kennis van standaardinstellingen gebruiken om toegang te krijgen tot IoT-apparatuur, of de cloudinfrastructuur waarop alle data wordt opgeslagen.
- Malware infiltraties van high-end IoT apparaten, zoals smarttv’s die op Android draaien en toegang hebben tot app stores.
- Malware infiltraties van de pc’s, laptops en tablets die worden gebruikt om IoT-camera’s en domotica te bedienen.
Om de risico’s verbonden aan IoT-apparatuur te verkleinen, moeten zowel consumenten als bedrijven in de gaten houden hoe de toegang tot hun apparatuur en gevoelige data is ingesteld. Verder is het uiteraard verstandig geen onbekende software te installeren en sterke wachtwoorden te gebruiken.
5. POS-systemen komen onder vuur te liggen
Retailers zijn in 2013 en 2014 herhaaldelijk aangevallen met het doel betaalgegevens van klanten te ontfutselen. Dat gebeurt onder andere door malware te installeren op zogenaamde ‘point-of-sale’ (pos)-systemen en -apparatuur. Ook daarbij worden diverse technieken gebruikt, zoals brute rekenkracht en onvoldoende beveiligde ingangen in de bijbehorende updatetools en managementsoftware.
Via hun malware kopiëren cybercriminelen de creditcardnummers en cvv’s uit het systeemgeheugen. Geavanceerde malware kan zelfs alle communicatie tussen pos-apparatuur en de managementconsole onderscheppen. De transitie naar chipgebaseerde smartcards maakt het al wel moeilijker om informatie te stelen, maar volstaat niet. Organisaties kunnen pos-systemen beter beveiligen via white-listing, code-signing en technieken die het klantgedrag analyseren en door zowel te controleren wie toegang heeft tot de pos-terminals, als met geavanceerde beveiligingsoplossingen continu te monitoren op verdacht gedrag.
Omdat professionele malware zoals eerder vermeld via ssl kan communiceren, is het verstandig om daarvoor een oplossing te kiezen die tevens ssl-verkeer kan encrypten en inspecteren.
