Wereldwijd staan banken en de financiële sector onder druk. Niet door een financiële crisis dit keer, maar door overvallen. Digitale overvallen welteverstaan. Sinds de digitale bankroof in Bangladesh in februari, zijn er nog twee aanvallen geweest op het Swift-systeem (Society for Worldwide Interbank Financial Telecommunication). Bij de meest recente werd zelfs twaalf miljoen dollar gestolen van een Ecuadoriaanse bank.
Al deze aanvallen waren tweeledig. De eerste stap is het installeren van malware om te voorkomen dat werknemers de frauduleuze transacties ontdekken; stap twee bestaat uit het verkrijgen van authentieke Swift-gegevens voor het uitsturen van de frauduleuze aanvragen.
Het zijn niet de schaal of de ernst van deze aanvallen waar we ons zorgen om moeten maken; juist de manier waarop deze aanvallen plaatsvonden en toch onopgemerkt bleven is verontrustend. Zo werd de bankoverval op de centrale bank van Bangladesh pas ontdekt toen werknemers een printfout opmerkten.
Nu cybercriminelen nieuwe methoden gebruiken om traditionele security te omzeilen, is het aantal aanvallen op basis van gestolen gegevens de laatste jaren explosief toegenomen. Het is dan ook niet verrassend dat het meest recente Data Breach Investigations Report van Verizon uitwees dat gestolen gegevens de laatste twee jaar de nummer één aanvalsvector was voor webapplicaties.
Ingewikkeld
Iedere organisatie kan slachtoffer worden van gegevensfraude. Toch is het vooral de financiële industrie die doelwit is van hackers, gezien de grote hoeveelheden geld en confidentiële financiële informatie die in banken omgaan. Het grote probleem is dat de financiële sector vanwege het grote formaat enorm verzuild is en bestaat uit veel verschillende segmenten, banken en landen die nooit met elkaar te maken hebben. Ook wordt er gebruikgemaakt van legacy-systemen die niet goed met elkaar samenwerken. En dat maakt een alomtegenwoordig securityprogramma dat belangrijke assets volledig beschermt ingewikkeld.
Helaas betekent het huidige dreigingslandschap dat hackers toegang zullen krijgen – dat is onvermijdelijk geworden. Maar, in tegenstelling tot de Swift-case, kunnen ze worden tegengehouden voordat er daadwerkelijk schade optreedt. Organisaties moeten cybersecurity op een andere manier aanpakken; in plaats van de criminelen proberen buiten te houden, moeten ze zich richten op het verkorten van de tijd die het kost om dreigingen te bepalen en erop te reageren. Perimetertools spelen uiteraard nog een grote rol in het beschermen tegen dreigingen van buitenaf, maar nu steeds meer aanvallen van binnenuit komen – via een malafide insider of vanwege ongeautoriseerd gebruik van gegevens – hebben bedrijven inzicht nodig in verdacht gedrag of afwijkende activiteiten die, op het eerste oog, normaal lijken te zijn.
Daarom wordt gedragsanalyse (ofwel user behavior analytics) zo belangrijk. Gedragsanalyse waarschuwt het bedrijf wanneer een werknemer afwijkend gedrag vertoont of wanneer legitieme gegevens op een ongebruikelijke manier gebruikt worden – bijvoorbeeld wanneer iemand inlogt vanaf twee verschillende locaties of wanneer een individu een abnormaal hoog geldbedrag overboekt. Het is nog belangrijker om een reeks van onschuldig ogende- maar toch ongebruikelijke gedragingen in verhouding tot elkaar te kunnen herkennen (correleren) en daar automatisch op gewezen te kunnen worden.
Inbraakdetectie is lange tijd alleen gericht geweest op virussen, malware en kwetsbaarheden waar misbruik van gemaakt kan worden. Maar het dreigingslandschap is sterk aan het veranderen. De technologie ontwikkelt zich, aanvallers zijn creatiever geworden, en hun strategieën zijn steeds meer gebaseerd op het gebruik van gestolen gegevens. Om malware te creëren en te weten hoe kwetsbaarheden te vinden en misbruiken zijn, zijn kennis en vaardigheden nodig. Gestolen gegevens daarentegen zijn gemakkelijk te krijgen, via spear phishing bijvoorbeeld, of door ze simpelweg te kopen op het zwarte darknet. Zo werden onlangs nog honderdduizenden gebruikersnamen en wachtwoorden van LinkedIn- en Tumblr-gebruikers online aangeboden.
Bedrijven moeten meer doen
Natuurlijk moet antivirussoftware up-to-date zijn en zijn firewalls heel belangrijk, maar bedrijven moeten méér doen. Om alle hoeken van hun netwerken te beschermen, moeten security-intelligence en gedragsanalyse optimaal zijn. Ongeoorloofd gebruik van gegevens van werknemers door iemand anders kan weken-, maanden- of zelfs jarenlang onder de radar blijven – tenzij er een systeem of tools van kracht zijn die afwijkend gedrag opmerken. Bovendien komen er dagelijks zo veel waarschuwingen binnen, dat het belangrijk is dat bedrijven deze kwantificeren en kunnen bepalen welke hiervan op verdacht gedrag wijzen. Denk maar aan het datalek van Target van een paar jaar geleden; de retailer kreeg wel een melding over wat er aan de hand was, maar die raakte zoek tussen al de andere meldingen. Als gevolg werd Target slachtoffer van een van de grootste datalekken ooit. Met zo’n groot internationaal systeem als Swift, en omdat er zo veel op het spel staat, is het belangrijker dan ooit dat netwerkactiviteiten tussen banken worden gemonitord en in context geplaatst worden.
Uiteindelijk is het een strijd tussen ‘wij’ en ‘zij’. Iedereen die onderdeel is van een internationaal netwerk, of dat nu een multinational is of een wereldwijde gemeenschap van soortgelijke organisaties zoals Swift, moet een compleet inzicht hebben in wat er op dat netwerk gebeurt. Zo zullen de figuurlijke waarschuwingslichten branden zodra zich verdachte activiteiten voordoen. Gestolen gegevens worden steeds vaker een doorn in het oog van securityprofessionals, omdat ze het hackers mogelijk maken om eenvoudig en zonder opgemerkt te worden toegang te krijgen tot vertrouwelijke gegevens. Maar door inbraken te monitoren en direct te kunnen reageren op dreigingen, is de financiële industrie veel beter in staat de strijd aan te gaan met hedendaagse cybercriminelen en zo blijvende schade te voorkomen.
De titel van het artikel klink belovend maar helaas is het een knipoog naar een product. De SWIFT aanvallen ziijn uniek aangezien ze vele details omtrent de interne bedrijfsvoering bevatten, de exacte werking van het SWIFT systeem en sommige details letterlijk in de malware terugkwamen. Dit hoef je niet met een product te detecteren, het gaat hier om het delen van kennis, mensen een tweede salaris aanbieden…