De afgelopen jaren is de DDoS-aanval de meest populaire vorm van cybercriminaliteit waar wij mee geconfronteerd worden richting onze klanten en ons netwerk. De aanvallen zijn in de loop der tijd zowel in frequentie als grootte toegenomen, hetgeen een belangrijke reden is geweest om de technologie om deze te bestrijden aan te passen en uit te breiden. Over de inzet van de Nationale anti-DDoS Wasstraat (NaWas) schreven wij in het verleden al. Er zijn echter meer aanvalsvormen die minder in het nieuws zijn.
De DDoS-aanval is een bijzonder lomp en zichtbaar instrument om applicaties, systemen en netwerken aan te vallen en te verstoren. Ondanks dat de impact groot is, is het relatief eenvoudig om maatregelen te nemen om je er tegen te wapenen. Het is weliswaar niet zo dat je gewoon een abonnementje op de NaWas (of een andere anti-DDoS-dienst) neemt, maar het is wel zo dat een groot deel van het risico voor een maandelijks tarief beperkt kan worden. Dat geldt helaas niet voor sommige, geavanceerdere aanvallen op de veiligheid van onze klanten. We noemen hier een aantal aanvalstypen die gemakkelijker onder de radar doorglippen, maar minstens zo gevaarlijk zijn.
Malware
De dreiging van malware (waaronder virussen) is natuurlijk zeker niet nieuw en al ouder dan het internet zelf. De gevaren zijn er in de loop der jaren echter zeker niet minder door geworden. Van pop-up-vensters die malafide software proberen binnen te sluizen tot al of niet geautomatiseerde aanvallen op zwakheden in servers en applicaties; het installeren van malware is nog steeds een populaire wijze om toegang tot systemen en gegevens te krijgen. De toepassingen voor criminelen zijn zeer divers; van uitbreiding van een botnet tot het stelen van creditcardgegevens.
Hoewel in de basis iedere gebruiker en elke server potentieel gevaar loopt om met malware te worden geïnfecteerd, lopen met name webshops en andere websites die met gevoelige klantgegevens werken gevaar. De financiële en reputatieschade die geleden kan worden bij diefstal worden een zeer ernstige bedreiging.
Gelukkig zijn er veel manieren om u te wapenen tegen malware.
- Zorg hoe dan ook dat software up-to-date gehouden wordt. Dit geldt zowel voor het besturingssysteem en andere software op systemen als het bijwerken van de anti-virus software.
- Voer security hardening uit. Verklein de zogenaamde attack surface van uw applicaties. Zorg ervoor dat alleen voor zaken waar het echt noodzakelijk is dat het publiek bereikbaar is, de toegang openstaat. Zet overige poorten en systemen dicht voor de buitenwereld, faseer oude systemen en software uit en gebruik een vpn om de toegang te controleren.
- Zorg voor bewustzijn van gebruikers, want anti-virus software is nooit 100 procent sluitend. Geen vreemde attachments in e-mail openen en die mails direct wissen, pop-up banners niet aanklikken en direct sluiten enzovoorts. Zorg dat de malware geen kans krijgt.
- Gebruik een gespecialiseerde partij voor het verwerken en opslaan van gevoelige informatie. Sla, indien mogelijk, niet zelf betalingsgegevens en creditcard data op. Er is een ruime keuze aan payment providers in binnen- en buitenland die het betalingsverkeer voor u kunnen afhandelen.
Ransomware
Ransomware is een specifieke vorm van malware die de laatste jaren een opmars heeft gemaakt. Als deze software erin slaagt binnen te dringen op een systeem, worden systemen en gegevens niet gewoonweg verwijderd of gestolen, maar gegijzeld en wordt geld (meestal Bitcoins) gevraagd om hier weer toegang toe te krijgen. Het betalen van dat losgeld geeft in veel gevallen echter ook geen garantie dat de gegevens vervolgens worden teruggegeven.
Ook voor ransomware geldt dat het zorgvuldig bijwerken van software bescherming biedt, evenals een scherp bewustzijn van mensen. Maar mocht het toch mis gaan: zorg voor goede, frequente back-ups en sla (met name in het geval van werkstations) geen belangrijke data lokaal op. Als er geen belangrijke data is om te gijzelen of deze is eenvoudig terug te zetten, is de schade betrekkelijk snel te herstellen zonder toe te hoeven geven aan de chantage.
Phishing en spear phishing
Met phishing e-mails proberen criminelen ongeautoriseerde toegang of gegevens te bemachtigen (meestal via spyware) door zich voor te doen als een betrouwbare bron. E-mails lijken afkomstig van een bekende website of bekend merk, zoals eBay of PayPal. Phishing is gelukkig betrekkelijk eenvoudig te herkennen omdat het generiek en niet persoonlijk gericht is. Partijen die hier veelvuldig voor misbruikt worden, geven ook aan hoe hun eigen, legitieme e-mails te herkennen zijn.
Spear phishing is een zeer gerichte en gevaarlijker vorm van phishing. Spear phishing betreft veel persoonlijker gerichte berichten die lijken te komen van collega’s, vrienden, bekenden en andere mensen uit het eigen sociale netwerk. De ontvanger is daardoor sneller geneigd de e-mail te vertrouwen.
Veel mensen hebben inmiddels geleerd op hun hoede te zijn voor onverwachte verzoeken om vertrouwelijke informatie en geen persoonsgegevens te verstrekken via e-mail of links hierin aan te klikken tenzij ze zeker zijn van de bron. De slagingskans van spear phishing is daarom afhankelijk van een aantal zaken, zoals:
- De bron lijkt een bekend en betrouwbaar persoon;
- Er staat informatie in het bericht die de geloofwaardigheid ondersteunt;
- Het verzoek van de persoon klinkt logisch of aannemelijk;
Reguliere phishing e-mail wordt in bulk verstuurd. Spear phishing wordt op maat voorbereid en is inhoudelijk gericht op een specifieke ontvanger. Als een werknemer binnen de organisatie eenmaal gepakt is, kan de aanvaller social engineering tactieken proberen om verdere toegang tot gevoelige informatie proberen te verkrijgen.
Verreweg de beste aanpak tegen (spear) phishing is het creëren van bewustzijn. Train het personeel, wees bewust van de risico’s en leer de signalen te herkennen. De installatie van een virusscanner kan ook geen kwaad uiteraard.
Man-in-the-middle attacks
Bij man-in-the-middle aanvallen onderschept een aanvaller de communicatie tussen twee partijen die denken direct met elkaar te maken te hebben en manipuleert daarbij mogelijkerwijs de informatie die uitgewisseld wordt. Voorbeelden hiervan zijn het onderscheppen van e-mail, DNS spoofing en het kapen van een onbeveiligd W-iFi-access point.
Eigenaren van websites kunnen hiermee geconfronteerd worden doordat een aanvaller een vervalste website inzet om bezoekers te misleiden en gegevens afhandig te maken. Doordat de aanvaller onzichtbaar de communicatie van de bezoeker manipuleert, denkt deze dat de site die men bezoekt de echte is. Aanvallen die dns-communicatie raken (zoals dns-spoofing) zijn bijzonder effectief om dit te bewerkstelligen. Dergelijke aanvallen zijn vaak moeilijk te detecteren en te voorkomen omdat je eenvoudigweg niet het hele internet kan beschermen en de aanval niet direct de eigen applicatie en/of computer betreft.
Het risico op man-in-the-middle attacks beperken kan gedaan worden door bijvoorbeeld het gebruik van Extended Validation (EV) ssl-certificaten, de inzet van dnssec en door, waar mogelijk, vpn-verbindingen te gebruiken.
Conclusie
Zorg voor goed security beleid. Wees kritisch tegenover uw provider. Kijk goed of procedures in orde zijn en let er op dat gemaakte afspraken (rondom back-ups en updates bijvoorbeeld) worden nageleefd. Schroom er niet voor om deze zelf te (laten) testen. En…zorg voor bewustzijn onder het eigen personeel. Vrijwel geen enkele technische maatregel is effectief als een aanvaller gewoon toegang krijgt tot logingegevens.
Jeroen Bakker, product marketeer bij Cyso
Goed artikel, awareness kan nooit vaak genoeg worden herhaalt lijkt me.