Fortinet Threat Landscape Report: flinke toename geautomatiseerde bedreigingen

22 augustus 2017

Fortinet heeft zijn nieuwe Global Threat Landscape Report gepubliceerd. Dit onderzoeksrapport geeft aan dat cybercriminelen minder tijd besteden aan het ontwikkelen van nieuwe manieren om netwerken binnen te dringen. In plaats daarvan concentreren ze zich op het gebruik van tools voor het automatiseren van bedreigingen. Hiermee kunnen ze de bedrijfsprocessen van organisaties effectiever verstoren. Een gedetailleerd overzicht van de onderzoeksresultaten en relevante aanbevelingen voor CISO’s is beschikbaar op het weblog van Fortinet. Hieronder de belangrijke onderzoeksbevindingen.

Effectieve beveiligingspraktijken zijn onmisbaar in de strijd tegen wormachtige aanvallen 

Crime-as-a-Service-infrastructuren en tools voor het automatiseren van aanvallen stellen cybercriminelen in staat om op wereldwijde schaal te opereren. Bedreigingen als WannaCry vallen op door de snelheid waarmee ze zich verspreiden en het feit dat ze organisaties in een breed scala aan sectoren treffen. Het leeuwendeel van succesvolle aanvallen had kunnen worden voorkomen als meer organisaties consequent de juiste beveiligingsmaatregelen hadden getroffen. Helaas boeken cybercriminelen nog altijd veel succes met ‘hot exploits’, oftewel misbruik van recent gepubliceerde kwetsbaarheden waarvoor organisaties nog geen patch hebben geïnstalleerd. De opkomst van geautomatiseerde bedreigingen maakt de zaken er nog gecompliceerder op. Cybercriminelen die hiervan gebruikmaken, zijn niet langer beperkt tot aanvallen op organisaties in een specifieke sector. De impact en hefboomwerking van deze aanvallen wordt hierdoor na verloop van tijd steeds groter.

  • Ransomworms maken opmars: Na tien jaar afwezigheid beleefden internetwormen een comeback met WannaCry en NotPetya. Beide aanvallen maakten misbruik van een kwetsbaarheid waarvoor slechts een paar maanden een patch beschikbaar was. Organisaties die behoed bleven voor deze aanvallen, hadden een paar dingen met elkaar gemeen. Ze hadden hun beveiligingstools die bijgewerkt met de laatste updates, zodat ze deze aanvallen konden detecteren, en/of hadden relevante patches geïnstalleerd kort nadat die waren uitgebracht.
  • Kritieke aanvallen: Meer dan twee derde van alle bedrijven kreeg in het tweede kwartaal van 2017 te maken met exploits met de kwalificatie ‘hoog’ of ‘kritiek’. 90% van alle organisaties maakte melding van misbruik van kwetsbaarheden die al minstens drie jaar bekend waren. Hoewel sommige kwetsbaarheden al tien jaar of langer geleden bekend waren, kreeg 60% van alle bedrijven te maken met aanvallen die daar misbruik van maakten. In het tweede kwartaal werden 184 miljard exploits, 62 miljoen vormen van malware en 2,9 miljard pogingen om met botnets te communiceren gedetecteerd.
  • Malware-activiteit tijdens de rustige uren: Geautomatiseerde aanvallen gaan in de  avonduren en tijdens het weekend gewoon door. Bijna 44% van alle pogingen om misbruik te maken van kwetsbaarheden vond plaats op een zaterdag of zondag. Het gemiddelde dagelijkse volume lag tijdens weekends twee keer zo hoog als tijdens werkdagen.

Technologie die de vatbaarheid op aanvallen vergroot

Snelheid en efficiëntie zijn de sleutel tot zakelijk succes in de digitale economie. Downtime van apparaten of systemen is daarom uit den boze. Niet alleen het gebruik en de configuratie van applicaties, netwerken en apparaten ontwikkelen zich, maar ook exploits, malware en botnet-tactieken van cybercriminelen. Aanvallers maken gretig gebruik van kwetsbaarheden in deze nieuwe technologieën en diensten en andere kansen die ze vertegenwoordigen. Het zakelijk gebruik van risicovolle applicaties en kwetsbare IoT-apparatuur binnen hyperverbonden netwerken vertegenwoordigt een risico, omdat ze niet consistent worden beheerd, bijgewerkt met patches of vervangen. En hoewel versleuteld internetverkeer de online privacy ten goede komt, brengt dit ook problemen met zich mee. Veel beveiligingstools hebben namelijk onvoldoende zicht op het versleutelde communicatieverkeer.

  • Applicatiegebruik: Risicovolle applicaties zetten de deur open voor cybercriminelen. Organisaties die het gebruik van peer-to-peer (p2p)-applicaties toestaan, kregen te maken met zeven keer zoveel botnet- en malware-infecties als organisaties die het gebruik hiervan niet toestaan. Organisaties die het gebruik van proxy-applicaties toestaan, maakten melding van bijna negen keer zoveel botnet- en malware-infecties als organisaties die deze niet toestaan. Verbazingwekkend genoeg werd er geen bewijs gevonden dat een intensiever gebruik van cloud- of social media-applicaties in meer botnet- en malware-infecties resulteerde.
  • Een analyse van sectoren: De onderwijssector staat bovenaan de lijst van sectoren waarin gebruik werd gemaakt van risicovolle infrastructuren en applicaties. De energiewereld toonde zich van alle sectoren het meest conservatief.
  • IoT-apparatuur: Bijna een op de vijf organisaties kreeg te maken met malware die het op mobiele apparatuur had voorzien. IoT-apparaten blijven een probleem, omdat ze niet dezelfde mate van controle, overzicht en bescherming bieden als traditionele systemen.
  • Versleuteld internetverkeer: Uit de onderzoeksgegevens blijkt dat de hoeveelheid versleuteld internetverkeer voor het tweede kwartaal op een rij een recordniveau bereikte. Het https-verkeer viel 57% procent hoger uit dan het http-verkeer. Deze trend is relevant, omdat cybercriminelen misbruik maken van versleuteld communicatieverkeer om malware te verbergen.

Vincent Zeebregts, country manager Nederland bij Fortinet: “De technologische innovaties die ten grondslag liggen aan onze digitale economie vertegenwoordigen kansen voor zowel beveiligingsprofessionals als cybercriminelen. Wat echter onvoldoende wordt aangestipt, is dat organisaties de schadelijke gevolgen van aanvallen kunnen inperken door gebruik te maken van consistente en effectieve beveiligingspraktijken. Cybercriminelen zetten nauwelijks nieuwe zero day-aanvallen in om toegang te krijgen tot bedrijfsnetwerken. Ze maken hoofdzakelijk misbruik van reeds gepubliceerde kwetsbaarheden. Op deze manier kunnen ze meer tijd steken in technologische innovaties die hun exploits lastiger te detecteren maken. Nieuwe wormachtige bedreigingen verspreiden zich als een lopend vuurtje via een groter aantal platforms en aanvalskanalen. Op intentie gebaseerde beveiligingsbenaderingen die een beroep doen op de kracht van automatisering en integratie zijn daarom van cruciaal belang.”  

Rapportagemethodiek

Het Fortinet Global Threat Landscape-rapport is een kwartaalpublicatie die is gebaseerd op bedreigingsinformatie die FortiGuard Labs heeft verzameld via een omvangrijk netwerk van apparaten en sensoren binnen productieomgevingen. Het rapport brengt de onderzoeksgegevens in kaart vanuit wereldwijd, regionaal, sectorspecifiek en bedrijfsspecifiek perspectief. De focus ligt daarbij op drie elkaar aanvullende kernaspecten van het bedreigingslandschap: exploits (misbruik van kwetsbaarheiden in applicaties), malware en botnets. Fortinet publiceert daarnaast een gratis, op abonnementsbasis verkrijgbare Threat Intelligence Brief. Deze biedt een overzicht van de meest prominente malware, virussen en internetbedreigingen die wekelijks worden gedetecteerd, samen met links naar de meest relevante onderzoeksresultaten van Fortinet voor die week.

Robbert Hoeffnagel

Robbert Hoeffnagel

Editor and consultant @ Belgium Cloud, DatacenterWorks, InfosecurityMagazine.be, Green IT Amsterdam and Mepax

Pin It on Pinterest

Share This