Fortinet publiceert een nieuwe editie van zijn Global Threat Landscape Report. Dit rapport gaat in op de ‘kill chain’ van cyberbeveiliging en richt zich op drie centrale aspecten van het bedreigingslandschap: misbruik van kwetsbaarheden in applicaties, malware en botnets. Uit de onderzoeksgegevens blijkt dat hoewel de meer prominente aanvallen de krantenkoppen domineren, de meeste bedreigingen waarmee organisaties te maken krijgen een opportunistisch karakter hebben en worden ondersteund door een uitgebreide ‘Cybercrime-as-a-Service’-infrastructuur.
Drie belangrijke onderzoeksbevindingen zijn:
1) Aanvalstools vergeten nooit en zijn altijd klaar voor actie
Moderne aanvalstools en Cybercrime-as-a-Service-infrastructuren stellen kwaadwillende personen in staat om razendsnel en op wereldwijde schaal te opereren. Cybercriminelen zijn altijd in de aanval. Ze proberen optimaal gebruik te maken van het verrassingselement, en het liefst op internationaal niveau.
Hoe meer inzicht we verwerven in trends rond exploits (misbruik van kwetsbaarheden) en de manier waarop ransomware fungeert en wordt verspreid, des te effectiever we ons kunnen beschermen tegen de volgende WannaCry. Deze ransomware en hun varianten wisten honderden organisaties in alle delen van de wereld gelijktijdig te treffen.
- Ransomware: Bijna 10% van alle organisaties detecteerde activiteiten die verband hielden met ransomware. Gemiddeld 1,2% van alle organisaties bespeurde dagelijks activiteiten van ransomware-botnets binnen hun omgeving. De piekdagen voor ransomware vielen in het weekend. Cybercriminelen hoopten dat de beveiligingsmedewerkers die weekenddienst draaiden geen oog zouden hebben voor het kwaadaardige verkeer. Naarmate het gemiddelde verkeersvolume van uiteenlopende ransomware-botnets toenam, groeide het aantal bedrijven dat er slachtoffer van werd.
- Trends op het gebied van exploits: 80% van alle organisaties maakte melding van ernstige of kritieke exploits. De meeste kwetsbaarheden die voor deze gerichte aanvallen werden gebruikt, waren al vijf jaar lang bekend. En er was evenmin een tekort aan exploits van kwetsbaarheden die reeds voor de eeuwwisseling bekend waren. Wat exploits betreft was er sprake van een tamelijk evenredige verdeling tussen geografische regio’s. Dit komt waarschijnlijk omdat een groot deel van deze aanvallen volledig is geautomatiseerd: cybercriminelen gebruiken speciale tools om het internet af te zoeken op mogelijkheden voor het uitvoeren van opportunistische aanvallen.
2) Hyperconvergentie en het IoT resulteren in een snellere verspreiding van malware
Nu netwerken en gebruikers steeds meer informatie en bronnen delen, kunnen aanvallen zich snel verspreiden tussen geografische regio’s en diverse sectoren. Het bestuderen van malware kan inzicht bieden in de voorbereidende fase van aanvallen en de technieken die worden gebruikt om netwerken binnen te dringen. Met name het bieden van bescherming tegen mobiele malware vormt een probleem voor organisaties. Mobiele apparaten worden niet afgeschermd binnen het bedrijfsnetwerk, worden regelmatig verbonden met openbare netwerken en vormen vaak niet het bezit van de organisatie, of worden daar niet door beheerd.
- Mobiele malware: De verspreiding van mobiele malware bleef in het eerste kwartaal van 2017 op een stabiel peil. Circa 20% van alle organisaties detecteerde mobiele malware. In het eerste kwartaal haalden meer families van Android-malware de top 10 qua volume en verspreiding. Mobiele malware vertegenwoordigde in het eerste kwartaal 8,7% van alle malware, ten opzichte van 1,7% in het vierde kwartaal van 2016.
- Regionale verspreiding: De verspreiding van mobiele malware nam toe in alle regio’s, met uitzondering van het Midden-Oosten. In alle gevallen was er sprake van een statistisch significant groeitempo in plaats van willekeurige variatie. In vergelijking met andere bedreigingen leek Android-malware sterkere geografische tendensen te vertonen.
3) Het overzicht op gedistribueerde en flexibele infrastructuren neemt af
Bedreigingstrends vormen een weerspiegeling van de omgeving waarin ze plaatsvinden. Het is daarom belangrijk om inzicht te verwerven in manier waarop informatietechnologie, diensten, controlemechanismen en gedragspatronen zich door de loop van de tijd ontwikkelen. Dit kan nuttige input bieden voor de ontwikkeling van uitgebreidere beveiligingsregels en governance-modellen en maakt het mogelijk om de ontwikkeling van exploits, malware en botnets in kaart te brengen in een tijd waarin netwerken steeds complexer worden en meerdere geografische locaties omspannen.
Het overzicht en de grip op moderne infrastructuren nemen af, terwijl het aantal aanvalsmogelijkheden binnen de steeds uitgebreidere netwerkomgevingen toeneemt. Het hoge tempo waarmee bedrijven op publieke en private clouds overstappen, de hoeveelheid en diversiteit van slimme apparaten die een verbinding maken met het netwerk en ongeoorloofde activiteiten zoals schaduw-ICT beginnen beveiligingsprofessionals boven het hoofd te groeien.
- Versleuteld verkeer: De gemiddelde verhouding van het https-verkeer op het http-verkeer bereikte een niveau van maar liefst 55%. Hoewel het https-protocol nuttig is voor het waarborgen van de privacy, bemoeilijkt dit ook de detectie van bedreigingen. Veel beveiligingstools bieden onvoldoende inzicht in het versleutelde communicatieverkeer. Met name organisaties met een hogere https-verhouding kunnen hierdoor ten prooi vallen aan bedreigingen die zich verschuild houden binnen het versleutelde dataverkeer.
- Applicaties: Organisaties maakten gemiddeld gebruik van 62 cloud-applicaties. Deze vertegenwoordigen grofweg een derde van alle gedetecteerde applicaties. Het gebruik van IaaS-applicaties bereikte een nieuw hoogtepunt. Een probleem voor veel organisaties is dat zij als gevolg van de overstap naar de cloud minder zicht op hun data hebben. Bovendien slaan ze steeds meer data in cloud-applicaties en -diensten op. Dit is een zorgwekkende trend.
- Sectoren: Een clusteranalyse per verticale markt wijst uit dat het aanvalsoppervlak voor de meeste sectoren gelijk is, met slechts een paar uitzonderingen, zoals de onderwijs- en telecomsector. Dit maakt het eenvoudig voor cybercriminelen om misbruik te maken van vergelijkbare aanvalsoppervlakken in diverse sectoren, zeker als ze over tools beschikken voor geautomatiseerde aanvallen.