Het volgende niveau

8 voorspellingen met betrekking tot beveiliging voor 2017

Mensen die het bedreigingslandschap van 2017 bekijken zullen zeggen dat het zowel vertrouwd als onverkend terrein vormt. Immers, hoewel onze voorspellingen voor 2016 werkelijkheid zijn geworden, hebben zij alleen maar de deur opengezet voor meer doorgewinterde aanvallers om een nog breder aanvalsterrein te gaan verkennen. In 2016 explodeerde het aantal online afpersingen, leidde een storing aan een smart device tot schade, werd de behoefte aan Data Protection Officers (DPO's) nog dringender en werden inbreuken op gegevens steeds gebruikelijker.

In 2017 zullen er nieuwe uitdagingen ontstaan. Ransomware-activiteiten zullen gaan plaatsvinden via verschillende routes: op uitgebreidere schaal, naarmate er meer varianten ontstaan; dieper, doordat er goed geplande, gerichte aanvallen worden uitgevoerd; en breder, omdat nu ook niet-desktops, zoals mobiele apparaten en smart devices, het doelwit vormen. Eenvoudige maar effectieve BEC-aanvallen (Business Email Compromise) zullen de volgende favoriete bezigheid van cybercriminelen worden, terwijl er steeds meer zware BPC-aanvallen (Business Process Compromise) te zien zullen zijn, zoals de beroving van de Bangladesh Bank, waarbij USD 81 miljoen werd buitgemaakt. Er zullen meer kwetsbare plekken worden ontdekt en misbruikt in de software van Adobe en Apple. Zelfs onschadelijke smart devices zullen een rol spelen bij grootscheepse DDoS-aanvallen (Distributed Denial-of-Service) en IIoT-apparaten (Industrial Internet of Things) zullen het doelwit worden van kwaadwillenden. De implementatie van de General Data Protection Regulation (GDPR) komt dichterbij en aangezien ondernemingen met man en macht werken om processen te wijzigen zodat zij hieraan voldoen, zullen de administratieve kosten voor de betrokken partijen omhoogschieten, terwijl zij zich proberen te verweren tegen kwaadwillenden over de hele wereld die om uiteenlopende redenen er alles aan doen om toegang tot hun netwerken te krijgen. Dit is het volgende niveau van digitale bedreigingen, dat oplossingen van het volgende niveau vereist.

Trend Micro is nu al meer dan twee decennia lang actief in de beveiligingsbranche. Onze real-time bewaking van het bedreigingslandschap, in combinatie met de bevindingen van ons FTR-team (Forward-Looking Threat Research), heeft ons in staat gesteld inzicht te verwerven in de verschillende drijvende krachten die bepalen hoe en in welke richting het landschap verandert. Lees verder om te zien hoe 2017 en daarna eruit zullen zien.

1
De groei van ransomware zal afzwakken in 2017, maar de aanvalsmethoden en doelwitten zullen gevarieerder worden.
Wij voorspellen een groei van 25% in het aantal nieuwe ransomware-families in 2017

Onze voorspelling dat 2016 het "Jaar van de online afpersing" zou worden, kwam uit. De aanvalsketen van ransomware, waarbij een breed scala van toedieningsmethoden, onbreekbare encryptie en op angst gebaseerde scenario’s werden gecombineerd, transformeerde deze oude favoriet in een onfeilbare melkkoe voor cybercriminelen. Ransomware as a service, een praktijk waarbij de leverancier van ransomware zijn infrastructuur verhuurt aan cybercriminelen, moedigde zelfs mensen zonder verstand van techniek aan zich met deze vorm van criminaliteit te gaan bezighouden. Eveneens in 2016 werd bepaalde ransomware-code met het publiek gedeeld, waardoor hackers in staat werden gesteld hun eigen versie van de bedreiging te genereren. Dit resulteerde in een verbijsterende toename van 400% van het aantal ransomware-families van januari tot september.


Jaarlijkse aantal ransomware-families
Projectie voor 2017
Afbeelding 1: Jaarlijkse aantal ransomware-families, met inbegrip van projectie voor 2017

Wij voorspellen een groei van 25% in het aantal nieuwe ransomware-families in 2017, oftewel gemiddeld 15 nieuwe families per maand. Hoewel het omslagpunt in 2016 werd bereikt, zal een periode van stabilisatie concurrerende cybercriminelen ertoe brengen breder te schieten en zich te richten op meer potentiële slachtoffers, platformen en grotere doelwitten.

Tevens voorspellen we dat ransomware een steeds gebruikelijkere component wordt van inbreuken op gegevens. Cybercriminelen stelen vertrouwelijke gegevens om deze op de zwarte markt te verkopen en installeren vervolgens ransomware om gegevensservers te gijzelen, wat hun winst verdubbelt.

Ransomware voor mobieltjes zal zich waarschijnlijk net zo ontwikkelen als ransomware voor desktops, omdat gebruikers van mobieltjes nu echt een interessante prooi zijn geworden. Niet-desktopcomputerterminals zoals PoS-systemen (Point-of-Sale) of geldautomaten zullen mogelijk eveneens te maken krijgen met op afpersing gerichte aanvallen.

Het gijzelen van smart devices is momenteel niet lucratief omdat het mogelijke gewin niet opweegt tegen de moeite van de aanval. Zo is het is gemakkelijker en goedkoper een gehackte spaarlamp te vervangen dan het losgeld te betalen. Aanvallers die dreigen de remmen van een auto op de snelweg te hacken, zouden wel geld af kunnen persen. Maar de vereiste inspanning om zo'n aanval uit te voeren maakt deze vorm van afpersing niet rendabel.

Het is bedrijven duidelijker geworden dat een aanval met ransomware een realistisch gevaar is en een kostbare bedrijfsonderbreking kan betekenen. Aanvallen met ransomware (tegen industriële omgevingen) en IIoT-aanvallen kunnen meer schade veroorzaken omdat criminelen meer geld eisen in ruil voor het bijvoorbeeld weer online brengen van een productieafdeling of het herstellen van veilige bedrijfstemperaturen in een fabriek.

Hoewel er geen "Silver bullet" bestaat die potentiële doelen altijd tegen ransonware-aanvallen beschermt, kan de dreiging het beste bij de bron worden geblokkeerd, via gatewayoplossingen voor web of e-mail. Automatische leertechnologie zal eveneens een krachtige aanvulling vormen op meerlaagse beveiliging die zelfs unieke en nieuw gemaakte ransomware kan detecteren.

2
IoT-apparaten zullen een grotere rol gaan spelen in DDoS-aanvallen en IIoT-systemen in gerichte aanvallen.
Wij voorspellen dat cybercriminelen Mirai-achtige malware zullen gaan gebruiken in DDoS-aanvallen.

Duizenden webcams die mensen simpelweg vergaten te beveiligen, groeiden uit tot de drijvende kracht achter de Mirai DDoS-aanval die belangrijke websites platlegde. Verbonden apparaten, zoals slapers in de spionagewereld, vallen niet op totdat zij worden geactiveerd door cybercriminelen. Wij voorspellen dat in 2017 meer cyberaanvallen tegen het Internet of Things (IoT) en de gerelateerde infrastructuur zullen plaatsvinden, ongeacht of kwaadwillenden open routers gebruiken voor grootschalige DDoS-aanvallen of een enkele aangesloten auto om sterk gerichte aanvallen uit te voeren.

Wij voorspellen dat cybercriminelen Mirai-achtige malware zullen gaan gebruiken in DDoS-aanvallen. Vanaf 2017 zullen servicegerichte, nieuws-, bedrijfs- en politieke sites systematisch worden aangevallen door enorme HTTP-verkeersstromen om geld af te persen, blijk te geven van verontwaardiging of specifieke eisen kracht bij te zetten.

Helaas voorspellen wij eveneens dat leveranciers niet op tijd zullen reageren om deze aanvallen te kunnen voorkomen. In de Mirai-aanval werden inderdaad webcams teruggeroepen door de leverancier, maar dit resulteerde niet bepaald in vergelijkbare code-evaluaties voor niet-getroffen, maar nog steeds controleerbare verbonden apparaten. Daardoor zal er altijd een sterk aanvalsterrein beschikbaar zijn voor kwaadwillenden.


Afbeelding 2: De Mirai-botnet had geen DNS-server (Domain Name System server) nodig om een doelwit offline te zetten, maar zorgde er wel voor dat veel gebruikers geen toegang tot bepaalde websites meer kregen. In theorie kunnen IoT-botnets DDoS-aanvallen versterken en meer schade veroorzaken.

Tevens zullen kwaadwillenden, terwijl IoT voor toegenomen efficiëntie zorgt in industriële omgevingen zoals fabricage en energieproductie, voortbouwen op de effectiviteit van de BlackEnergy-aanvallen om hun eigen belangen te bevorderen. Samen met de aanzienlijke toename van het aantal SCADA-systeemkwetsbaarheden (Supervisory Control And Data Acquisition) (30% van het totale aantal kwetsbaarheden dat in 2016 door TippingPoint werd gevonden), zal de migratie naar IIoT ongekende gevaren en risico's opleveren voor organisaties en betrokken consumenten in 2017.

Deze gevaren kunnen op proactieve wijze worden aangepakt door leveranciers die smart devices en apparatuur verkopen door op beveiliging gerichte ontwikkelingscycli te implementeren. Daarnaast moeten IoT- en IIoT-gebruikers deze aanvalsscenario's simuleren om punten waar het mis kan gaan te identificeren en verhelpen. De netwerkbeveiligingstechnologie van een industriële fabriek moet, bijvoorbeeld, in staat zijn schadelijke netwerkpakketten te detecteren en verwijderen via IPS-systemen (inbreukpreventiesystemen) voor netwerken.

3
De eenvoud van BEC-aanvallen (Business Email Compromise) zal leiden tot een toename in het volume gerichte scams in 2017.
Wij voorspellen dat BEC, en dan met name CEO-fraude, door deze eenvoud een aantrekkelijkere aanvalsmethode voor cybercriminelen zal worden

Bij BEC, dat is gericht tegen financiële afdelingen over de hele wereld, gaat het erom een e-mailaccount te hacken of een bedrijfsmedewerker zover te krijgen geld over te maken naar de bankrekening van een cybercrimineel. Er is niets bijzonders aan de aanval, met uitzondering misschien van het onderzoekswerk dat nodig is om inzicht te krijgen in de beste manier om een geloofwaardige e-mail op te stellen, maar zelfs dat kan vaak met niet meer dan een goed ontworpen zoekactie via een zoekmachine worden gedaan.

Wij voorspellen dat BEC, en dan met name CEO-fraude, door deze eenvoud een aantrekkelijkere aanvalsmethode voor cybercriminelen zal worden. De scam is gemakkelijk en kosteneffectief en vereist geen uitgebreide infrastructuur. Maar de gemiddelde buit bij een succesvolle BEC-aanval bedraagt 140.000 dollar - de prijs van een klein huis. Het geschatte totaalverlies door BEC, gedurende twee jaar, bedraagt drie miljard dollar. In vergelijking: de gemiddelde buit bij een ransomware-aanval bedraagt USD 722 (momenteel 1 Bitcoin) en kan oplopen tot USD 30.000 als een ondernemingsnetwerk wordt getroffen.

De relatieve snelheid van uitbetaling zal deze geprojecteerde toename eveneens bevorderen. Op basis van ons BEC-onderzoek, waarbij gebruik werd gemaakt van Predator Pain-gevallen, wisten aanvallers USD 75 miljoen buit te maken in slechts zes maanden (PDF). De tragere werking van justitie als het aankomt op grensoverschrijdende criminaliteit zal de aantrekkingskracht van deze bedreiging in de tussentijd alleen maar groter maken. Zo vergde het bijvoorbeeld meer dan twee jaar voordat een Nigeriaanse staatsburger werd gearresteerd vanwege het oplichten van verschillende bedrijven sinds 2014.

Afbeelding 3: Vergelijking van gemiddelde uitbetalingen door bedrijven voor ransomware- en BEC-aanvallen

BEC is bijzonder moeilijk te detecteren omdat deze e-mail geen schadelijke onderdelen of bestanden bevat, maar bedrijven zouden in staat moeten zijn deze bedreigingen te blokkeren aan de bron via gatewayoplossingen voor web en e-mail. Deze beveiligingstechnologieën zullen abnormaal verkeer en schadelijke bestanden of onderdelen kunnen identificeren, maar bescherming bieden tegen BEC-scams zal moeilijk blijven als slachtoffers doorgaan met het weggeven van geld aan cybercriminelen. Bedrijven moeten stringente beleidsrichtlijnen implementeren voor normale en uitzonderlijke transacties, met verificatielagen en drempels voor grote sommen die uitgebreidere verificatie vereisen, voordat overboekingen plaatsvinden.

4
Business Process Compromise zal aan populariteit winnen bij cybercriminelen die de financiële sector als doelwit willen kiezen.
Wij voorspellen dat BPC verder zal gaan dan de financiële afdeling, hoewel het overboeken van geldbedragen het meest gebruikelijke eindscenario zal blijven.

De overval op de Bangladesh Bank resulteerde in verliezen tot USD 81 miljoen. In tegenstelling tot BEC, waarbij wordt ingespeeld op menselijke fouten, was deze overval het resultaat van een veel dieper inzicht in de manier waarop grote instellingen financiële transacties verwerkten. Wij noemen deze categorie van aanvallen "BPC".

Wij voorspellen dat BPC verder zal gaan dan de financiële afdeling, hoewel het overboeken van geldbedragen het meest gebruikelijke eindscenario zal blijven. Mogelijke scenario's omvatten het hacken van een inkoopordersysteem zodat cybercriminelen betalingen kunnen ontvangen die waren bedoeld voor daadwerkelijke leveranciers. Het hacken van een betalingssysteem kan eveneens tot de onbevoegde overdracht van geldbedragen leiden. Cybercriminelen kunnen een aflevercentrum hacken en waardevolle goederen naar een ander adres omleiden. Dit gebeurde al in een geïsoleerd incident in 2013, waarbij het systeem voor verzendcontainers van de zeehaven van Antwerpen werd gehackt om verdovende middelen te smokkelen.

Cybercriminelen die BPC-aanvallen uitvoeren zal het nog steeds uitsluitend om geld te doen zijn, zonder politieke motieven of het doel om informatie te verzamelen, maar de methoden en strategieën die hier en bij gerichte aanvallen worden gebruikt zullen vergelijkbaar zijn. Als we een vergelijking maken tussen de uitbetaling bij ransomware-aanvallen op ondernemingsnetwerken (met USD 30.000 als de grootste buit waarvan tot dusverre in 2016 melding werd gemaakt), de gemiddelde uitbetaling bij BEC-aanvallen (USD 140.000) en de potentiële toename in BPC-aanvallen (USD 81 miljoen), is het gemakkelijk te zien waarop cybercriminelen of zelfs andere kwaadwillenden zoals schurkenstaten die meer geld nodig hebben meer dan bereid zijn om deze route te volgen.


Afbeelding 4: Vergelijking tussen BEC- en BPC-aanvallen

Ondernemingen hebben beperkte kijk op de risico's die zijn verbonden aan aanvallen op bedrijfsprocessen. De typische beveiligingsfocus is erop gericht ervoor te zorgen dat apparaten niet worden gehackt. Cybercriminelen zullen optimaal gebruikmaken van deze vertraagde realisatie. Beveiligingstechnologieën zoals toepassingsbeheer kunnen de toegang tot missiekritische terminals afsluiten terwijl endpoint-bescherming in staat moet zijn schadelijke laterale verplaatsingen te detecteren. Krachtige beleidsrichtlijnen en praktijken met betrekking tot social engineering moeten eveneens deel uitmaken van de cultuur van een organisatie.

5
Bij Adobe en Apple zullen veel platformkwetsbaarheden worden ontdekt dan bij Microsoft.
Wij voorspellen dat er meer softwarefouten zullen worden ontdekt in producten van Adobe en Apple dan in programma's van Microsoft.

In 2016 overtrof Adobe voor het eerst Microsoft wat betreft ontdekte kwetsbaarheden. Tot de kwetsbaarheden die tot dusverre in 2016 aan het licht kwamen via het Zero-Day Initiative (ZDI) behoorden 135 kwetsbaarheden in producten van Adobe en 76 in programma's van Microsoft. 2016 was tevens het jaar waarin de meeste kwetsbaarheden voor Apple® werden ontdekt, met maar liefst 50 kwetsbaarheden tot november, terwijl de teller in het vorige jaar was blijven stilstaan op 25.

Wij voorspellen dat er meer softwarefouten zullen worden ontdekt in producten van Adobe en Apple dan in programma's van Microsoft. Niet alleen is het aantal pc-leveringen van Microsoft de laatste jaren aan het afnemen omdat steeds meer gebruikers de voorkeur geven aan smartphones en professionele tablets, maar de veiligheidsmaatregelen en verbeteringen van deze leverancier hebben het vermoedelijk ook moeilijker gemaakt voor aanvallers om nieuwe kwetsbaarheden in het besturingssysteem te vinden.


Afbeelding 5: Kwetsbaarheden in producten van Microsoft, Adobe en Apple die zijn gevonden door het ZDI

De ontdekking van kwetsbaarheden bij Adobe zal steevast leiden tot de ontwikkeling van exploits die vervolgens kunnen worden opgenomen in exploitkits. Exploitkits zullen deel blijven uitmaken van het bedreigingslandschap, maar cybercriminelen zullen hier wellicht meer toepassingen voor vinden dan alleen het afleveren van ransomware. Het gebruik van exploitkits nam af na de arrestatie van de maker van de Angler Exploit Kit, maar met BlackHole en Nuclear dienen zich andere exploitkits aan die het gewoon zullen overnemen.

Ook zal er meer misbruik van Apple-software plaatsvinden, naarmate er meer gebruikers een Mac aanschaffen. Het aantal leveringen van Macs in de VS is toegenomen, waardoor Apple een groter marktaandeel heeft weten te verwerven in vergelijking met het vorige jaar. Deze toename zal, mede door de beveiligingsverbeteringen van Microsoft, ertoe leiden dat cybercriminelen hun aandacht gaan verleggen naar alternatieven die niet van Microsoft zijn. Ook zullen we, omdat Apple de iPhone® 4S niet langer ondersteunt, zien dat meer exploits voor fouten die zijn gecorrigeerd in ondersteunde versies zullen worden gebruikt om vergelijkbare fouten te vinden die niet langer worden gecorrigeerd in niet-ondersteunde versies.

Het afschermen van kwetsbaarheden is de enige manier om op proactieve en betrouwbare wijze bescherming te bieden tegen niet-gecorrigeerde en zero-day-kwetsbaarheden. Hoewel exploits een bestaande realiteit zijn voor veel ondernemingen, met name bedrijven die er nog steeds voor kiezen om niet-ondersteunde, oudere of verweesde software te gebruiken, wordt het afschermen van kwetsbaarheden met name belangrijk als het gaat om zeer populaire en veelgebruikte software zoals die van Apple en Adobe. Gebruikers van Apple- en Adobe-producten dienen tevens endpoints en mobiele apparaten te beschermen tegen malware die gebruikmaakt van deze kwetsbaarheden.

6
Cyberpropaganda wordt een norm.
De toename van de internetpenetratie heeft belanghebbende partijen de mogelijkheid geboden het internet te gebruiken als gratis hulpmiddel om de publieke opinie te beïnvloeden en hun eigen standpunten door te drukken.

In 2016 had bijna de helft van de wereldbevolking (46,1%) toegang tot het internet via smartphones, traditionele computerapparaten of internetkiosken. Dit betekent dat steeds meer mensen nu snelle en gemakkelijk toegang tot informatie, ongeacht de bron of geloofwaardigheid hiervan.

De toename van de internetpenetratie heeft belanghebbende partijen de mogelijkheid geboden het internet te gebruiken als gratis hulpmiddel om de publieke opinie te beïnvloeden en hun eigen standpunten door te drukken. De resultaten van de recente verkiezingen in verschillende landen geeft de kracht aan van sociale media en verschillende online informatiebronnen wat betreft politieke besluitvorming.

Heel onlangs nog hebben we gezien dat platformen zoals WikiLeaks werden gebruikt voor propagandadoeleinden, waarbij slechts een week vóór de Amerikaanse verkiezingen uiterst compromitterende materialen werden gelekt. Bij onze voortdurende bewaking van de cybercriminele onderwereld is ons tevens opgevallen dat script kiddies opscheppen over hun verdiensten uit vervalst verkiezingsnieuws. Zij beweren ongeveer USD 20 per maand te verdienen aan het bevorderen van verkeer naar verzonnen smeuïge nieuwtjes over verkiezingskandidaten. Er zijn tevens bestaande groepen van speciale cyberagenten die betaald krijgen om propagandamaterialen te plaatsen op sociale mediasites zoals Facebook en LinkedIn. Zij maken gebruik van de elektronische inhoudsfiltering van de platformen om de zichtbaarheid van hun inhoud sterk te vergroten.

Het gebrek aan controle op de nauwkeurigheid van informatie, gekoppeld aan fanatieke gebruikers die mensen met een andere mening willen overhalen of simpelweg hun eigen mening willen doordrukken, heeft geleid tot de populariteit van deze valse inhoud en memen. Dit alles maakt het heel moeilijk voor incidentele, ondeskundige internetgebruikers om onderscheid te maken tussen feiten en fictie.

De zet van Facebook en Google om te stoppen met reclame voor sites met vals nieuws en van Twitter om zijn dempingsfunctie uit te breiden zodat gebruikers schadelijke aanvallen of gesprekken kunnen uitsluiten heeft nog geen directe gevolgen gehad.

De aanstaande verkiezingen in Frankrijk en Duitsland, met inbegrip van daaropvolgende bewegingen die vergelijkbaar zijn met de terugtrekking van het Verenigd Koninkrijk uit de Europese Unie (EU), ook wel Brexit genoemd, zullen worden beïnvloed door wat wordt gedeeld en gedaan met behulp van de elektronische media. We zullen waarschijnlijk zien dat meer gevoelige informatie die wordt gebruikt in cyberpropaganda afkomstig is uit spionage-activiteiten zoals PawnStorm.

Entiteiten die op strategische wijze door de publieke mening weten te laveren via dit middel zullen resultaten weten te boeken die gunstig voor hen zijn. In 2017 zullen we meer gebruik en misbruik van sociale media zien.

7
De implementatie en naleving van de General Data Protection Regulation zullen de administratieve kosten binnen organisaties opdrijven.
We voorspellen dat de GDPR betrokken bedrijven zal dwingen tot wijzigingen in beleidsrichtlijnen en bedrijfsprocessen die tot een aanzienlijke stijging van de administratieve kosten zullen leiden.

De GDPR, die de reactie van de EU vormt op de roep om gegevensprivacy, zal niet alleen invloed hebben op EU-lidstaten maar op alle entiteiten wereldwijd die de persoonlijke gegevens van EU-burgers vastleggen, verwerken en opslaan. Wanneer deze van kracht wordt in 2018, kunnen bedrijven bij niet-naleving een boete krijgen die kan oplopen tot 4% van de wereldwijde omzet van het bedrijf in kwestie.

We voorspellen dat de GDPR betrokken bedrijven zal dwingen tot wijzigingen in beleidsrichtlijnen en bedrijfsprocessen die tot een aanzienlijke stijging van de administratieve kosten zullen leiden. De GDPR vereist onder andere de volgende wijzigingen:

  • Een DPO is nu verplicht. We hebben voorspeld dat eind 2016 minder dan de helft van de ondernemingen een DPO zal hebben aangetrokken. Deze voorspelling lijkt uit te komen, hetgeen betekent dat de bedrijfsonkosten zullen toenemen met een grote, splinternieuwe post voor het werven, trainen en vasthouden van een nieuwe medewerker op directieniveau.
  • Gebruikers moeten worden geïnformeerd over hun nieuw vastgestelde gebruikersrechten en bedrijven moeten ervoor zorgen dat gebruikers in staat zijn hier gebruik van te maken. Deze paradigmaverschuiving, waarbij EU-burgers de eigenaar van hun persoonlijke gegevens zijn en dat gegevens dus puur op "leenbasis" worden verzameld, zal gevolgen hebben voor complete gegevensgerelateerde workflows.
  • Alleen de minimale hoeveelheid gegevens die vereist is voor het gebruiken van een service mag worden verzameld. Ondernemingen moeten hun activiteiten op het vlak van gegevensverzameling herzien om zich hieraan aan te passen.

Deze wijzigingen zullen ondernemingen dwingen een complete evaluatie van de gegevensverwerking uit te voeren om naleving te waarborgen of realiseren en EU-gegevens te scheiden van de gegevens van de rest van de wereld. Het zal met name moeilijk zijn voor multinationale ondernemingen die zullen moeten overwegen compleet nieuwe gegevenssystemen te bouwen puur voor EU-gegevens. Zij zullen bovendien de clausules voor gegevensbescherming van hun partners voor cloudopslag moeten evalueren. Ondernemingen moeten investeren in een uitgebreide oplossing voor gegevensbeveiliging, met inbegrip van personeelstraining, om naleving van de GDPR af te dwingen.

8
Kwaadwillenden zullen met nieuwe gerichte aanvalstactieken komen die de huidige anti-ontduikingsoplossingen omzeilen.
We voorspellen dat deze leercurve betekent dat het gebruik van meer methoden die in de eerste plaats waren bedoeld om de meest moderne beveiligingstechnologieën van de laatste jaren te omzeilen.

Ongeveer een decennium geleden werd voor het eerst melding gemaakt van gerichte aanvalscampagnes. Kwaadwillenden hebben ervaring opgedaan, terwijl netwerkinfrastructuren grotendeels ongewijzigd zijn gebleven. Wanneer we kijken naar de bewegingen van aanvallers en hun vermogen om hun tools, tactieken en procedures (TTP's) aan te passen om verschillende organisaties in verschillende landen op de korrel te nemen, voorspellen we dat toekomstige gerichte aanvallen nieuwe en onverwachte technieken met zich mee zullen brengen.

We voorspellen dat deze leercurve betekent dat het gebruik van meer methoden die in de eerste plaats waren bedoeld om de meest moderne beveiligingstechnologieën van de laatste jaren te omzeilen. Kwaadwillenden maakten eerst bijvoorbeeld hoofdzakelijk gebruik van binaire bestanden, stapten vervolgens over op documenten en werken nu meer met script- en batchbestanden. Zij zullen beginnen gerichtere sandbox-detectie uit te voeren om te zien of een netwerk onbekende bestanden naar een sandbox-resource overbrengt en zullen zelfs sandboxes aanvallen of overspoelen. We voorspellen ook dat VM-escapes (virtuele machine) zeer belangrijke onderdelen worden van geavanceerde exploitketens. VM-escapebugs zullen worden gebruikt voor verschillende andere aanvalstoepassingen in de cloud, afgezien van het omzeilen van sandboxes.

Deze technische verbeteringen aan het aanvalsfront zullen hogere eisen stellen aan IT- of beveiligingsbeheerders. Zij moeten op zoek gaan naar beveiligingstechnologieën die hen kunnen helpen een compleet beeld van en de volledige controle over hun netwerk en gegevensworkflow te krijgen, terwijl in een vroegtijdig stadium niet alleen aanwijzingen voor bedreiging, de zogenaamde IoC's (Indicators of Compromise), worden geïdentificeerd, maar ook aanwijzingen voor aanvallen.

Onbekende bedreigingen kunnen nieuwe varianten zijn van bekende, bestaande bedreigingen of volledig onbekende bedreigingen die nog niet zijn ontdekt. Beveiligingsoplossingen die gebruikmaken van automatische leerprocessen kunnen worden gebruikt om bescherming te bieden tegen de eerste, terwijl sandboxing de laatste onder controle kan houden. In plaats van zich te beperken tot één beveiligingsstrategie, wordt meerlaagse technologie van verschillende generaties die is ontwikkeld op basis van uitgebreide ervaring die is verkregen door bewaking, reactie en ontwikkeling van proactieve maatregelen tegen gerichte aanvallen van buitengewoon groot belang bij het bestrijden van dit soort campagnes.






Hoe kunnen we aanvallen weerstaan?

Automatische leerprocessen zijn geen nieuwerwetse beveiligingstechnologie, maar staan klaar om een cruciaal element te worden bij het bestrijden van onder andere bekende en onbekende ransomware-dreigingen en aanvallen met exploitkits. Automatische leerprocessen worden geïmplementeerd via een gelaagd systeem van door mensen en computers geleverde input die op basis van wiskundige algoritmen wordt verwerkt. Dit model wordt dan losgelaten op het netwerkverkeer, waarbij een machine snelle en nauwkeurige beslissingen kan nemen over of de netwerkinhoud, zowel bestanden als gedragingen, schadelijk is of niet.

Ondernemingen moeten zich eveneens voorbereiden met beproefde beschermingsmaatregelen tegen de omzeilingstechnieken die kwaadwillenden zullen introduceren in 2017. Deze uitdaging vraagt om een combinatie van verschillende beveiligingstechnologieën (en geen aanpak van het "zilveren kogel"-type) die in het hele netwerk beschikbaar moet zijn om een aaneengesloten verdedigingslinie tegen bedreigingen te vormen. Technologieën als:

  • Geavanceerde antimalware (die verder gaat dan het gebruik van zwarte lijsten)
  • Antispam en antiphishing bij de web- en berichtengateways
  • Webreputatie
  • Inbreukdetectiesystemen
  • Toepassingsbeheer (gebruik van witte lijsten)
  • Inhoudsfiltering
  • Afscherming van kwetsbaarheden
  • Reputatie van mobiele apps
  • Host- en netwerkgebaseerde inbreukpreventie
  • Hostgebaseerde firewallbescherming

De meeste hedendaagse bedreigingen kunnen worden gedetecteerd via een combinatie van de bovengenoemde technieken, maar om zero-day- en "onbekende" bedreigingen te kunnen afslaan, moeten ondernemingen gebruikmaken van gedrags- en integriteitsbewaking alsmede sandboxing.

IoT levert zowel risico's als gemak op. Gebruikers van smart devices moeten leren hun routers te beveiligen voordat zij smart devices toegang verlenen tot het internet via deze routers. Zij moeten vervolgens beveiliging hanteren als overweging bij het aanschaffen van een nieuw smart device. Biedt het verificatie of maakt het wachtwoordwijzigingen mogelijk? Kan het worden bijgewerkt? Kan het netwerkcommunicatie versleutelen? Heeft het open poorten? Biedt de leverancier firmware-updates?

Ondernemingen die gegevens van EU-burgers verzamelen moeten een stijging van de administratieve kosten verwachten aangezien zij worstelen met ingrijpende procesveranderingen en DPO's moeten inhuren om aan de GDPR te voldoen. Een grondige evaluatie van de strategie voor gegevensbescherming van een bedrijf zal eveneens helpen bij het doorstaan van audits.

Deze nieuwe uitdagingen vereisen een nieuwe aanpak van endpoint-beveiliging; een beveiligingsaanpak van meerdere generaties waarbij beproefde technieken voor bekende en onbekende bedreigingen worden gecombineerd met geavanceerde beschermingstechnieken zoals toepassingsbeheer, exploitpreventie en gedragsanalyse, sandbox-detectie en hoogwaardige leerprocessen.

Training van medewerkers tegen aanvallen via social engineering en ter bescherming tegen de nieuwste bedreigingen zoals BEC maken de beveiligingscultuur die nodig is om de verdedigingslinies van bedrijven te beschermen in 2017 en daarna compleet.

Rapport downloaden (PDF)