Gegevensdiefstal is big business. Cybercriminelen worden steeds beter, en steeds sneller in het lanceren van slimme trucjes om gegevens te verzamelen. We ontdekken dagelijks méér nieuwe bedreigingen dan dat we al bekende malware tegenkomen. Het wordt tijd dat we de zogenaamde kill chain van de vijand doorbreken.
Een kill chain is een militaire term en staat voor een aanvalsstructuur: de ketens bestaan uit het identificeren van een doelwit, het uitsturen van een krijgsmacht, de besluitvorming en de order van een aanval en uiteindelijk de vernietiging van het doelwit. Het is voor een overwinning dan ook noodzakelijk dat je de kill chain van de vijand doorbreekt. Maar dat is best moeilijk als de vijand niet op een slagveld staat, maar zich ergens cyberspace bevindt.
Je kunt ze misschien niet zien, maar je merkt wel dat er steeds meer cybercriminelen op datarooftocht zijn. Volgens onderzoeksbureau Gemalto stonden in de afgelopen twee jaar meer dan 1,3 miljard bestanden bloot aan gegevensdiefstal.
De aanvallen die de meeste schade aanrichten zijn zogenoemde Advanced Persistent Threats (APT). Cybercriminelen gaan niet meer blind of met grof geschut te werk, maar ontwikkelen subtiele aanvallen. Hiermee infiltreren ze het netwerken, waarna ze goed verborgen onopgemerkt gegevens stelen. Vaak blijkt dat de inbraak op systemen mogelijk is omdat er onvoldoende aandacht is voor het hele spectrum van mogelijke bedreigingen of aanvallen. De snelle innovatie van malware, het misbruik van de meest recente kwetsbaarheden en de opkomende ontwijkingtactieken en –technieken maken een enkelvoudige verdediging kansloos. De verdediging tegen dergelijke verfijnde aanvallen moet daarom op een veel breder front geregeld worden. Oftewel, een meer omvattende aanpak is nodig om deze geavanceerde aanvallen tegen te gaan.
Preventie – De bekende risico’s
Heel veel malware is al bekend. Een cybercrimineel mag dan heel creatief zijn, hij lijdt net als ieder ander onder de menselijke tekortkoming van laksheid. Uit onderzoek van FortiGuard Labs, dat continu de ontwikkeling van malware onderzoekt, bleek vorig jaar dat bijna een kwart van alle malware al meer dan tien jaar oud was en dat bijna 90% van de malware al voor 2014 ontdekt was.
Bekende malware tegenhouden is niet zo heel moeilijk. Bekende aanvallen kunnen onmiddellijk afgeweerd worden met next-generation firewalls, veilige email gateways, eindpuntbeveiliging en andere producten die accurate beveiligingsfuncties bevatten. Maar uit de praktijk blijkt dat netwerkprofessionals basishandelingen niet altijd uitvoeren. De basale maar essentiële taken, zoals het bijhouden van beveiligingspatches en het continu testen en hertesten van de beveiliging van de IT-infrastructuur, worden nu en dan vergeten. En dat is vervelend, want dit zijn de bouwstenen van een sterke netwerkverdediging.
Detecteren – De onbekende risico’s
Niet alleen bekende malware kan je tegenhouden, er zijn ook veel nieuwe maatregelen die voorheen onbekende aanvallen kunnen detecteren. Deze leveren bovendien informatie over de aanvallen waarmee je actie kunt ondernemen. Sandboxing is zo’n maatregel. Het zet verdachte software eerst in een afgeschermde omgeving zodat je het gedrag van nauwkeurig kunt observeren zonder dat het schade doet aan het operationele netwerk.
Iedereen lijkt laaiend enthousiast over sandboxing, maar wees gewaarschuwd. Het is weliswaar een kritisch component van de volledige verdedigingsstrategie, maar het is geen wondermiddel. We weten hoe cybercriminelen reageren op elke nieuwe technologie: ze vogelen uit hoe het werk en vinden er dan een weg omheen. Er zijn al voorbeelden van cybercriminelen die sandboxes wisten te omzeilen. Daarom is het belangrijk altijd up-to-date te zijn: de systemen moet meebewegen met de cybercriminelen.
Risico’s verminderen – Neem actie
Elk beveiligingssysteem heeft als eerste prioriteit te voorkomen dat aanvallen het netwerk raken. Dat is de theorie. In de praktijk is de vraag niet of, maar wanneer dat toch lukt. Daarom is het belangrijk dat er een duidelijk proces is voor het detecteren van inbraak op de systemen en voor het beperken van de gevolgen. Zodra je een inbreuk vaststelt, moet je gebruikers, apparaten en gegevens in quarantaine zetten. Er moeten geautomatiseerde en handmatige systemen zijn die de veiligheid van netwerkbronnen en bedrijfsgegevens waarborgen. Voorheen onbekende aanvallen moeten in detail geanalyseerd worden, wat leidt tot op maat gemaakte updates voor de verschillende netwerkdiensten en -lagen.
Er bestaat niet één bepaalde technologie die de kern vormt in een platform voor Advanced Threat Protection (ATP). Het idee achter ATP is de integratie en samenwerking tussen alle relevante technologieën. ATP vertrouwt op meerdere soorten producten, functies en onderzoek, die zowel elk een eigen rol, als goed samen spelen. We gaan ongetwijfeld zien dat cybercriminelen zich blijven ontwikkelen en nog veel beter worden in het misleiden en omzeilen van de bestaande oplossingen. Hoewel er geen ‘zilveren kogel’ is om hen voor eens en voor altijd uit te schakelen, kunnen we de kill chain van ATPs doorbreken. Dat vraagt om de implementatie van een meerlaagse benadering met gevestigde en opkomende technologieën die de strijd gezamenlijk aan gaan.
Theo Schutte, Fortinet
