Cybercrime is een begrip en een nachtmerrie voor elke organisatie. De hoeveelheid en complexiteit van cyberaanvallen neemt explosief toe. Een probleem dat zelfs op Europees niveau wordt erkend. Dit blijkt uit vernieuwde privacywetgeving. Én een investering van € 450 miljoen om onderzoek en ontwikkeling naar nieuwe technologieën te bevorderen.
Maar wat betekent dit? Met welke dreigingen hebben we te maken en waarom is cybercrime zo lucratief? Waarom hebben securityleveranciers zo veel moeite met het stoppen van deze dreigingen en wat kunnen wij er tegen doen?
Wat is de digitale dreiging binnen cybercrime?
De laatste jaren hebben wij te maken met een sterk veranderend ICT-landschap. Al onze data zijn digitaal. Er vindt een verschuiving plaats van on-premises naar de cloud. Er ontstaat een enorme handel in digitale gegevens. Met de komst van anonieme betaalmiddelen zoals Bitcoins en illegale marktplaatsen op darknet is de cybercrime-industrie enorm toegenomen. Hierdoor gaat er tegenwoordig meer geld in om dan in de internationale drugshandel! Naast valse paspoorten en bedrijfsgeheimen kan je er zelfs huurmoordenaars vinden en wapens kopen! De manier waarop geld wordt verdiend, is op te delen in drie onderdelen:
1 Data Theft: diefstal van gevoelige data
De bekendste manier waarop hackers geld verdienen is door het stelen van data. Een bekend voorbeeld hiervan is de Sony hack in 2014. Hierbij waren films eerder online verkrijgbaar dan in de bioscoop. In dit soort gevallen wordt er toegang tot een netwerk verkregen, waarna bestanden naar buiten worden gestuurd. De toegang kan op verschillende manieren verkregen worden. Denk aan social engineering waarbij hackers via social media een individu “targetten”. Daarna achterhalen ze de gebruikersnaam (vaak voorletter.achternaam of voornaam.achternaam). Tenslotte moeten ze alleen het wachtwoord kraken om volledige toegang te krijgen tot het netwerk.
Daarnaast zijn er diverse vormen van malware die zich in een netwerk nestelen. Na een succesvolle phising mail, browsen op een website of kwetsbaarheden in het netwerk wordt malafide software (malware) gedownload die zichzelf installeert en op afstand aangestuurd wordt. Vervolgens stuurt deze waardevolle data het netwerk uit welke wordt verhandeld. Tegenwoordig leveren hackers zelfs HaaS (Hacking as a Service) waarbij ze zichzelf verhuren om data te stelen.
2 Ransomware: gijzelen van gevoelige data
Ransomware is een vorm van malware waarbij het de hacker niet gaat om het stelen van data. Het gaat juist om het versleutelen van gevoelige data die voor een individu of bedrijf waardevol is. Op dit moment is ransomware de grootste zorg binnen de securitysector. Er wordt elke tien dagen een melding gedaan bij het Nationaal Cyber Security Centrum (NCSC). Als een systeem besmet raakt met ransomware (meestal via een hyperlink of executable) begint het programma met het versleutelen van bestanden. Na verloop van tijd geeft de ransomware een melding dat er betaald moet worden om de data te ontsleutelen, oftewel terug te krijgen. De betaling moet plaatsvinden in Bitcoins zodat de hacker zijn geld anoniem ontvangt. Dat is dan ook direct het verdienmodel van de hacker in kwestie.
3 DDoS-aanval: onbereikbaar maken van data
Een Distributed Denial-of-Service (DDoS) aanval is een vorm van HaaS. Deze wordt niet door een hacker maar een opdrachtgever geïnitieerd. Tijdens een DDoS-aanval stuurt de hacker een enorme hoeveelheid (eerder gehackte) computers aan om tegelijkertijd naar dezelfde bron te gaan. Dit kan een computer, netwerk of website zijn. Omdat de capaciteit van het doelwit onvoldoende is om aan al deze simultane aanvragen te voldoen, gaat deze offline. Een recent voorbeeld hiervan is Ziggo, waarvan de internetverbindingen in 2015 meermalen platgingen door DDoS-aanvallen. Iedereen kan een DDoS-aanval bestellen en zo bijvoorbeeld de website van een concurrent uitschakelen. Er zijn zelfs voorbeelden van scholieren die hun eigen school uitschakelen om zo een examen niet te hoeven maken.
Waarom zijn deze dreigingen zo lastig te stoppen?
Dreigingen binnen cybercrime veranderen continu. Ze worden steeds complexer. Een drietal veranderingen is hiervoor aanwijsbaar.
1 Hackers zijn professionals
De tijd dat hackers zelfstandig opereerden vanuit een zolderkamertje is voorbij. Doordat de handel in digitale data toeneemt, groeit de professionaliteit van hackers mee. Ze zijn georganiseerder. In sommige landen is dit toegestaan, zolang ze maar geen schade aan het eigen land toebrengen.
Daardoor ontstaat een situatie waarin hackers diensten leveren. Denk aan het schrijven van maatwerk malware die specifiek op het doelwit van een klant is gericht. Ze verkopen er zelfs SLA’s bij om te garanderen dat de klant zijn doel bereikt!
Door deze toenemende professionaliteit stijgt ook de complexiteit van cybercrime. Hackers kennen de kwetsbaarheden in een netwerk en kunnen met een enkele kwetsbaarheid al een virus schrijven waarmee waardevolle data te ontvreemden is.
2 Polymorphic engines
Hackers hebben een slimme manier gevonden om signature based scanning, waarbij een bestand snel wordt gecontroleerd aan de hand van een database, te omzeilen. Waar hackers voorheen veel tijd in een enkel virus stopten dat relatief snel gepatcht kon worden, hebben zij nu de mogelijkheid om ditzelfde virus duizenden keren te vermenigvuldigen. Dit doen zij met polymorphic engines die telkens een iets andere signature aan een virus toekennen. Hierdoor is het volume van nieuwe malware enorm toegenomen tot bijna 1 miljoen nieuwe malware bedreigingen per dag! Dit maakt het voor signature based antivirussoftware enorm lastig om up-to-date te blijven.
Wij zien wel dat deze dreigingen voortkomen uit een zeer beperkt aantal malwarefamilies. De malware is daardoor te herleiden naar slechts twintig verschillende processen. Er zijn oplossingen die aanvullend op een signature based scanner de verschillende processen kennen en kunnen herkennen. Dat wordt ook wel behavior based scanning genoemd. Bij het opstarten van een proces wordt deze gecontroleerd en indien nodig geblokkeerd. Denk aan een executable die vanuit de prullenbak opgestart wordt en contact zoekt met internet. Of een executable die bestanden begint te versleutelen. Daarmee is een werkstation ook buiten het netwerk beter beveiligd.
3 Slimme malware
Hackers verzinnen steeds slimmere manieren om niet gedetecteerd te worden in een netwerk. Naast polymorphic engines zijn er ook polymorphic virussen. Deze zijn in staat continu een andere signature aan te nemen binnen een netwerk. Daardoor is het voor een beheerder zeer lastig om zo’n virus te vinden en te verwijderen.
Een oplossing is ook hier behavior based scanning als aanvulling op endpoint beveiliging of sandbox technologie. Hierbij wordt een bestand in een virtuele omgeving uitgevoerd om het daadwerkelijke gedrag te onthullen. Hackers hebben al gereageerd op sandbox technologie door sandbox aware malware te ontwikkelen. Deze malware omzeilt veel sandbox technologieën door te herkennen dat het zich in een virtual sandbox bevindt en zich vervolgens tijdelijk niet als malware gedraagt.
Hoe wapent u zich tegen deze dreigingen?
Met de huidige dreigingen van cybercrime zijn traditionele beveiligingsmethoden niet meer afdoende. Na de aanpak van layered security waarbij voor iedere securitylaag een andere securityvendor gekozen werd, zien wij een nieuwe trend ontstaan waarin leveranciers de verschillende securitylagen in een netwerk met elkaar verbinden. Door het delen van informatie met eigen en third-party oplossingen zien wij een gesynchroniseerde aanpak in opkomst. Daarnaast ontstaat een nieuwe generatie security-oplossingen die naast signature based scanning ook kijken naar het gedrag van onbekende bestanden via behavior based scanning.
Mijn collega’s en ik adviseren onze klanten dagelijks over security-oplossingen waarbij wij met klanten naast endpoint-, web-, e-mailbeveiliging en firewalls ook kijken naar:
Synchronized security: Door een securitybeleid waarin verschillende lagen met elkaar communiceren wordt een virus eerder herkend en verwijderd. Door informatie uit te wisselen is ook veel beter te onderzoeken welke route een virus heeft bewandeld om een netwerk binnen te komen en wie nog meer datzelfde virus hebben ontvangen. Zo wordt een incident sneller verholpen en is men in staat actie te ondernemen om de gebruikte toegangsroute te dichten.
Behavior based protection: Signature based scanning is niet meer afdoende om malware te stoppen. Door deze manier van scannen aan te vullen met behavior based scanning is de kans om ongewenste programma’s te stoppen vele malen groter. Fabrikanten spelen hierop in door endpoint beveiliging aan te vullen met producten die de processen van malware, en dus ook ransomware, kennen en deze blokkeren zodra deze worden gestart.
Deze vorm van bescherming is locatie-onafhankelijk en werkt dus ook als een endpoint zich buiten het netwerk bevindt of geen internetverbinding heeft. Daarnaast zijn er, zoals ik eerder beschreef, sandbox technologieën die het daadwerkelijke gedrag van malware onthullen door het bestand te openen in een virtuele omgeving. Bij de keuze voor sandbox technologie is het van belang dat u kiest voor een oplossing die ook in staat is sandbox aware malware te onthullen.
Sterke authenticatie: Hiermee voorkomt u dat social engineering gebruikt kan worden. Laat gebruikersnaam en wachtwoord niet voldoende zijn om vrij toegang te krijgen tot het volledige netwerk en overweeg een extra authenticatielaag in te bouwen.
DDoS mitigation: Hiermee is een DDoS-aanval te stoppen, maar deze vorm van bescherming is niet voor elke organisatie interessant. Dit is onder andere afhankelijk van het businessmodel. Is uw organisatie bijvoorbeeld grotendeels afhankelijk van een webshop? Dan is een DDoS mitigator absoluut van grote toegevoegde waarde.
Vulnerability management: Om zwaktes in een netwerk te kennen moet men inzicht hebben in alle aangesloten systemen. Zijn alle systemen up-to-date en zijn er verder geen kwetsbaarheden in het netwerk? Via pentesters die eenmalig of periodiek te huur zijn of dedicated software-oplossingen, is dit eenvoudig inzichtelijk te maken.
Word geen slachtoffer van cybercrime
Wilt u geen slachtoffer worden van cybercrime? Dan is het noodzaak dat u de aanhoudende veranderingen in de markt kent. Met onze kennis van trends in de securitymarkt en ons onafhankelijk advies over de verschillende software-oplossingen, helpen wij u graag met uw securitystrategie en de uitvoering daarvan. Neem contact met mij op via rowel.bouman@comparex.nl.
Roël Bouman, Solution Advisor Security Comparex
