Ongeavanceerde aanvallen op bedrijfsnetwerken kunnen slagen zonder dure zero-day exploits
Deskundigen van Kaspersky Lab en Outpost24voerden recent een security audit uit bij een aantal Europese organisaties. Hierbij onderzochten zij de aanwezigheid van ongepatchte kwetsbaarheden, om zo de (on)veiligheid van het IT-landschap beter in kaart te brengen.
Het rapport maakt duidelijk dat zelfs ongeavanceerde aanvallen op bedrijfsnetwerken kunnen slagen zonder dure zero-day exploits. Hoewel het aantal zero-day aanvallen toeneemt, maken cybercriminelen nog altijd uitvoerig gebruik van bekende kwetsbaarheden. Dit is niet verwonderlijk, aangezien het de gemiddelde onderneming 60 tot 70 dagen kost om een kwetsbaarheid te repareren - wat aanvallers voldoende tijd geeft om toegang te krijgen tot een bedrijfsnetwerk. Uit de audit bleek ook dat cybercriminelen niet een bedrijfssysteem hoeven te hacken; ze hoeven slechts de mensen te 'hacken' die het systeem beheren.
Algemeen kan worden gesteld dat alle kritieke kwetsbaarheden binnen drie maanden moeten worden opgelost. 77% van de dreigingen die na deze deadline van drie maanden nog actief was, bleek ook een jaar na ontdekking nog aanwezig. Het onderzoeksteam van Kaspersky Lab en Outpost24 verzamelde gegevens over kwetsbaarheden vanaf 2010 en vond bedrijfssystemen die reeds drie jaar kwetsbaar zijn. In de Benelux heeft bijvoorbeeld 0,86% van de bedrijfssystemen te maken met kwetsbaarheden uit 2012, en 0,7% met kwetsbaarheden uit 2011. Deze ongepatchte kwetsbaarheden worden beschouwd als kritiek, vanwege het gemak waarmee ze kunnen worden misbruikt en de impact die ze kunnen hebben. Nog opvallender zijn de cijfers omtrent kwetsbaarheden van tien jaar of ouder. Zo kampt respectievelijk 0,11% en 0,18% van de bedrijven met ongepatchte kwetsbaarheden uit 1999 en 2002, ondanks het feit dat deze bedrijven betaalden voor een speciale service om hun veiligheid te bewaken.
Na het verzamelen van de onderzoeksgegevens, in samenwerking met het Outpost24-team, besloot Kaspersky Lab's beveiligingsonderzoeker David Jacoby een social engineering experiment uit te voeren. Hiermee wilde hij testen hoeveel moeite het zou kosten om een USB-stick te plaatsen in computers van overheidsinstellingen, hotels en particuliere bedrijven. Gewapend met de USB-stick, met daarop enkel een PDF van zijn CV, informeerde Jacoby bij receptiemedewerkers van elf organisaties of ze hem konden helpen bij het afdrukken van een document voor een afspraak op een volstrekt andere locatie.
Tot de steekproef voor deze security audit behoorden drie hotels van verschillende ketens, zes overheidsorganisaties en twee grote particuliere ondernemingen. Computers bij overheidsinstellingen bevatten meestal gevoelige informatie over burgers, terwijl grote particuliere ondernemingen doorgaans netwerkverbindingen hebben naar andere bedrijven. Vijf-sterren hotels zijn typisch plaatsen waar diplomaten, politici en top-executives verblijven.
Slechts één hotel vond het geen probleem om Jacoby’s USB-stick aan te sluiten op hun computer, de andere twee weigerden. De particuliere bedrijven wezen zijn verzoek ook af. Van de zes bezochte overheidsorganisaties waren er maar liefst vier die Jacoby hielpen door zijn USB-stick in een computer te steken. Bij twee van deze organisaties was de USB-poort gedeactiveerd, en vroeg het personeel Jacoby om het bestand per e-mail te versturen. Een actie die voldoende ruimte biedt om kwetsbaarheden in de PDF-software te benutten.
"Wat ik echt verrassend vond is dat de hotels en particuliere bedrijven zich beter bewust waren van de risico’s en een betere beveiliging hadden dan de overheidsorganisaties. Aan de hand van dit experiment mogen we concluderen dat er sprake is van een wezenlijk probleem. De door ons uitgevoerde security audit is relevant voor elk land, omdat de kloof tussen het moment dat een kwetsbaarheid wordt ontdekt en het moment dat er een patch voor is, overal bestaat. Het resultaat van het veldonderzoek met de USB-stick schudt hopelijk degenen wakker die op zoek zijn naar op maat gemaakte beveiligingsoplossingen die de 'dreigingen van morgen' aanpakken. Het toont aan dat het minstens zo belangrijk is om personeel aan te leren altijd alert te zijn", aldus David Jacoby, Senior Security Researcher van Kaspersky Lab’s Global Research & Analysis Team (GReAT).
"Het valt tegen om te zien dat ondernemingen kostbare bedrijfsmiddelen verspillen aan potentiële toekomstige dreigingen, terwijl ze er niet eens in slagen de huidige dreigingen het hoofd te bieden", zegt Martin Jartelius, Chief Security Officer van Outpost24. "Of het nu gaat om aflatende beveiligingsmaatregelen, verkeerd geconfigureerde beveiligingsapparatuur of medewerkers die niet goed zijn getraind: bedrijven moeten begrijpen dat het mogelijk is dat de controle over grote delen van hun organisatie wordt overgenomen, zelfs zonder het gebruik van de nieuwste aanvallen of methoden. Daarom is het van essentieel belang de beveiligingsaanpak niet alleen te baseren op individuele middelen, maar te streven naar een geïntegreerde aanpak met oplossingen die onderdeel uitmaken van de bedrijfsprocessen."
