Applicaties blijven een gewild doelwit

Palo Alto Networks, speler op het gebied van enterprise security, heeft nieuw onderzoek onthuld naar de manieren waarop aanvallers veelgebruikte zakelijke toepassingen inzetten voor het omzeilen van beveiligingscontroles. Het rapport, waarin ook Nederland is opgenomen, bevat nuttige inzichten waarmee bedrijfsleiders en beveiligingsexperts hun beveiliging kunnen herbekijken en weer op volle sterkte kunnen brengen.

De bevindingen zijn gebaseerd op een analyse van dataverkeer; hierbij zijn twaalf maanden lang miljarden beveiligingslogboeken verzameld vanuit 5.500 netwerken. De bevindingen worden bekend gemaakt in het ‘Application Usage and Threat Report’ van Palo Alto Networks. Dit rapport bevat de meest gedetailleerde beoordeling in de branche van de relatie tussen geavanceerde cyberbedreigingen en de applicaties die op wereldwijde netwerken worden uitgevoerd.

Belangrijkste punten:

Veelgebruikte applicaties voor het delen van bestanden, zoals e-mail, sociale media en video, blijven populair voor het initialiseren van aanvallen; wel zijn ze vaak niet meer het kernpunt of doel van bedreigende activiteiten, maar eerder het begin van een aanval met meerdere fasen;

99 procent van alle malware-logboeken wordt aangemaakt op basis van één bedreiging over het UDP protocol; aanvallers gebruiken voor het maskeren van hun activiteiten verder technieken als FTP, RDP, SSL en NetBIOS;

34 procent van de gebruikte applicaties maken gebruik van SSL-versleuteling. Veel netwerkbeheerders weten niet welke applicaties op hun netwerk ongepatchte versies van OpenSSL gebruiken; dit kan ervoor zorgen dat deze blootgesteld worden aan kwetsbaarheden zoals Heartbleed.

“Ons onderzoek laat een onlosmakelijk verband zien tussen veelgebruikte zakelijke applicaties en cyberbedreigingen. De meeste grotere inbraken in netwerken beginnen met een aanval via bijvoorbeeld een e-mailapplicatie. Zodra aanvallers dan eenmaal in het netwerk zitten, kunnen ze andere applicaties of diensten gebruiken om hun kwaadwillende activiteiten voort te zetten; feitelijk houden ze zich hierbij schuil aan de oppervlakte. Als bedrijven weten hoe cybercriminelen applicaties aanvallen, kunnen ze beter geïnformeerde besluiten nemen om hun organisaties te beschermen tegen die aanvallen.” Matt Keil, senior onderzoeksanalist, Palo Alto Networks

Naast de bevindingen bevat het rapport ook praktische kennis die beveiligingsteams kunnen gebruiken om hun netwerken beter te beveiligen. Een aantal voorbeelden:

Uitgebalanceerde, veilige toegangsrechten bij veelgebruikte applicaties voor het delen van bestanden: hiervoor is het cruciaal dat de rechten worden gedocumenteerd, dat de gebruikers hier beter in worden getraind en dat de rechten regelmatig worden bijgewerkt.

Een effectieve controle op onbekend verkeer: elk netwerk heeft onbekend verkeer; klein in volume, en goed voor slechts 10 procent van de bandbreedte die we hebben geobserveerd, maar wel met een hoog risico. Een controle op (ongekende) UDP/TCP verkeersstromen zal zorgen voor een snelle afname van de hoeveelheid malware.

Gerichte en selectieve ontsleuteling van applicaties die gebruik maken van SSL: selectieve ontsleuteling kan er samen met de bovengenoemde toegangsrechten voor zorgen dat bedrijven potentiële verstopplaatsen voor cyberbedreigingen kunnen ontdekken en uitroeien.

WK