Check Point adviseert om cybercriminelen voor te blijven
De enige manier om cybercriminelen de baas te blijven, is door ze telkens een stap voor te zijn. Dat was de centrale boodschap op het Summer Security Event dat IT-beveiliger Check Point op 6 juli organiseerde. Bijna 200 klanten en partners waren aanwezig. Ze werden bijgepraat over de laatste trends in security en hoe Check Point daar met nieuwe oplossingen op inspeelt. Het was de zesde maal dat het evenement werd georganiseerd.
‘Als je achter de feiten aanloopt, heb je echt een probleem’, houdt country manager Arthur van Uden (foto) zijn publiek voor. ‘Voor elk business platform in de organisatie moet de beveiliging op orde zijn. Dus ook voor mobiele apps die je vanaf smartphones wilt ontsluiten en voor thuiswerkplekken. Organisaties moeten IT security opnemen in hun businessplan. De vraag is: hoe neem je beslissingen over je business zonder daarbij de risico’s te vergroten?’
Herkenning van hackmethodes
Een stap in de juiste richting is het herkennen van veelgebruikte methodes van hacking, meent Oded Gonda. Volgens de vice president security products van Check Point slaan cybercriminelen vaak op dezelfde wijze toe, ondanks hun uiteenlopende motieven. ‘Of ze jouw IT nu aanvallen voor de lol, het geld, hun ideologische standpunten of uit politieke overwegingen, ze proberen eerst ongemerkt binnen te dringen en daarna hun slag te slaan.’
Gonda vertelt dat de leverancier er werk van maakt om cyberaanvallen te herkennen voordat ze schade berokkenen. ‘Ons team analyseert voortdurend eerdere aanvallen en malware en spreekt regelmatig klantorganisaties over de problemen die zij ondervinden. Zo gaan we de hacks steeds beter begrijpen, herkennen en eerder voorkomen.’ Deze kennis verwerkt het bedrijf onder andere in zijn endpoint beveiligingstoepassing SandBlast.
SandBlast tegen ransomware
Ransomware is een van de snelst groeiende vormen van cybercriminaliteit, vertelt Gonda. Criminelen plaatsen een programmaatje op de besmette computer, versleutelen daarmee bestanden of mappen en eisen geld om dit ongedaan te maken. Check Point SandBlast blokkeert volgens de Israëliër dagelijks veel ransomware. De toepassing onderschept zelfs zero-day aanvallen, waarbij code wordt gebruikt die nog niet eerder is ontdekt. De software herkent de ransomware dan aan het proces dat de aanval doorloopt. Behavioural analysis detection, noemt Gonda het. Als de ransomware is gedetecteerd, zet de beveiligingssoftware het in quarantaine en herstelt de versleutelde bestanden.
Flash-misbruik
Een andere veel voorkomende dreiging waartegen Check Point SandBlast beschermt, zijn aanvallen via Flash. Het misbruik van dit nog altijd populaire programma om media af te spelen, neemt hand over hand toe. De dreiging zit vooral in advertenties die met Flash werken, weet Gonda. Als een argeloze bezoeker op de advertentie klikt, wordt kwaadaardige code op de computer geplaatst of een besmette website opgevraagd. ‘Flash levert een vrijwel onophoudelijke stroom van kwetsbaarheden op en is gemakkelijk te misbruiken.’ SandBlast wordt binnenkort voorzien van de zogeheten Push Forward Flash Emulation, die kwaadaardige Flash-objecten binnen tien seconden onschadelijk maakt.
Real-time anti-phishing
Gonda noemt als grote dreiging ook phishing. Check Point SandBlast heeft sinds kort een browserextensie die real-time internetadressen controleert en nepsites blokkeert. De controle gebeurt niet alleen op basis van reputatie van websites, maar ook op andere aspecten waarmee de betrouwbaarheid van een web site wordt getoetst. Tot dusver duurde het gemiddeld tien uur en zes minuten voordat anti-phishing programma’s nieuwe nepsites opnamen in hun blacklist. ‘En dat terwijl mensen gemiddeld binnen een minuut en twintig seconden op een link in een e-mail klikken.’
KPN-hack
Tijdens het Summer Security Event sprak ook Jaya Baloo, sinds oktober 2012 chief information security officer (CISO) bij KPN. Zij vertelde over de security-uitdagingen waar een grote telecomaanbieder als KPN voor staat. Veel daarvan hebben te maken met de schaalgrootte en de aanwezigheid van vele netwerkprotocollen die vaak zijn verouderd.
Baloo werd bij KPN als CISO aangesteld na twee hacks die grote impact op de onderneming hadden. Bij de zogenoemde KPN-hack legde een jonge hacker een kwetsbaarheid in het netwerk bloot, waardoor hij toegang had tot driehonderd bedrijfssystemen. De inbraak bleef onopgemerkt totdat de tiener erover opschepte op sociale media. Vooral het feit dat de hacker ongemerkt zijn gang kon gaan, baarde iedereen veel zorgen, vertelt Baloo.
De andere spraakmakende hack betrof de zogeheten Baby-dump-hack. Daarbij achterhaalden hackers de inloggegevens van klanten van deze online babykledingwinkel. Vele hadden als gebruikersnaam hun kpnmail.nl-adres gebruikt en kozen als wachtwoord het wachtwoord dat ze ook daadwerkelijk voor hun kpnmail.nl-account gebruikten. Hierdoor leek het alsof een KPN-database was gehackt. Het kostte het telecombedrijf veel moeite om te achterhalen dat dit niet het geval was.
Herstel van vertrouwen
Na de hacks moest Baloo het consumentenvertrouwen in KPN herstellen. Dat deed ze aan de hand van een nieuwe securitymissie en maatregelen waarmee de organisatie beter en sneller inspringt op IT-dreigingen. De risico’s werden beter in kaart gebracht en onderzocht en het bedrijf investeerde in technologie en in de IT-beveiligingskennis van medewerkers.
Net als alle andere organisaties is KPN er nog niet, stelt Baloo. Marktpartijen delen te weinig informatie uit geconstateerde hacks, voor sommige netwerktechnologieën ontbreekt standaardisatie die nodig is voor de beveiliging en de opkomst van kwantumcomputers bedreigt cryptografie. ‘We hebben nog steeds geen goede manier om onze geheimen geheim te houden’, besluit de chief information security officer.
Cybercriminelen een stap voor blijven, was het motto van het Check Point Summer Security Event. Het lijkt een mooie belofte, maar is vooral een flinke uitdaging voor de toekomst. Het R&D-team van Check Point is daarom al druk bezig de ontwikkelingen van morgen te verwerken in de SandBlast van nu, besluit vice president security products Gonda.
Het Check Point Summer Security Event 2016 vond plaats in Mereveld nabij Utrecht. Het evenement werd mede mogelijk gemaakt door de kanaalpartners Westcon, Dimension Data, Avnet, Vosko, Onsight, Motiv, KPN, Qi ICT en Arrow.
Bekijk de video met Niels de Otter: Check Point beschermt met Mobile Threat Prevention en SandBlast
Door: Diederik Toet
