Witold Kepinski - 22 februari 2018

Cloud maakt cyberaanvallen heftiger

Cloud maakt cyberaanvallen heftiger image

Malware wordt steeds geavanceerder, nu aanvallers clouddiensten gebruiken voor hun aanvallen. Ook vermijden zij ontdekking door versleuteling, met als doel command-and-control* activiteiten te verbergen. Om aanvallers zo snel mogelijk te ontdekken, gebruiken beveiligingsspecialisten steeds vaker tools die gebaseerd zijn op kunstmatige intelligentie (artificial intelligence, AI) en machine learning (ML). Dit blijkt uit het elfde Cisco 2018 Annual Cybersecurity Report.

Hoewel versleuteling de beveiliging verbetert, maakt versleuteld webverkeer (50% per oktober 2017) het moeilijker om potentiële gevaren te ontdekken. Cisco-onderzoekers meldden over de laatste twaalf maanden ruim drie keer zoveel versleutelde netwerkcommunicatie door malware.

“We zien dat het afgelopen jaar een nieuwe dynamiek is ontstaan tussen aanvallers en verdedigers. Zij maken beiden gebruik van encryptie en geavanceerde technologieën, zoals machine learning. Aanvallers doen dat om ontdekking te voorkomen en hun ‘efficiency’ te verbeteren. Verdedigers zetten deze technologieën juist in om hun data en systemen ontoegankelijk te maken en om aanvallers sneller te ontdekken,” zegt Michel Schaalje (foto), Directeur Security Cisco Nederland. “Voor securityleveranciers is het een uitdaging om niet achter te raken in deze technologische wapenwedloop. Dat we de ‘time to detection’ drastisch hebben weten terug te brengen terwijl het malwareverkeer met een factor 10 is toegenomen, laat zien dat we tegen deze uitdaging zijn opgewassen.”

Versleuteling

Technieken zoals machine learning helpen om de beveiliging van het netwerk te verbeteren door ongewone patronen in versleuteld webverkeer, clouds en IoT-omgevingen te ontdekken. Een deel van de 3600 Chief Information Security Officers die voor de Cisco 2018 Security Capabilities Benchmark Study werden ondervraagd, gaf aan afhankelijk en zeer bereidwillig te zijn ML- en AI-tools in te zetten. Maar het hoge aantal false positives dat dergelijke tools genereert, vinden zij frustrerend. Hoewel deze technologieën nog in hun kinderschoenen staan, kunnen AI en ML na verloop van tijd wel degelijk aanleren wat op het netwerk normale activiteiten zijn en wat niet.

Belangrijkste uitkomsten

Financiële schade door aanvallen is niet langer een hypothetisch bedrag
Volgens de respondenten resulteerde meer dan de helft van alle aanvallen in schade van meer dan $500.000, bijvoorbeeld door verloren omzet

Supply chains steeds meer onder vuur
Aanvallen op supply chains kunnen computers op grote schaal en langdurig besmetten. Beveiligers moeten zich bewust zijn van het potentiële risico van software en hardware, afkomstig van bedrijven die geen gedegen security-achtergrond hebben.

Twee van dergelijke aanvallen in 2017, Nyetya en Ccleaner, infecteerden gebruikers via vertrouwde software.

Beveiligers moeten afgaan op onafhankelijke tests van beveiligingstechnologieën om het risico van aanvallen op supply chains te verminderen.

Security wordt complexer, aanvallen verbreden zich
Beveiligers gebruiken vaak een mix van oplossingen. Maar de complexiteit die dit met zich meebrengt in combinatie met de toegenomen aanvallen maakt een organisatie ook weer kwetsbaarder.

In 2017 gebruikte 25% van de beveiligingsprofessionals producten van 11 tot 20 leveranciers: vergeleken met 16% in 2016.

Zij gaven ook aan dat 32% van de aanvallen meer dan de helft van hun systemen raakte, in 2016 was dat nog 15%.

Tools voor gedragsanalyse gewaardeerd
92% van de ondervraagde beveiligingsspecialisten geeft aan dat tools voor gedragsanalyse (behavior analytics) goed werken.

Vooral in de gezondheidszorg en bij financiële instellingen is dergelijke software bruikbaar om kwaadaardige software te identificeren.

Gebruik van de cloud groeit; hackers exploiteren gebrek aan beveiligingskennis

27% van de beveiligingsspecialisten gebruikt externe privéclouds (off premise), tegenover 20% in 2016.

Van deze groep geeft 57% aan dit te doen vanwege een betere databeveiliging, 48% vanwege schaalbaarheid en 46% vanwege het gemak.
Hoewel de cloud een betere databescherming biedt, hebben securityteams moeite om de snel groeiende cloudomgevingen te beveiligen. Hackers maken hier misbruik van. Met een combinatie van best practices, geavanceerde beveiligingstechnologieën zoals machine learning en verdedigingstools zoals cloud securityplatforms, kunnen securityteams deze omgevingen beter beschermen.

Malwarevolumes beïnvloeden time to detection
Cisco meldt een time-to-detection (TTD) van 4,6 uur voor de periode van november 2016 tot oktober 2017. Dit is ver onder de 39 uur TTD die in het 2016 Annual Security Report werd gemeld en ruim onder de 14 uur TTD van het 2017 Report.
Dankzij gebruik van cloudgebaseerde beveiligingstechnologie wist Cisco deze TTD op een laag niveau te houden. Een snellere TTD stelt verdedigers in staat om aanvallen sneller af te slaan.

Extra aanbevelingen

Zorg ervoor dat de verdedigers zich houden aan het bedrijfsbeleid en –richtlijnen voor het patchen van applicaties, systemen en apparatuur.
Gebruik de meest recente en accurate dreigingsinformatie en zorg ervoor dat de security-monitors hiervan gebruik kunnen maken.
Voer diepere en geavanceerdere analyses uit.
Maak vaak back-ups en test de restore-procedures. Dit zijn kritische processen in de wereld van snel bewegende netwerkgebaseerde ransomware-wormen en destructieve cyberwapens.
Voer veiligheidsscans uit op microservice-, cloud service- en applicatiebeheersystemen.

*) Command-and-control aanvallen maken gebruik van servers die commando’s geven aan de computers in een botnet.

Het volledige Cisco 2018 Annual Cybersecurity Report is hier te vinden.

 

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!