Bijna negen op de tien cyberdreigingen was vorig jaar verscholen in versleuteld verkeer
87% van alle cyberdreigingen tussen oktober 2023 en september 2024 zijn via versleutelde kanalen afgeleverd. Dit is een stijging van 10% ten opzichte van vorig jaar.
Dit blijkt uit het Zscaler ThreatLabz 2024 Encrypted Attacks-rapport van Zscaler, speler in cloudbeveiliging. Het rapport geeft een gedetailleerd overzicht van de nieuwste dreigingen die Zscaler’s security cloud heeft geblokkeerd en benadrukt hoe encryptie een doorgeefluik is geworden voor geavanceerde aanvallen. De opkomst van kunstmatige intelligentie (AI) maakt deze dreiging nog urgenter.
“De stijging in versleutelde aanvallen is zorgwekkend, zeker nu een groot deel van de dreigingen via HTTPS wordt verspreid”, zegt Deepen Desai, Chief Security Officer bij Zscaler. “Organisaties moeten inzetten op een Zero Trust-architectuur en TLS/SSL-inspectie op schaal om deze dreigingen effectief te stoppen, terwijl prestaties en gegevensbescherming intact blijven.”
Versleutelde malware domineert dreigingslandschap
Malware vormt 86% van de versleutelde aanvallen, met maar liefst 27,8 miljard gedetecteerde incidenten – een stijging van 19% op jaarbasis. Aanvallers zetten versleuteling in om schadelijke content en payloads te verbergen, zoals macro-gebaseerde malware en geïnfecteerde webpagina’s.
Volgens onderzoekers van ThreatLabz zijn dit de meest actieve malware-families:
- AsyncRAT
- Choziosi Loader/ChromeLoader
- AMOS/Atomic Stealer
- Ducktail
- Agent Tesla
- Koi Loader
Naast malware steeg het aantal webgebaseerde aanvallen, zoals cryptomining (123%), cross-site scripting (110%) en phishing (34%). De groei van generatieve AI draagt bij aan deze explosieve stijging.
Productiesector veruit het grootste doelwit
Met 42% van de aanvallen is de productiesector veruit het grootste doelwit van versleutelde dreigingen. De aanvallen op deze sector stegen met 44% in een jaar tijd, gevoed door de adoptie van Industrie 4.0 en verbonden systemen. Hierdoor groeit het aanvalsoppervlak aanzienlijk, waardoor fabrikanten kwetsbaarder zijn voor cyberdreigingen.
De top vijf vaakst getroffen sectoren zijn:
- Productie
- Technologie en communicatie
- Diensten
- Onderwijs
- Detail- en groothandel
VS en India vormen belangrijkste doelwitten
De Verenigde Staten, India en Frankrijk zijn het vaakst doelwit van versleutelde aanvallen. De VS en India zijn consequent de twee landen die het vaakst het doelwit zijn van cybercriminelen, wat hun waarde onderstreept voor cybercriminelen. ThreatLabz registreerde de volgende aantallen versleutelde aanvallen:
- Verenigde Staten – 11 miljard
- India – 5,4 miljard
- Frankrijk – 854 miljoen
- Verenigd Koninkrijk – 741 miljoen
- Australië – 672 miljoen
Zero Trust kan uitkomst bieden
Zero trust kan versleutelde dreigingen verstoren. Zscaler wijst er daarbij op de veelvoorkomende aanvalsvolgorde. Geavanceerde aanvallen verlopen vaak in vier fasen:
- In de eerste fase voeren aanvallers verkenningen uit om een toegangspunt naar het doelnetwerk te vinden.
- Daarna breken ze in in het netwerk, meestal via kwetsbaarheden, brute-force aanvallen of gestolen inloggegevens.
- Eenmaal binnen het netwerk verplaatsen ze zich lateraal, verhogen hun privileges en zorgen voor persistentie.
- Tot slot voeren ze hun uiteindelijke doelen uit, zoals het exfiltreren van gegevens, waarmee ze waardevolle informatie verzamelen die kan worden gebruikt voor verdere afpersing of aanvallen.
Het Zscaler Zero Trust Exchange-platform biedt beveiligingscontroles in elke fase van dit proces, waardoor risico's worden verminderd en versleutelde dreigingen effectief worden gestopt. Een belangrijk onderdeel van de aanpak van het Zscaler-platform is de mogelijkheid om volledige TLS/SSL-inspectie uit te voeren, dankzij een geavanceerde proxy-architectuur. Zscaler adviseert om 100% van het verkeer te inspecteren, zodat zowel gebruikers als organisaties beschermd worden tegen dreigingen die zich schuilhouden in versleutelde communicatiekanalen.
Organisaties kunnen hun bescherming tegen versleutelde aanvallen versterken door de volgende aanbevelingen op te volgen:
- Begrijp dat elke internetgerichte service kwetsbaar is voor aanvallen of misbruik.
- Inspecteer inkomend versleuteld verkeer om dreigingen tijdig te detecteren en te blokkeren.
- Maak gebruik van een zero trust-architectuur om alle vormen van connectiviteit veilig te stellen, zowel tussen gebruikers en applicaties als tussen apparaten zoals IoT- en OT-systemen, locaties, vestigingen, en cloudomgevingen.
- Implementeer microsegmentatie om de toegang tot netwerken te beperken, zelfs voor geverifieerde gebruikers.
- Zet een AI-gestuurde cloud-sandbox in om onbekende aanvallen te isoleren, in quarantaine te plaatsen en malware effectief tegen te houden voordat deze gebruikers bereikt.
- Verminder het aantal toegangspunten tot uw netwerk om de kans op aanvallen te verkleinen.
- Inspecteer zowel inkomend (zuidelijke richting) als uitgaand verkeer (noordelijke richting) om C2-communicatie te verstoren en gevoelige gegevens te beschermen.
Het ThreatLabz 2024 Encrypted Attacks-rapport biedt aanvullende inzichten en best practices om organisaties te helpen versleutelde aanvallen effectief te voorkomen. Het rapport is hier beschikbaar.