Cisco: ‘Destruction of Service’-aanvallen op komst’

Een hacker (bron: FreeImages.com/Gabor Kalman)

Cyberdreigingen ontwikkelen zich steeds sneller en aanvallen worden steeds grootschaliger. Daarnaast zorgt de groei van het Internet of Things (IoT) ervoor dat bedrijven steeds meer onderdelen van hun bedrijfsvoering online zetten, waardoor de reikwijdte van een aanval groter wordt en aanvallen in potentie grotere schade kunnen aanrichten.

Dit blijkt uit het Cisco 2017 Midyear Cybersecurity Report. Op basis van deze trends voorspelt het een nieuwe aanvalscategorie met nog verder strekkende gevolgen: ‘Destruction of Service’ (DeOS). Door DeOS-aanvallen kunnen organisaties niet meer herstellen na een aanval omdat ze zich ook richten op backupsystemen en andere veiligheidsmaatregelen die bedoeld zijn voor herstel van data.

Destruction of Service-aanvallen

Recente aanvallen zoals WannaCry en Nyetya tonen de snelle verspreiding en grote impact van aanvallen die op traditionele ransomware (gijzelsoftware) lijken, maar in werkelijkheid veel destructiever zijn. Dit zijn voorbodes van Destruction of Service-aanvallen: aanvallen die veel meer schade aanrichten en bedrijven niet van kunnen herstellen.

Het Internet of Things blijft nieuwe mogelijkheden voor cybercriminelen bieden en de beveiligingslekken van het IoT zullen een centrale rol gaan spelen in nieuwe aanvalsgolven met nog veel grotere gevolgen. Recente IoT-botnetactiviteiten suggereren dat sommige aanvallers al bezig zijn het fundament te creëren voor een vérreikend cyberthreat-incident dat in potentie het internet zelf kan verstoren.

Sneller herstellen

Het is cruciaal om in het licht van deze aanvallen de effectiviteit van de beveiliging te meten. Zo houdt Cisco zijn vooruitgang bij door de detectietijd (time to detection – TTD) te verkorten. Dit is de tijd die nodig is om een cyberaanval binnen de organisatie te ontdekken. Kortere detectietijden zijn van cruciaal belang om de speelruimte van aanvallers te in te dammen en eventuele schade te minimaliseren.

“Complexiteit hindert de beveiligingsinspanningen van vele bedrijven”, zegt Michel Schaalje, Directeur Security Cisco Nederland. “Het is evident dat de jarenlange investeringen in allerlei losstaande beveiligingsproducten enorme kansen scheppen voor aanvallers die eenvoudig gaten in de beveiliging kunnen opsporen. Om de detectietijd te verkorten en de gevolgen van een aanval te beperken, is een geïntegreerde benadering van beveiliging noodzakelijk. Door meer zicht op het netwerk te ontwikkelen en door betere beheermogelijkheden zijn dergelijke gaten veel sneller te vinden en dichten. Cisco werkt ook daar hard aan. Sinds november 2015 heeft Cisco de time-to-detection (TTD) van aanvallen weten terug te dringen van 39 uur naar 3,5 uur. Hierdoor vermindert de impact van aanvallen sterk. Ook is sneller herstel mogelijk, waardoor de verstoring van de bedrijfsvoering beperkt blijft.”

Het huidige dreigingslandschap

De securityspecialisten van Cisco zagen malware in de eerste helft van 2017 verder evolueren en constateerden dat aanvallers steeds weer nieuwe methoden verzinnen om hun malware ongezien af te leveren en ontdekking te voorkomen. Het viel Cisco op dat slachtoffers van aanvallen steeds vaker zélf de aanval moeten activeren door op een link te klikken of een opgestuurd bestand te openen. Aanvallers ontwikkelen steeds meer ‘bestandsloze’ malware die zich volledig in het geheugen nestelt, waar het moeilijker te ontdekken is. Na een herstart is dit type malware vervolgens verdwenen. Ook wordt vaker een anonieme en gedecentraliseerde infrastructuur zoals een Tor proxyservice gebruikt om command and control-activiteiten te verbergen. Verder constateerde Cisco een opmerkelijke daling van het gebruik van exploit kits. Daar staat tegenover dat aanvallers nog steeds hun toevlucht zoeken tot traditionele methoden.

Enkele andere resultaten uit het onderzoek zijn:

  • Spamvolumes nemen sterk toe. Cisco denkt dat het aantal spam-mails met gevaarlijke bijlagen ook de komende tijd zal toenemen.
  • Spyware en adware, door beveiligers vaak ten onrechte als vervelend maar niet schadelijk beschouwd, blijven een risico voor bedrijven. Onderzoek van Cisco onder 300 bedrijven gedurende vier maanden wees uit dat drie bekende typen spyware 20% van de onderzoeksgroep besmet had. In een zakelijke omgeving kan spyware gebruikers- en bedrijfsinformatie stelen, de kracht van beveiligingsmaatregelen ondermijnen en zorgen voor meer malware-besmettingen.
  • De opkomst van Ransomware-as-a-Service maakt het voor aanvallers, ongeacht hun computerkennis, eenvoudig om een aanval op te zetten. Ransomware haalt de laatste maanden voortdurend de voorpagina’s en zou in 2016 naar schatting meer dan 1 miljard dollar hebben opgeleverd.
  • Maar er is nog een veel lucratievere dreiging, het zogenaamde Business Email Compromise (BEC). Dit is een aanval die via social engineering en emails verloopt en die slachtoffers op slinkse manieren geld naar buitenlandse rekeningen laat overmaken. Een zeer lucratieve aanpak: volgens het Internet Crime Complaint Center zou op deze manier tussen oktober 2013 en december 2016 5,3 miljard dollar zijn gestolen.

Proactieve houding

Om de steeds geavanceerdere aanvallen het hoofd te bieden moeten bedrijven een proactieve houding aannemen. Enkele adviezen van Cisco Security:

  • Bestrijd complexiteit door een geïntegreerde defensie. Beperk investeringen in losstaande oplossingen
  • Begrijp goed wat de risico’s zijn, wat het kost om die risico’s af te dekken in termen van investeringen in apparatuur en software en wat de winst is die je zo kunt behalen in termen van ononderbroken bedrijfsvoering
  • Stel duidelijke meetstandaarden vast. Gebruik deze om de beveiligingsbenadering te valideren en verbeteren.
  • Houd de infrastructuur en applicaties up-to-date, zodat aanvallers geen gebruik kunnen maken van bekende lekken
  • Geef werknemers beveiligingstraining die is toegesneden op hun functie binnen het bedrijf, in plaats van iedereen dezelfde training te geven
  • Blijf actief reageren op beveiligingsmeldingen, in plaats van één keer alle beveiligingsinstrumenten in te stellen en er verder nooit meer naar te kijken.

One Response to Cisco: ‘Destruction of Service’-aanvallen op komst’

  1. Ano schreef:

    Noem het dan een PDoS; Permanent Denial of Service

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *