Organisaties zien nieuwe typen cyberaanvallen niet aankomen

Bijna 9 op de 10 Europese CIO’s (87%) is al slachtoffer van een cyberaanval die is verborgen in versleuteld internetverkeer, of verwacht dit te worden. Dit verkeer kan niet worden geïnspecteerd, iets wat de beveiliging van bedrijven volgens 82% van de CIO’s minder effectief maakt. Organisaties zien nieuwe typen aanvallen hierdoor niet aankomen en kunnen de business hierdoor niet goed beschermen. 80% van de Europese CIO’s denkt dat gestolen encryptiesleutels en digitale certificaten de volgende grote markt voor hackers wordt. 73% van de Europese CIO’s is van mening dat hun strategie om IT en innovatie te versnellen bedreigt wordt door nieuwe kwetsbaarheden die daaraan gerelateerd zijn.

Dit zijn de belangrijkste conclusies uit onderzoek van Vanson Bourne in opdracht van Venafi, leverancier van het immuunsysteem voor het Internet, onder 300 Europese CIO’s. Venafi wijst erop dat Gartner voorspelt dat 50% van alle infrastructuuraanvallen de komende jaren via SSL/TLS worden uitgevoerd. Populaire securityoplossingen werken daardoor maar de helft van de tijd. De CIO’s beseffen dat die ineffectiviteit strategische plannen in gevaar brengt om snelle DevOps-gebaseerde IT-organisaties te bouwen.

Tienduizenden sleutels en certificaten

Organisaties vertrouwen op tienduizenden sleutels en certificaten, als basis voor het vertrouwen van hun websites, virtuele machines, mobiele apparatuur en cloud servers. Deze technologie wordt ingezet voor toepassingen variërend van online bankieren, veilig communiceren en mobiele applicaties, tot en met het ‘Internet of Things’. Elk IP-apparaat gebruikt sleutels en certificaten om een beveiligde en vertrouwde verbinding te creëren. Helaas worden onbeschermde sleutels en certificaten steeds vaker misbruikt door cybercriminelen. Zij willen zich hiermee verbergen in versleuteld verkeer om websites te imiteren, malware te installeren, privileges te verkrijgen en informatie te stelen.

Veel oplossingen voor ‘endpoint’ en ‘advanced threath’ protectie, nieuwe generatie firewalls, netwerkverkeeranalyses, IDS (intrusion detection system) en DLP (data loss prevention), bieden onvoldoende bescherming. De toepassingen zijn niet in staat te onderscheiden welke sleutels en certificaten te vertrouwen zijn. De oplossingen kunnen hierdoor het merendeel van het versleutelde netwerkverkeer niet inspecteren, waardoor gaten in de bedrijfsbeveiliging ontstaan. Criminelen maken graag gebruik van die blinde vlekken, door zich te verbergen in versleuteld verkeer en securitycontroles te omzeilen.

Cybersecurityfundering

“Sleutels en certificaten vormen de fundering van cybersecurity en authenticatiesystemen, om te laten zien dat software en apparatuur werkt zoals het hoort”, zegt Kevin Bocek, Vice President Security Strategy & Threath Intelligence bij Venafi. “Als die fundering instort zijn de gevolgen groot. Met een nagemaakte of gestolen sleutel en certificaat kunnen aanvallers zich namelijk voordoen als een vertrouwde gebruiker, voor het observeren van target websites, infrastructuren, clouds en mobiele apparatuur. Maar ook communicatie afluisteren waarvan men denkt dat deze veilig is.”

“De systemen die we hebben geïnstalleerd voor het creëren en verifiëren van online vertrouwen keren zich in toenemende mate tegen ons. Nog erger, leveranciers die zeggen dat ze ons kunnen beschermen, zijn daar onvoldoende toe in staat. Veel firewalls, IDS, DLP en andere oplossingen zijn waardeloos omdat ze een gevoel van schijnveiligheid creëren. Dit onderzoek toont aan dat Europese CIO’s beseffen dat ze miljoenen verspillen, omdat securitysystemen als FireEye niet eens de helft van alle aanvallen kunnen tegenhouden. Gartner voorspelt dat in 2017 meer dan de helft van alle aanvallen op organisaties, versleuteld verkeer gebruiken om controles te omzeilen. Wie zich realiseert dat de zakelijke netwerksecuritymarkt wereldwijd zo’n 74 miljard Euro bedraagt, beseft dat er veel geld wordt verspild aan oplossingen die maar een deel van de tijd effectief zijn.”

Afnemend vertrouwen in cybersecurity

“Het afnemend vertrouwen in cybersecurity is zelfs te zien op de financiële markt. In dezelfde periode dat 87% van de ondervraagde Europese CIO’s toegeeft miljoenen te verspillen aan ineffectieve oplossingen is namelijk het HACK cybersecurity fonds met 25% gedaald (vanaf november 2015). Terwijl sindsdien de S&P500-index in zijn totaliteit slechts 10% is gezakt”.

De risico’s gerelateerd aan onbeheerde en onbeschermde sleutels en certificaten worden groter naarmate het aantal toeneemt. Uit onderzoek van het Ponemon Institute blijkt dat organisaties gemiddeld ruim 23.000 sleutels en certificaten gebruiken. Terwijl 54% van de ondervraagde securityprofessionals toegeeft niet te weten waar deze allemaal worden gebruikt en beheerd, en wie er eigenaar van is. CIO’s blijken zich daarom zorgen te maken dat het toenemend gebruik van sleutels en certificaten voor nieuwe IT-toepassingen het probleem alleen maar vergroot.

Encryption Everywhere

In het licht van ‘Encryption Everywhere’ plannen, aangejaagd door de onthullingen van Edward Snowden, sprak 93% van de Europese CIO’s hun bezorgdheid uit over het kunnen beschermen van alle encryptiesleutels en certificaten. Als de snelheid van IT-veranderingen verder toeneemt door het creëren en beschikbaar stellen van flexibel schaalbare services, groeit het aantal sleutels en certificaten exponentieel. 73% van de CIO’s is van mening dat de DevOps-trend het lastiger maakt om te onderscheiden wat te vertrouwen is.

“Gartner voorspelt dat in 2017 driekwart van alle organisaties transformeert naar een tweeledige IT-infrastructuur”, vervolgt Bocek. “Bestaande uit een stabiel gedeelte voor bestaande toepassingen en een snel veranderend deel voor de IT in innovatieve en transformerende businessprojecten. Toch kan het gebruik van agile-methoden en DevOps tot ongewenst hoge risico’s en chaos leiden. In dat soort nieuwe omgevingen komt security vaak in het gedrang en kan het bijzonder moeilijk worden om te monitoren wat nog wel en niet te vertrouwen is.”

Immuunsysteem voor het Internet

“Om sleutels en certificaten beter te beschermen, is een immuunsysteem voor het Internet nodig”, concludeert Bocek. “Net zoals bij het menselijk lichaam laat zo’n systeem direct zien welke sleutels en certificaten wel en niet te vertrouwen zijn. Pas als dat volledig duidelijk is, neemt ook de waarde van andere investeringen in securityoplossingen toe”.