Het vandaag gepubliceerde Cisco 2014 Midyear Security Reportonderzoekt de ‘zwakke schakels’ in de beveiligingsaanpak bij bedrijven. Dergelijke zwakke schakels – bijvoorbeeld verouderde software, slechte code, afgedankte computerapparatuur of fouten van gebruikers – bieden cybercriminelen weinig in het oog vallende kwetsbaarheden om misbruik van te maken. Daarbij gebruiken ze een scala aan geavanceerde aanvalstechnieken, uiteenlopend van ransomware en infiltratie van encryptieprotocollen tot social engineering en spam die inhaakt op actuele gebeurtenissen.
Het rapport laat ook zien dat een te sterke focus op de in het oog lopende kwetsbaarheden het risico voor organisaties kan vergroten. Zij zouden meer aandacht moeten hebben voor ‘gewone’ risico’s en bedreigingen die minder opvallend zijn maar wel een grote impact kunnen hebben. Bijvoorbeeld door meer aanvallen uit te voeren op onopvallende, verouderde applicaties en infrastructuren met bekende kwetsbaarheden, proberen cybercriminelen te voorkomen dat hun activiteiten gedetecteerd worden. De focus van security-teams ligt immers meestal op de opvallende kwetsbaarheden, zoals het ‘Heartbleed’ lek in de veelgebruikte OpenSSL-versleuteling.
“Veel bedrijven richten zich op innovatie via internet. Om daarin te slagen, moet de bedrijfstop meer aandacht schenken cyberrisico’s en zorgen dat ze daarop meer grip krijgen. Cybersecurity gaat niet over technologie, het is een bedrijfsproces. Daarom moeten organisaties het bewustzijn rond deze cyberrisico’s op het meest senior niveau vergroten, inclusief de Raad van Bestuur. Alleen dan kan er binnen organisaties draagvlak ontstaan voor het structureel inventariseren en analyseren van kwetsbaarheden. Om zowel vóór, tijdens als na een aanval effectief te kunnen optreden, moeten organisaties vandaag de dag security-oplossingen gebruiken die overal actief zijn waar een bedreiging zich maar kan voordoen,” zegt John N. Stewart, senior vice president en chief security officer van Cisco.
Belangrijkste uitkomsten:
- Researchers hebben 16 grote multinationals nauwgezet onderzocht. Samen waren deze ondernemingen in 2013 goed voor een omzet van meer dan $300 miljard. De analyse leverde drie opmerkelijke inzichten op met betrekking tot een verband tussen ondernemingen en kwaadaardig verkeer.
- ‘Man in the browser’ aanvallen leveren risico’s op voor ondernemingen: bijna 94 procent van de netwerken van klanten die in 2014 zijn bekeken, blijken verkeer te onderhouden naar websites met malware. Het gaat met name om DNS-verzoeken voor hostnamen, waarvan het bijbehorende IP-adres gerelateerd is aan de distributie van de Palevo-, SpyEye- en Zeus-malwarefamilies die werken met een zogeheten ‘man-in-the-browser’ (MiTB) functionaliteit,
- Botnet-verstoppertje: van bijna 70 procent van de netwerkers werd geconstateerd dat deze DNS-verzoeken deden voor Dynamic DNS Domains. Dit is een bewijs dat netwerken misbruikt worden door botnets die DDNS gebruiken om hun IP-adres te veranderen en zo ontdekking of plaatsting op een blacklist voorkomen. Er zijn maar weinig connectiepogingen vanuit ondernemingen met dynamische DNS-domeinen die legitiem zijn. Het gaat in de meeste gevallen om ‘command & control’ berichten die de locatie van hun botnet willen verbergen.
- Versleutelen van gestolen data: bijna 44 procent van de in 2014 onderzochte netwerken van klanten blijken DNS-verzoeken te doen voor sites en domeinen met apparatuur die versleutelde channel services bieden. Deze services worden gebruikt door kwaadwillenden die hun sporen willen uitwissen door data te versturen via versleutelde kanalen, zoals VPN, SSH, SFTP, FTP en FTPS.
- Het aantal exploit kits is met 87 procent afgenomen sinds de (vermeende) maker van de zeer populaire Blackhole exploit kit vorig jaar werd gearresteerd, aldus de security researchers van Cisco. In de eerste helft van 2014 hebben enkele exploit kits geprobeerd het terrein over te nemen dat ooit gedomineerd werd door Blackhole, maar er is nog geen duidelijke winnaar.
- Java blijft zijn dubieuze reputatie houden als programmeertaal die het meest door kwaadwillenden wordt misbruikt. De security researchers hebben gezien dat in mei 2014 de Java exploits zijn gestegen tot 93 procent van alle ‘indicators of compromise’ (IOCs), vergeleken met 91 procent in november 2013 (zie het Cisco 2014 Annual Security Report).
- Ongewone toename van malware in verticale markten. In de eerste helft van 2014 stond de farmaceutische en chemische industrie, een zeer winstgevende industrie, wederom in de top drie branches met het meeste risico op web malware (op de derde plaats). Mediabedrijven en uitgeverijen staan bovenaan, gevolgd door luchtvaartmaatschappijen. Ingedeeld naar regio werden de mediabedrijven en uitgeverijen het meest getroffen in Amerika De voedingsindustrie werd het meest getroffen in Europa, Midden-Oosten en Afrika en in Azië-Pacific, China, Japan en India waren dat de verzekeringsmaatschappijen.
Over het rapport
Het Cisco 2014 Midyear Security Report onderzoekt bedreigingen en cybersecurity-trends in de eerste helft van 2014. Het rapport is ontwikkeld door security research experts die deel uitmaken van het Cisco Collective Security Intelligence (CSI) ecosysteem. Cisco CSI draagt bij aan security-oplossingen en biedt doeltreffende bescherming. Behalve uit onderzoekers van bedreigingen, bestaat CSI uit een informatie-infrastructuur, voorzieningen om metingen te verrichten rond producten en diensten, publieke en private informatiestromen en de open source gemeenschap.
Het Cisco CSI-ecosysteem omvat de Talos Threat Intelligence and Research Gruop, een team dat is samengesteld uit het voormalige Cisco Threat Research and Communications (TRAC) team, het Sourcefire Vulnerability Research Team (VRT) en de Cisco Security Applications (SecApps) groep. De expertise van Talos omvat software-ontwikkeling, reverse engineering, bepaling van kwetsbaarheden, onderzoek van malware en het verzamelen van informatie. Talos onderhoudt ook de officiële ‘rule sets’ van Snort.org, ClamAV, SenderBase.org en SpamCop.
