Zwakke schakels in beveiligingsaanpak bedrijven in kaart gebracht

Cisco brengt de 'zwakke schakels' in de beveiligingsaanpak bij bedrijven in beeld. Denk hierbij aan verouderde software, slechte code, afgedankte computerapparatuur of fouten van gebruikers. Deze zwakke schakels bieden cybercriminelen weinig in het oog vallende kwetsbaarheden om misbruik van te maken. Daarbij gebruiken ze een scala aan geavanceerde aanvalstechnieken, uiteenlopend van ransomware en infiltratie van encryptieprotocollen tot social engineering en spam die inhaakt op actuele gebeurtenissen.

Het Cisco 2014 Midyear Security Report laat ook zien dat een te sterke focus op de in het oog lopende kwetsbaarheden het risico voor organisaties kan vergroten. Zij zouden meer aandacht moeten hebben voor ‘gewone’ risico’s en bedreigingen die minder opvallend zijn maar wel een grote impact kunnen hebben. Bijvoorbeeld door meer aanvallen uit te voeren op onopvallende, verouderde applicaties en infrastructuren met bekende kwetsbaarheden, proberen cybercriminelen te voorkomen dat hun activiteiten gedetecteerd worden. De focus van security-teams ligt immers meestal op de opvallende kwetsbaarheden, zoals het ‘Heartbleed’ lek in de veelgebruikte OpenSSL-versleuteling.

Meer aandacht voor cyberrisico's

“Veel bedrijven richten zich op innovatie via internet. Om daarin te slagen, moet de bedrijfstop meer aandacht schenken cyberrisico’s en zorgen dat ze daarop meer grip krijgen. Cybersecurity gaat niet over technologie, het is een bedrijfsproces. Daarom moeten organisaties het bewustzijn rond deze cyberrisico’s op het meest senior niveau vergroten, inclusief de Raad van Bestuur. Alleen dan kan er binnen organisaties draagvlak ontstaan voor het structureel inventariseren en analyseren van kwetsbaarheden. Om zowel vóór, tijdens als na een aanval effectief te kunnen optreden, moeten organisaties vandaag de dag security-oplossingen gebruiken die overal actief zijn waar een bedreiging zich maar kan voordoen,” zegt John N. Stewart, senior vice president en chief security officer van Cisco.

Researchers hebben 16 grote multinationals nauwgezet onderzocht. Samen waren deze ondernemingen in 2013 goed voor een omzet van meer dan $300 miljard. De analyse leverde drie opmerkelijke inzichten op met betrekking tot een verband tussen ondernemingen en kwaadaardig verkeer.

Man in the browser

'Man in the browser’ aanvallen leveren risico’s op voor ondernemingen: bijna 94 procent van de netwerken van klanten die in 2014 zijn bekeken, blijken verkeer te onderhouden naar websites met malware. Het gaat met name om DNS-verzoeken voor hostnamen, waarvan het bijbehorende IP-adres gerelateerd is aan de distributie van de Palevo-, SpyEye- en Zeus-malwarefamilies die werken met een zogeheten ‘man-in-the-browser’ (MiTB) functionaliteit,

Van bijna 70 procent van de netwerkers werd geconstateerd dat deze DNS-verzoeken deden voor Dynamic DNS Domains. Dit is een bewijs dat netwerken misbruikt worden door botnets die DDNS gebruiken om hun IP-adres te veranderen en zo ontdekking of plaatsting op een blacklist voorkomen. Er zijn maar weinig connectiepogingen vanuit ondernemingen met dynamische DNS-domeinen die legitiem zijn. Het gaat in de meeste gevallen om ‘command & control’ berichten die de locatie van hun botnet willen verbergen.

Versleutelen van gestolen data

Bijna 44 procent van de in 2014 onderzochte netwerken van klanten blijken DNS-verzoeken te doen voor sites en domeinen met apparatuur die versleutelde channel services bieden. Deze services worden gebruikt door kwaadwillenden die hun sporen willen uitwissen door data te versturen via versleutelde kanalen, zoals VPN, SSH, SFTP, FTP en FTPS.

Het aantal exploit kits is met 87 procent afgenomen sinds de (vermeende) maker van de zeer populaire Blackhole exploit kit vorig jaar werd gearresteerd, aldus de security researchers van Cisco. In de eerste helft van 2014 hebben enkele exploit kits geprobeerd het terrein over te nemen dat ooit gedomineerd werd door Blackhole, maar er is nog geen duidelijke winnaar.

Java

Java blijft zijn dubieuze reputatie houden als programmeertaal die het meest door kwaadwillenden wordt misbruikt. De security researchers hebben gezien dat in mei 2014 de Java exploits zijn gestegen tot 93 procent van alle ‘indicators of compromise’ (IOCs), vergeleken met 91 procent in november 2013 (zie het Cisco 2014 Annual Security Report).

Ongewone toename van malware in verticale markten. In de eerste helft van 2014 stond de farmaceutische en chemische industrie, een zeer winstgevende industrie, wederom in de top drie branches met het meeste risico op web malware (op de derde plaats). Mediabedrijven en uitgeverijen staan bovenaan, gevolgd door luchtvaartmaatschappijen. Ingedeeld naar regio werden de mediabedrijven en uitgeverijen het meest getroffen in Amerika De voedingsindustrie werd het meest getroffen in Europa, Midden-Oosten en Afrika en in Azië-Pacific, China, Japan en India waren dat de verzekeringsmaatschappijen.

Infographic

Cisco heeft de resultaten van haar onderzoek verzameld in een infographic.