De ‘tegenstanders’ waar je als security-professional anno 2016 mee te maken hebt, zijn vooral veel professioneler dan enkele jaren geleden. Over ‘echt’ nieuwe security-dreigingen heeft Stefan de Wit, Security Consultant bij SecureLabs, onderdeel van SecureLabs, het dan ook bewust niet wanneer we hem hiernaar vragen. Hij ziet in de praktijk vooral dat bekende fenomenen als phishing en ransom- of cryptoware steeds volwassener en daarmee professioneler worden. ‘Professionele’ oude wijn in nieuwe zakken, zo beaamt hij.

“Cybercrime is een volwassen businessmodel en de kans van slagen is groot. Cybercriminelen ontpoppen zich tot professionele aanbieders van cybercrime-as-a-service binnen allerlei darknet-achtige marktplaatsen. Plekken waar ze kwaadwillenden de mogelijkheid bieden om het beste aanvalsmechanisme in te kopen voor hun specifieke doel”, legt De Wit uit.

“Een volwassen markt van vraag en aanbod waarbij net als voor aanbieders van legale producten en diensten reputatie van doorslaggevende betekenis is. Een inkoper koppelt diensten van de beste malware-ontwikkelaar en datahandelaar aan die van een malware-distributeur, in combinatie met de partij die de payment-delivery het best kan afhandelen. Zo ontstaat een keten van best of breed in cybercrime-as-a-service.”

‘Cybercrime is maatwerk geworden’

Deze professionele ketens van cybercriminelen gaan aan de slag voor de hoogste bieder. “Het zijn effectief opererende ondernemers die het geld volgen”, vat de security-specialist samen. Wat naast deze professionalisering volgens De Wit opvalt, is dat aanvallen steeds persoonlijker worden. “Voordat aanvallers toeslaan, wordt uitgebreid gerechercheerd via social media. Cybercrime is hiermee maatwerk geworden. Jij als persoon of als medewerker van een organisatie bent het specifieke slachtoffer.”

Dit geldt zeker wanneer cybercriminelen uit zijn op cruciale bedrijfsinformatie. Wat dit betreft zijn met name innovatieve bedrijven een belangrijk doelwit. Bedrijven waarbinnen intellectueel eigendom, patenten en octrooien een factor van belang zijn. Zij zijn immers bezig met ontwikkelingen die voor bijvoorbeeld regeringen van bepaalde landen, maar ook voor concurrenten erg interessant zijn. Het moeilijke hierbij is volgens De Wit dat de budgetten van de opdrachtgevers voor dit soort e-spionageactiviteiten vaak oneindig zijn.

Om je tegen deze professionele vorm van criminaliteit te wapenen, moet je je volgens De Wit allereerst bewust zijn van de gevaren. De opmerking ‘bij ons valt toch niks te halen’ is wat hem betreft anno 2016 eigenlijk op geen enkele organisatie meer van toepassing. “Elk bedrijf en elke organisatie beschikt over gegevens, assets of diensten die voor een ander van belang of waarde kunnen zijn. Je moet je daarom steeds weer afvragen welke risico’s je loopt en hier je niveau van beveiliging op afstemmen. Een continu proces.”

“De opmerking ‘bij ons valt toch niks te halen’ is anno 2016 eigenlijk op geen enkele organisatie meer van toepassing.”

Impact steeds groter

Maar welke bedrijven lopen nu het meeste risico? Als het gaat om afpersing middels ransom- en cryptoware is eigenlijk elke organisatie in de ogen van De Wit een mogelijk doelwit. Door de toenemende professionaliteit van cybercriminelen wordt de impact van hun acties volgens hem bovendien steeds groter.

“Neem de nieuwste methode van ransom- en cryptoware. Hierbij zie je een combinatie van een persoonlijk, op de gebruiker gerichte actie, in combinatie met nieuwe of bestaande kwetsbaarheden in Office- en Adobe-toepassingen. De ransom- en cryptoware versleutelt documenten, maar nestelt zich ook op het netwerk van de organisatie”, legt hij uit.

“Het openen van een bestand in een bijlage start een serie acties die niet alleen de bestanden van het slachtoffer encrypt, maar die ook software downloadt op het systeem van de gebruiker. De bijlage zelf lijkt een corrupt bestand, echter op de achtergrond worden diverse taken uitgevoerd. Zo wordt bijvoorbeeld de Windows VSS (Volume Snapshot Service) verwijderd zodat gecodeerde bestanden niet kunnen worden hersteld. De ransomware is zo ingesteld dat deze elke keer actief wordt wanneer de gebruiker opstart.”

Een voorbeeld van deze ransomware die zich gedraagt als worm is RAA ransomware binnen Java ZCryptor. Een gevaar waarvoor onder meer Micosoft onlangs nog waarschuwde. De worm zou zich via usb-sticks en netwerkmappen kunnen verspreiden waardoor snel meerdere systemen besmet raken.

Gebruiker blijft minst sterke schakel

De impact van de nieuwste vormen van ransom- en cryptoware neemt dus toe. Een stabiele factor blijft volgens De Wit dat de gebruiker de minst sterke schakel is in het geheel. “In de meeste gevallen komt ransomware immers op systemen/ netwerken terecht via interactie met de gebruiker”, legt hij uit. Awareness kweken onder medewerkers blijft wat hem betreft dan ook essentieel. “Je kunt in deze niet vertrouwen op technische oplossingen alleen”, benadrukt hij.

Aan het begrip awareness zit wat deze security-specialist betreft echter ook weer ‘een bovengrens’. “Je kunt mensen op de vloer niet eindeloos belasten met nieuwe protocollen. De dreiging van een protocollen-overload ligt altijd op de loer”, waarschuwt hij. “Het beste wat je als security-specialist kunt doen, is er vanuit gaan dat een gebruiker in de fout gaat. En je hierop voorbereiden door je steeds weer de vraag te stellen wat betekent het voor mijn organisatie wanneer dit gebeurt.”

Betalen om op die manier gegijzelde bestanden ‘los’ te krijgen, adviseert De Wit eigenlijk nooit. “Op die manier houd je het lucratieve businessmodel in stand. Hoe meer bedrijven en organisaties betalen, hoe meer tijd cybercriminelen bereid zijn erin te steken om dit soort malware steeds verder te ontwikkelen. Het is kiezen tussen twee kwaden. Toegeven aan criminelen of afscheid nemen van gegijzelde bestanden en verdergaan op basis van een back-up.”

De Wit geeft echter toe dat vanuit business perspectief betalen de meest effectieve manier kan zijn om de schade voor een organisatie te beperken.

Ransomware moet als je het aan De Wit vraagt anno 2016 dus nog steeds bij elke security-specialist hoog op zijn agenda staan. Het is volgens hem voor de meeste bedrijven namelijk niet de vraag of ze er last van krijgen, maar wanneer. Waarbij hij tot slot nog opmerkt dat de beste bewustwording in deze ‘helaas nog altijd een incident is’. “Bij veel bedrijven ontstaat pas dan de behoefte om daadwerkelijk stappen te nemen”, geeft hij aan.

Hoe beperk je gevolgen ransomware?

Welke maatregelen zou je als bedrijf sowieso moeten nemen om de gevolgen van ransomware zoveel mogelijk te minimaliseren.

  1. Software up-to-date houden;
  2. Rechten van gebruikers minimaliseren;
  3. Netwerk segmentatie doorvoeren;
  4. Vulnerability- en patchmanagement;
  5. IDS en anti-malware maatregelen;
  6. Logging en Monitoring;
  7. Maken en testen van back-up;
  8. Bewustwording van gebruiker verbeteren;
  9. Incident response processen inrichten en testen.

Gevaar van het Internet of Things

Een heel andere security-dreiging die De Wit signaleert, staat waarschijnlijk nog wat minder op ieders netvlies. Die van het Internet of Things (IoT). Een ontwikkeling die eraan bijdraagt dat onze fysieke en digitale wereld steeds meer samensmelten. Daarnaast groeit de afhankelijkheid voor gebruikers van digitale informatie en toepassingen hierdoor nog sterker dan voorheen. Waardoor ook de mogelijkheden voor misbruik volgens hem toenemen.

“Alle apparaten verbonden aan het internet vormen in feite een nieuwe ingang voor criminelen. Denk aan auto’s, systemen voor klimaatbeheersing, ijskasten, rookmelders, maar ook medische apparaten voor de monitoring van de gezondheid. Wanneer deze apparaten niet goed zijn beveiligd, kan iedereen ze binnendringen”, geeft hij aan.

Vraag is nu volgens De Wit wiens verantwoordelijkheid dit is. “Moeten bijvoorbeeld al dit soort apparaten getest worden op hackbaarheid? En zo ja, wie moet dit doen? Fabrikanten, branche-organisaties, de Consumentenbond?”

Beveiliging heeft tot op heden als het gaat om IoT volgens De Wit zeer beperkte prioriteit. Functionaliteit staat voorop. Dat biedt criminelen dus de mogelijkheid van een soort oneindige speeltuin. Wat hem betreft ligt hier een gezamenlijke verantwoordelijkheid van ontwikkelaars, fabrikanten, toezichthouders en wetgevers.

Security-professionals raadt hij vooral aan zich bewust te zijn van deze nieuwe dreiging. Je af te vragen wat voor jouw organisatie de belangrijkste dreigingen in deze zijn. En – zoals je ook doet in het geval van meer traditionele risico’s als het gaat om security – een plan maken om adequaat te kunnen reageren, mochten deze dreigingen werkelijkheid worden.

“Alle apparaten verbonden aan het internet vormen in feite een nieuwe ingang voor criminelen.”

Beste antwoord: Security Defense

‘Security Defense’ is hierbij volgens De Wit het sleutelwoord. Waarbij het wat hem betreft zaak is dat organisaties van preventief naar pro-actief gaan. Circa tachtig procent van de budgetten van IT-security worden besteed aan preventieve (IT-security) middelen. Inzicht in en kunnen reageren op dreigingen zijn onderbelicht.

“Weten wanneer een aanval plaatsvindt, weten waar de dreigingen zitten, weten waar een mogelijke aanval plaats gaat vinden”, vat hij samen. “Ben je zover dan heb je inzicht in je eigen kwetsbaarheid en weet je bovendien hoe je kunt voorkomen dat die kwetsbaarheden te exploiteren zijn. Het beste antwoord op de steeds professioneler wordende cybercrimineel.”

Top 5 bedreigingen komende tijd:

  • Social engineering via social media;
  • Persoonlijke of bedrijfs-nabootsing (zich voordoen als..);
  • Ransom/cryptoware op basis van in het artikel genoemde componenten;
  • Firmware aanvallen op IoT-toepassingen;
  • De onbewust en onbekwame gebruiker.

Dit artikel verscheen in PvIB magazine #5 2016. Het betreft een interview met Stefan de Wit, Security Consultant bij SecureLabs, door Sandra Kagie. Sandra Kagie is freelance tekstschrijver/journalist (website: www.sanscriptproducties.nl; twitter @SanSanscript). Als ervaren tekstschrijver en eindredacteur verricht zij uiteenlopende werkzaamheden op het gebied van tekst & taal. In het verleden is zij als eindredacteur nauw betrokken geweest bij ‘Informatiebeveiliging’.