Nieuwe, geavanceerde bedreigingen richten zich op bedrijven
15 november 2010 -
Webbedreigingen zijn niet langer voorspelbaar. Nieuwe, gecombineerde bedreigingen, zoals Aurora, Stuxnet en Zeus, infiltreren organisaties via gecoördineerde tactieken. Ze gebruiken vaak verschillende manieren, waaronder phishing, geïnfecteerde websites en social-networking. Deze middelen worden gecoördineerd ingezet om vertrouwelijke data te stelen.
Dit blijkt uit het Threat Report 2010 van Websense. Opmerkelijke bevinding: Nederland heeft de discutabele eer om in de top vijf te staan van crimewarehosts. De uitkomsten van het Threat Report 2010 zijn gebaseerd op analyses van de Websense Security Labs, dat daarbij gebruikmaakt van het ThreatSeeker Network. Dit netwerk scant elk uur meer dan 40 miljoen websites op kwaadaardige code en ongewenste content. De resultaten in 2010 laten zien dat cybercriminelen zeer succesvol zijn mede dankzij de zwakke beveiliging in legacy-technologieën, waaronder firewalls, antivirus en eenvoudige URL-blokkers.
Geen bescherming
Het rapport laat zien dat de legacy-benadering niet meer werkt. Elke organisatie heeft antivirussoftware, firewalls en proxies geïnstalleerd, maar dat is niet langer voldoende. De bedreigingen komen niet meer binnen als bestanden bij e-mails, maar zijn vaak gescript en opgenomen in rich media, zoals Flash. Veel bedreigingen verspreiden zich razendsnel via sociale netwerken. Reputatiefilters bieden geen enkele zekerheid voor content die via legitieme websites, zoals Google, Facebook en YouTube, verspreid wordt. Deze sites zijn goed voor 80 procent van al het internetverkeer.
Opmerkelijk resultaten • Tussen 2009 en 2010 steeg het aantal sites met kwaadaardige inhoud met 111,4 procent.
• 79,9 procent van de sites met kwaadaardige code waren legitieme sites die geïnfecteerd werden.
• 52 procent van de aanvallen om data te stelen, vindt plaats via het web.
• 34 procent van kwaadaardige web/HTTP-aanvallen omvat code om data te stelen.
• 89,9 procent van alle ongewenste e-mails linkt naar spamsites of kwaadaardige sites.
• De Verenigde Staten en China staan bovenaan voor wat betreft het hosten van crimeware en het ontvangen van gestolen data. Nederland heeft de top 5 bereikt.
• Het zoeken naar nieuws zorgt voor een hoger risico (22,4 procent) dan het zoeken naar dubieuze content (21,8 procent).
• 23 procent van de real-time zoekresultaten over entertainment leidt naar een kwaadaardige link.
• 40 procent van alle Facebook-statusupdates bevat links en tien procent daarvan leidt naar spam of kwaadaardige code.
Ongeïdentificeerde dreiging
Cybercriminelen weten als geen ander dat legacy-technologieën alleen kijken naar bekende informatie (de signatures) of naar de reputatie van eerder vastgestelde bedreigingen. Maar de meeste bedreigingen van dit moment zijn zero-day, wat wil zeggen dat ze niet eerder zijn geïdentificeerd. Ze worden steeds doorontwikkeld en door cybercriminelen getest op ontdekking door de bekende antivirusproducten. Deze bedreigingen worden niet gehinderd door firewalls en vinden hun weg makkelijk door open kanalen.
Georganiseerde cybercriminaliteit
"De continue toename van georganiseerde bendes van cybercriminelen en de opkomst van gerichte, geavanceerde malware zijn de meest zorgelijke trends die we zien", zegt Dan Hubbard, Chief Technology Officer van Websense. "De beveiliging moet de aanvaller vóór blijven en zich richten op contextuele classificatie, zodat criminelen tegengewerkt worden. Eenvoudige toegangscontrole op bestanden en de slotgrachtbeveiliging lossen de problemen van de complexe aanvallen niet op. Het zijn juist deze complexe aanvallen die wij voor ogen hebben bij het ontwikkelen van onze beveiligingsproducten."
Aangepaste strategie
Cybercriminelen hebben hun strategieën in 2010 aangepast en benaderen nu social media en sites met door gebruikers gegenereerde content. Aanvallen zijn nu gemengd, geavanceerd en gericht. Veel aanvallen gebruiken nieuwe methoden. Scriptgebaseerde aanvallen, gemengde e-mailcampagnes en SEO-‘vergiftiging’ zijn in 2010 veel gebruikt. Zelfs de meest eenvoudig te ontdekken bedreigingen en botnets worden met succes hergebruikt. Hun varianten wisten vaak door de gedateerde beveiligingsmethoden heen te komen. De meeste aanvallen in 2010 richtten zich op het stelen van data.
Recente aanvallen
Het rapport van Websense gaat ook in op recente aanvallen van onder meer Aurora, Stuxnet en Zeus. Het biedt daarnaast gegevens over de top vijf van hosts met code om data te stelen, een uitgebreide analyse van sociale webcontent en bedreigingen, en een diepgaande analyse van de belangrijkste sociale netwerken.
Websense Security Labs geeft in het rapport ook een vooruitblik op 2011 met voorspellingen over nieuwe, gecombineerde bedreigingen, terrorisme en dataverlies.