Groeiende kloof tussen perceptie en realiteit beveiliging tegen cyberdreigingen
21 januari 2015 -
Het Cisco 2015 Annual Security Report, dat informatie geeft over cybersecurity-dreigingen en trends, signaleert dat het voor organisaties nu ‘alle hens aan dek’ is om zich te verdedigen tegen cyberaanvallen.
Aanvallers zijn beter geworden in het misbruiken van gaten in de beveiliging om ontdekking te voorkomen en zo met hun kwaadaardige activiteiten onder de radar te blijven. De verdedigers, te weten de security-teams, moeten voortdurend de aanpak verbeteren om hun organisaties te beschermen tegen cyberaanvallen die steeds geavanceerder worden. Dit wordt verder gecompliceerd door de geopolitieke drijfveren van de aanvallers en door conflicterende lokale wet- en regelgeving rond de bescherming en van versleuteling data, en de plaats waar data zich moeten bevinden.
Fred Noordam, Area Manager BeNeLux Security bij Cisco: "Veel organisaties hebben cybersecurity weggestopt in IT-afdelingen. Maar het moment is aangebroken dat iedereen binnen de organisatie moet bijdragen aan security, van de raad van bestuur tot en met de individuele gebruikers. We maakten ons zorgen over DDoS-aanvallen, nu moeten we ons ook zorgen maken over vernietiging van bedrijfsinformatie. We waren ooit bezorgd over diefstal van intellectueel eigendom, nu moeten we bezorgd zijn over uitval van bedrijfskritische diensten. Onze tegenstanders worden steeds beter in het misbruiken van kwetsbaarheden en kunnen aanvallen goed verbergen. Security moet standaard ingebouwd zijn beschermen en tegen alle mogelijke aanvallen. Dat betekent dat de technologie ook met dit doel ontworpen en gebouwd moet zijn. Ook online diensten moeten tegen aanvallen bestand zijn. Dat alles moet nú gebeuren om onze toekomst veilig te stellen. Daarvoor is leiderschap, samenwerking en verantwoordelijkheid vereist, in een mate die we in ons segment niet eerder hebben gezien."
Aanvallers
Cybercriminelen breiden hun tactieken uit en passen hun methoden aan om aanvalscampagnes zodanig uit te voeren dat detectie en analyse moeilijker worden. De drie belangrijkste trends op dit gebied zijn:
Snowshoe Spam - Aanvallers sturen kleine hoeveelheden spam vanaf heel veel verschillende IP-adressen om detectie te voorkomen. Zo kunnen gecompromitteerde accounts op verschillende manieren misbruikt worden. Dit wordt een populaire aanvalsmethode.
Web exploits die verborgen blijven – veel gebruikte exploit kits (kant-en-klare pakketten met aanvalssoftware) worden nu in korte tijd onschadelijk gemaakt door securitybedrijven. Met als gevolg dat cybercriminelen nu minder gangbare kits gebruiken om hun aanvallen uit te voeren – een duurzaam ‘business-model’, want dit trekt veel minder de aandacht.
Kwaadaardige combinaties – Flash en JavaScript zijn van oudsher al onveilig, maar omdat de detectie en verdediging van kwetsbaarheden steeds beter worden, zijn aanvallers exploits gaan gebruiken die de zwakheden van beide combineert. Een voorbeeld is het verdelen van exploits over twee bestanden – een Flash-bestand en een JavaScript-bestand – om ontdekking en blokkade door security-apparatuur moeilijker te maken. Ook de analyse met ‘reverse enigineering tools’ wordt zo bemoeilijkt.
Gebruikers
Eindgebruikers bevinden zich in een lastig parket. Zij vormen niet alleen het doelwit maar helpen de cyberaanvallers ook, zonder dat zij zich daar bewust van zijn. Het Cisco-onderzoek naar dreigingen heeft uitgewezen dat de aanvallers in de loop van 2014 hun focus gaandeweg verlegd hebben van servers en besturingssystemen naar de gebruikers op het niveau van de browser en e-mail. In 2014 hebben gebruikers door middel van malware-downloads van besmette sites bijgedragen aan een stijging van 228 procent van de aanvallen op Microsoft Silverlight en een toename van 250 procent van spam en malvertising exploits.
Verdedigers
De resultaten van Cisco’s Security Capabilities Benchmark Study, een onderzoek onder Chief Information Security Officers (CISOs) en Security Operations (SecOps) managers van 1.700 bedrijven in negen landen, wijst op een toenemende kloof tussen waartoe de verdedigers denken dat hun security in staat is en de werkelijkheid. Specifiek: 75 procent van de CISOs denkt dat de eigen security zeer of buitengewoon effectief is. Daar staat tegenover dat minder dan de helft van de respondenten gebruikmaakt van patching en configuratie om het doorbreken van de beveiliging te voorkomen en te controleren of zij de nieuwste softwareversies gebruiken. Heartbleed was bijvoorbeeld het afgelopen jaar een ernstige kwetsbaarheid waar zeer veel aandacht voor is geweest. Toch was van alle geïnstalleerde OpenSSL-versies bij de respondenten 56 procent meer dan vier jaar oud. Dit is een sterke aanwijzing dat security teams niet patchen.
Hoewel veel verdedigers geloven dat zij hun processen geoptimaliseerd hebben en dat hun securitytools effectief zijn, moet hun beveiliging hoogstwaarschijnlijk worden verbeterd.
Het rapport concludeert dat het hoog tijd is voor de bedrijfsleiding om een rol te spelen bij het bepalen van de beveiligingsprioriteiten en -verwachtingen. Cisco’s ‘Security Manifesto’, een reeks uitganspunten voor een beveiligingsfundament, kan de bedrijfsleiding, securityteams en gebruikers helpen om de cybersecurity-uitdagingen beter te begrijpen en om er beter op te reageren. Het kan dienen als een uitganspunt voor organisaties die een dynamische aanpak willen. De uitgangspunten zijn:
- Security moet als een groeimotor voor de business worden beschouwd
- Security moet werkbaar zijn en werken met de huidige architectuur
- Security moet transparant en informatief zijn
- Security moet zichtbaarheid bieden en de juiste acties mogelijk maken
- Security moet gezien worden als een ‘mensenprobleem’
Het is wishful-thinking.
Ik heb nog geen effectief veilige infrastructuur omgeving gezien, dan wel een voldoende volwassen ICT ontwikkel en beheer organisatie. Met een goede architectuur en beheerorganisatie kun je een groot deel van de security problemen oplossen, c.q. voorkomen, tezamen met de awareness van gebruikers. Helaas is de basis van het beheer werk zoals patching nog steeds niet goed ingeregeld, dit is zeer onprofessioneel te noemen.
Bij Security gaat het om drie belangrijke zaken: Mensen, Processen en Techniek. Van alle security incidenten wordt 40% veroorzaakt door menselijk handelen. Duurzaam veilig gedrag vergroot de weerbaarheid van een organisatie en verkleint het aantal security incidenten. Medewerkers zijn zich vaak niet bewust van hun onveilige handelen. Security awareness gaat vaak gepaard met het veranderen van gedrag. Dat bereik je niet door het personeel éénmaal per jaar even 10 vinkjes te laten zetten in een ''awareness audit''. Duurzame weerbaarheid bereik je alleen als je security op de agenda van de organisatie zet. Senior management dient hun commitment te geven aan een security awareness programma en hun staf te stimuleren om transparantie te creëren door er bijvoorbeeld over te praten tijdens afdelingsvergaderingen. Incidenten (ja, ook een phishing email is een incident!) dienen gerapporteerd te worden aan een centraal contactpersoon. Er dient in kaart gebracht te worden welke informatie je eigenlijk allemaal hebt in de organisatie. Als je niet weet wat je hebt kun je het ook niet beschermen! en ten slotte: Ook mensen hebben security updates nodig! Regelmatige opfris sessies zijn daarom van groot belang om het onderwerp security in het vizier te houden van de hele organisatie. Met vriendelijke groet, Rob Koch