Meer dan zes op de tien organisaties doen er langer dan drie maanden over om een cyberinbraak op te merken. Een paar organisaties ontdekken zelfs pas jaren na de hack dat er ooit is ingebroken. In 2012 duurde het gemiddeld 210 dagen voor een aanval werd opgemerkt. Beveiligingsbedrijf Trustwave onderzocht 450 hacks bij bedrijven en kwam tot deze conclusie.
Nog erger: 14 procent van de gevallen worden pas na een jaar of twee opgemerkt en één op de twintig doet er zelfs nóg langer over. De vraag die dit oproept is vooral: waarom zien IT-afdelingen niet eerder dat er is ingebroken? En waarom komen cybercriminelen eigenlijk zo eenvoudig binnen?
Snel te kraken
De meerderheid van de hacks bij bedrijven – zo’n 45 procent van de digitale inbraken – richt zich op de retailsector om langs deze weg betalingsgegevens op te vangen. De reden dat hackers hier relatief eenvoudig binnenkomen ligt voor een groot deel aan de complexe infrastructuur waar winkelketens en hun leveranciers aan vastzitten. Diensten die door derde partijen en partners gebruikt worden, voldoen vaak niet aan de simpelste wachtwoordeisen. De helft van de bedrijven beveiligen de toegang tot het systeem met een eenvoudig te raden – en snel te kraken – wachtwoord.
“Zo’n grote basis van gebruikers maakt beheer een uitdaging. Om het makkelijker te maken, kiezen veel dienstverleners voor een tool die altijd aanstaat – duidelijk niet de veiligste optie”, waarschuwt Trustwave in het Global Security Report 2013. Volgens het beveiligingsbedrijf moet er minder op individuele producten worden vertrouwd en moet security gaan leven bij het hele proces: ontwikkelaars moeten er rekening mee houden bij het ontwerp, personeel moet getraind worden in verstandig gebruik en er zouden regelmatig pentests moeten worden uitgevoerd.
Geen eigen controle
De onderzoekers ontdekken inbraken die de bedrijven zelf gemist hebben dus wel. De reden daarvoor is dat bedrijven vertrouwen op geautomatiseerde bescherming als een firewall en antivirussoftware. Op zich niets mis mee, maar als een aanvaller voorbij deze bescherming komt, bijvoorbeeld met nieuwe malware of een gat in de firewall, is er geen manier om te zien dat er iets onoorbaars is gebeurd in het systeem.
“In de afgelopen twee jaar zijn aanvallen een stuk complexer geworden, waardoor aangeschafte detectieprogramma’s, zoals commerciële antivirusprogramma’s, niet effectief blijken”, stelt Trustwave. Bedrijven zijn volgens de onderzoekers vaak verbaasd dat er een hack heeft plaatsgevonden en vragen zich vervolgens af hoe ze het netwerk dan wél moeten beschermen.
Trustwave raadt aan om geen totaalsuites tegen het netwerk aan te gooien, maar te zoeken naar oplossingen die passen binnen de beveiligingsstrategie van het bedrijf. De onderzoekers hebben meer vertrouwen in real-time analyse van netwerkverkeer, door middel van bijvoorbeeld packet inspection.
Aanvallen via PDF Reader
Het rapport ontdekte dat Roemenië niet alleen de bron is van verdacht paardenvlees. Het land staat ook aan kop in de lijst van gebieden waar de meeste cybercriminelen vanuit aanvallen. Of tenminste, de aanvallen gebeuren via servers en IP-adressen uit Roemenië. Het overgrote deel (70 procent) van de cyberaanvallen wordt uitgevoerd door de Blackhole Exploit Kit te gebruiken.
Die hackertool verzamelt lekken in gaten in allerhande browsertoepassingen en bouwt op maat gemaakte webpagina’s die deze lekken misbruiken om malware af te leveren bij websitebezoekers. Zo levert Blackhole drive-by-malware (trojans die via automatische plug-ins zonder tussenkomst van de gebruiker worden geïnstalleerd) voor gaten in onder meer Java en Flash. Zes van de tien aanvallen bij bedrijven die Trustwave analyseerde werden uitgevoerd via Adobe’s PDF Reader.
Het is lastig om te zien wat er precies wordt gestolen. Een kwart van de gestolen data wordt versleuteld naar een aansturende server verzonden. Om dit soort dataverlies zoveel mogelijk tegen te gaan is niet alleen een goede virusscanner belangrijk – nieuwe varianten van malware kunnen daar langs glippen – maar is het belangrijk om de systemen zoveel mogelijk gepatcht te houden met de nieuwste updates van browsers en plug-ins. Als een virusscanner nieuwe rotzooi niet herkent, is het netwerk alsnog beveiligd als het aflevermechanisme (bijvoorbeeld een PDF-lek) niet functioneert.
Reageer
Preview