Gastblog: Nick Onken - Major Account Manager Fortinet
Met grote regelmaat verschijnen artikelen over actuele cyberdreigingen en de prognoses over de steeds snellere ontwikkeling hiervan. Dat deze dreigingen steeds complexer worden en ook frequenter worden toegepast is een logisch gevolg van het snel evoluerende IT-landschap. Door ontwikkelingen zoals Digitale Transformatie en IoT is het aanvalsoppervlak simpelweg breder geworden en het einde is nog lang niet in zicht. Maar gelden deze dreigingen alleen voor de allergrootste organisaties, de zogenaamde enterprises, of is dit een misvatting?
De basisprincipes van security blijven namelijk voor iedere organisatie gelijk, ongeacht de grootte. Denk aan het inzichtelijk krijgen van alle assets, het inventariseren van risico’s en kwetsbaarheden op deze assets om hier vervolgens een adequate oplossing voor in te zetten. Uiteraard zo efficiënt mogelijk om kosten en (human) resources zo laag mogelijk te houden maar tegelijkertijd de impact te minimaliseren of geheel weg te nemen.
Onderschatting?
Verschillende onderzoeken tonen aan dat het midden- en kleinbedrijf zich aanzienlijk minder zorgen maakt over de dreigingen van cybercrime. Terwijl landelijke cijfers laten zien dat bijna de helft van de Nederlandse ondernemingen de afgelopen jaren hiervan slachtoffer is geworden. In de praktijk horen wij argumenten zoals “wij zijn geen interessant doelwit” of “wij zijn geen grote bank”. Een dergelijke houding toont aan dat veel organisaties zich niet bewust zijn van de risico’s die zij lopen en het eerder zien als een “ver-van-mijn-bed-show”. Een bijkomende reden kan zijn dat de MKB/Sub Enterprise organisaties minder resources hebben om de verschillende security-oplossingen te overzien, hier de juiste keuzes in te maken en deze vervolgens op een juiste manier te beheren.
Fortinet brengt elk kwartaal het Global Threat Landscape Report uit. Hierin komt een 4-tal dreigingen naar voren die toelichting verdienen omdat ze voor iedere organisatie gevaarlijk kunnen zijn:
1. Toename versleuteld verkeer
Analyse toont aan dat 72% van al het dataverkeer tegenwoordig versleuteld verkeer betreft. Hoewel veel organisaties zich bewust zijn van de toename van versleuteld verkeer, wordt controle op dit type verkeer veelal nog niet toegepast vanwege de performance impact op de security-apparatuur. Omdat veel leveranciers de performance cijfers niet opgeven, wordt het voor organisaties extra lastig om inspectie goed toe te passen.
Om deze reden kiezen organisaties vaak (onnodig) voor performance ten koste van security. Door de toename van ongecontroleerd, versleuteld verkeer wordt dit een interessante aanvalsvector om malware een organisatie binnen te krijgen. Veel dreigingen communiceren tegenwoordig versleuteld om onopgemerkt te blijven en kunnen zonder enige vorm van detectie uw netwerk binnendringen. Dit kan zelfs onbedoeld gebeuren, een vertrouwde applicatie die geïnfecteerd is, kan het netwerk infecteren.
2. Botnet-infecties hardnekkiger
Botnets zijn niet nieuw en hoewel wij geen extreme stijging in het aantal infecties hebben geconstateerd, zien we wel dat de levensduur van infecties binnen netwerken met 37% gegroeid is. Dit duidt op een complexer karakter van de infectie waardoor het ingewikkelder wordt om deze te detecteren.
Een botnet-infectie kan verschillende doelen hebben. Denk aan het stelen van gevoelige informatie van een device, zoals wachtwoorden die toegang geven tot kritische applicaties, of het stelen van intellectual property. Een ander doel kan zijn dat het betreffende geïnfecteerde device onderdeel wordt van een veel groter geheel en gebruikt kan worden voor een aanval naar derden om bijvoorbeeld websites plat te leggen (een zogenaamde DDos-aanval). Het gevolg van een botnet infectie wordt veelal onderschat. Belangrijk om te beseffen is dat op het moment dat een systeem geïnfecteerd is, een organisatie de controle (eigenlijk) niet meer heeft over het systeem. De impact op de performance van het netwerk kan tevens zeer nadelig zijn.
3. CryptoJacking
Een relatief nieuwe, maar zeer relevante dreiging is CryptoJacking. Hierbij wordt een systeem, zoals bij een botnet infectie, geïnfecteerd en gebruikt voor de rekenkracht. Hierbij zijn alle systemen potentieel doelwit.
Het minen naar Bitcoin op zich is geen nieuw principe. Echter door de exponentiële toename van verschillende Cryptocurrency en met name de waarde van deze valuta, is er een versnelde ontwikkeling van malware ontstaan die deze functie kan uitvoeren.
De malware is ontworpen om ongemerkt controle over systemen te verkrijgen en de rekenkracht te (blijven) misbruiken. Er zijn legio manieren om geïnfecteerd te worden. Populair onder aanvallers blijven phishing mails, of het besmetten van populaire websites om niets vermoedende bezoekers te infecteren. Er zijn ook al wormvarianten ontdekt, die na binnendringen in een netwerk van het ene geïnfecteerde systeem naar het volgende systeem gaan.
Er zijn al veel artikelen over CryptoJacking geschreven, echter belangrijk in deze context is dat kwaadwillenden op zoek zijn naar rekenkracht in volumes om de winsten te kunnen innen door op grote schaal de rekenkracht van netwerken te gebruiken. Het doel is om zoveel mogelijk systemen te infecteren. Uiteraard wordt hierbij geen onderscheid gemaakt tussen een MKB- organisatie of een multinational.
4. Gebruik van mobiele devices
De exponentiele groei van mobiele devices heeft het aanvalsoppervlak de afgelopen jaren enorm vergroot. Aanvallers zoeken steeds vaker naar kwetsbare, mobiele apparatuur om toegang te krijgen tot een netwerk. Voor veel organisaties is het ontzettend lastig om inzichtelijk te krijgen hoeveel en welke mobiele devices er connectie maken met het netwerk. Daarnaast is het vaak complex om de apparatuur die wel bekend is, op een veilige manier verbinding te laten maken met het netwerk.
Passende oplossingen
Zoals eerder in dit artikel beschreven is de security aanpak in beginsel voor elke organisatie gelijk; Asset Management om inzicht te verkrijgen en Vulnerability Management om vervolgens risicobepaling te doen. Op basis hiervan dienen vervolgens de juiste oplossingen toegepast te worden. Waarom kiezen organisaties in het midden- en kleinbedrijf dan niet voor deze aanpak terwijl de dreigingen aantoonbaar relevant zijn voor iedereen?
Mogelijk omdat men ervan uit gaat dat de dreigingen alleen voor “enterprises” van toepassing zijn en dus de gedegen securityoplossingen ook. Complexiteit en gebrek aan de juiste resources is waarschijnlijk een andere oorzaak. Op zich niet vreemd, aangezien complexiteit de grootste bedreiging is van een goede securityoplossing. Gelukkig is daar een oplossing voor aangezien securityoplossingen steeds vaker geconsolideerd worden tot één logisch werkend geheel waarbij automation een belangrijke rol speelt. Dit zorgt ervoor dat het beheer stukken minder complex wordt en daardoor ook veel minder beheertijd vergt. Hierdoor komt een goede security-architectuur ook binnen bereik voor organisaties met minder resources en financiële draagkracht op het vlak van IT.
Als dreigingen geen onderscheid maken als het gaat om omvang van een organisatie, hoeven security-oplossingen dat ook niet te doen. Laat je dus niet afschrikken door complexiteit of hoge kosten om enterprise-grade beveiliging toe te passen, ongeacht de omvang van de organisatie.
Mogelijkheden partnership Claranet en Fortinet
Met de Managed Firewall oplossing van Claranet is de basis voor jouw security architectuur binnen handbereik. Deze oplossing biedt ontzettend veel functionaliteit, waaronder onder andere vulnerability management. Deze basis kan je versterken door specifieke, aanvullende security oplossingen op relevante plaatsen toe te passen. Claranet voorziet hierbij in een stuk advies om tot een op maat gemaakte security-oplossing te komen. Denk hierbij bijvoorbeeld aan endpoint security, security monitoring, network access control en/of sandboxing technologie. Dit alles kan ingezet worden als een samenwerkend geheel dankzij de Fortinet Security Fabric!
Wij voorzien je met Claranet graag van een stuk advies.