gelaagdebescherming ControlNow Whitepaper TM
Dertien dagen cybercriminaliteit.
Inhoudsopgave
Inhoudsopgave 3 Bedrijven op het internet – een beangstigende realiteit
4
Verzamelt u geen creditcardgegevens? Maakt niet uit
5
Bedrijven moeten zich beschermen van alle kanten
6
Cybercriminaliteit als dienst
8
Hoe uw mkb kan voorkomen dat het in gevaar wordt gebracht
9
Samenvatting 10
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 2
Introductie
Dertien dagen. Een loutere hartslag in de polsslag van een leven en toch werden honderdduizenden dollars, zo niet miljoenen, verloren aan cybercriminaliteit in dat korte tijdsbestek. Al deze incidenten (en nog veel meer incidenten die niet aangegeven zijn) vonden plaats tussen 25 september 2014 en 8 oktober 2014. Dit is de beangstigende realiteit van het hebben van uw bedrijf op het internet tegenwoordig. Enkele voorbeelden van inbreuken op de beveiliging waar dit artikel op ingaat:
›› ›› ›› ›› ››
Actieve exploit van de Shellshock-fout in Bash, 500 miljoen Unix- en Linux-computers beïnvloed Japan Airlines bevestigt inbreuk op gegevens van 750 duizend klanten Viator, een website van Trip Advisor, bevestigt inbreuk op 1,4 miljoen betaalkaarthouders De beveiligingsinbreuk bij JP Morgan Chase beïnvloedt 76 miljoen huishoudens en 7 miljoen bedrijven Australian Broadcasting Corporation is doelwit, waarbij ransomware het 24-uursnieuwsprogramma verstoort
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 3
Bedrijven op het internet – een beangstigende realiteit
Laten we de Shellshock-fout eens bekijken en de recente gebeurtenissen analyseren vanuit het perspectief van een mkb. Misschien hebt u een klein bedrijf met een aantal servers, een dozijn werkstations en een aantal andere apparaten – misschien heeft uw bedrijf een frankeermachine, Voice over IP-telefoon, webcamera, firewall, back-up-apparaat en draadloos toegangspunt. Hoe zou dit uw netwerk kunnen beïnvloeden, dat volledig op Windows draait? Hoewel bedrijven overal onder de onjuiste indruk zijn dat ze alleen op Windows draaien, zijn op een modern netwerk veel computers aangesloten die een variatie van Unix gebruiken als ingesloten systeem – zoals uw firewall. Deze zeer betrouwbare en bijna over het hoofd geziene machines draaien op uw netwerk. Ze hebben meestal een ingesloten webserver voor configuratie, en deze functie draait op Unix. Dit zorgt ervoor dat uw kleine bedrijf net zo kwetsbaar is als elk ander bedrijf met een groot Unix-serverpark. Zelfs als u niet uw eigen website host (omdat u dit hebt uitbesteed aan een hostingprovider), kan de server waarop de website draait ook kwetsbaar zijn. Kunt u zich een virus voorstellen dat gericht is op uw hele ingesloten infrastructuur? Nou, cybercriminelen kunnen dat wel. Laten we eens kijken naar enkele van de meest recente grote inbreuken op de beveiliging. Bij Japan Airlines werd de persoonlijke informatie van alle klanten gestolen. Drieëntwintig computers werden geïnfecteerd met malware waarvan werd aangenomen dat deze in een phishing-e-mail was aangekomen. Deskundigen zeggen dat de infectie meer dan een maand heeft geduurd. De inbreuk op de Viator-website van Trip Advisor was nog verwoestender. Ze wisten niet eens van de inbreuk af, totdat ze op de hoogte werden gesteld door de wetshandhaving! Onderzoekers onderzochten frauduleuze transacties met betaalkaarten die één bron gemeen hadden – de Viatorwebsite. Volgens het Verizon Data Breach Investigation Report duurde 66% van de inbreuken maanden of zelfs jaren om te ontdekken. En een recent verslag van het Ponemon Institute , gesponsord door Solera Networks (een Blue Coat-bedrijf ) ontdekte dat het gemiddeld drie maanden duurt voor bedrijven om een kwaadaardige inbreuk te ontdekken en vervolgens nog meer dan vier maanden om het op te lossen. Met andere woorden, de cybercriminelen zijn in staat om een huis te vinden en als onwelkome gasten gedurende zeer lange tijd te blijven logeren.
1http://www.verizonenterprise.com/DBIR/2014/
2http://www.ponemon.org/local/upload/file/Post%20Breach%20Boom%20V7.pdf
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 4
Verzamelt u geen creditcardgegevens? Maakt niet uit.
Het probleem voor eigenaren van kleine bedrijven is dat velen denken dat ze immuun zijn voor dit soort aanvallen omdat ze geen website hebben die creditcardgegevens of persoonlijke informatie verzamelt. Dat kan wel zo zijn, maar de kans is groot dat ze websites gebruiken als klein bedrijf en misschien hun eigen cloudgebaseerde oplossingen hebben voor Customer Resource Management (CRM), Enterprise Resource Management (ERP), of zelfs alleen maar gehoste salarisadministratie of boekhoudsoftware. Een van de belangrijkere aspecten van een bedrijf is de mogelijkheid om geld aan te nemen voor uw goederen of diensten. Dit lijkt eenvoudig genoeg, maar vandaag de dag, tussen transacties met creditcards en betaalkaarten online en offline, wenden we ons tot betalingsverwerkers zoals JP Morgan Chase3. Hoewel JP Morgan Chase aangeeft dat de financiële informatie niet in gevaar kwam tijdens de recente inbreuk, gold dit wel voor de persoonlijke informatie. Persoonlijke informatie kan niet gemakkelijk worden veranderd en kan worden gebruikt voor social engineering-aanvallen op de rijken of op kwetsbare oudere volwassenen. Uw geboortedatum alleen al wordt vaak gebruikt als identificatieinformatie, en de cybercriminelen kunnen dit gebruiken als doelwitinformatie. Een ander slachtoffer van ransomware (zoals zoveel andere bedrijven) was de Australian Broadcasting Corporation. De malware kwam aan als link in een e-mail die beweerde afkomstig te zijn van de Australian Post, het onderwerp en de inhoud leken over een pakket te gaan dat niet kon worden geleverd.
3http://www.marketwatch.com/story/did-the-jp-morgan-chase-cyber-attack-affect-you-good-luck-finding-out-2014-10-07
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 5
Bedrijven moeten zich beschermen van alle kanten
Deze voorbeelden illustreren hoe het huidige bedrijfsnetwerk niet in staat is om tegenstanders af te weren zonder enige hulp. De grootste bedreigingen komen aan in een of twee mechanismen en infecteren op maximaal drie verschillende manieren: 1. Als e-mail met een gevaarlijke bijlage 2. Door een bezoek aan een gevaarlijke website 3. Door een e-mail met een meeslepend verhaal en een link naar een gevaarlijke website De overgrote meerderheid van malware-infecties vindt plaats omdat een gebruiker ofwel bedrogen is, ofwel onzorgvuldig is geweest. De gevaarlijkste malware verschijnt in de vorm van “crimeware”. Deze geavanceerde software automatiseert het opvragen van referenties met betrekking tot bankieren en online winkelen. Cybercriminelen hebben tal van functies toegevoegd om te proberen onopgemerkt te blijven en zoveel mogelijk informatie te verzamelen over geïnfecteerde systemen. Deze werksets hebben functies zoals het scannen van poorten, het stelen van wachtwoorden, het verzamelen van systeeminformatie, het stelen van digitale certificaten, desktop-connectiviteit op afstand en zelfs het wissen en vernietigen van harde schijven. Geavanceerdere functies zijn speciaal ontworpen om te infiltreren en informatie te stelen in automatische geldautomaten of betaalautomaten. Een recente versie van de “Black Energy”-crimewarefamilie bleek systemen te infecteren met behulp van ARM- en MIPS-processors. Deze malware kan netwerkapparatuur in gevaar brengen die is vervaardigd door Cisco Systems, waardoor het zeer moeilijk is om een Black Energy-infectie te verwijderen. Als een computer geïnfecteerd wordt met malware, wordt deze meestal onderdeel van wat bekend staat als een “botnet”. De malware begint dan te zoeken naar een Command and Control-server om mee in te checken – in feite checkt het regelmatig in, om gestolen informatie over te brengen en instructies af te wachten over wat de volgende stap is. De meerderheid van deze Command and Control-communicatie vindt plaats met behulp van de veelvoorkomende webprotocollen http of https. Als webverkeer wordt gedetecteerd wanneer niemand op kantoor is, kunt u er uiteraard vrij zeker van zijn dat iets probeert te communiceren met het internet. Zodra de check-in is voltooid, kan de malware instructies ontvangen om spam te sturen, een schadelijke website te hosten, andere hosts op het internet aan te vallen zoals in een denial of serviceaanval en domain name service (DNS) voor de Command and Control-infrastructuur te bieden. Met ransomware vertelt de Command and Control-server de malware om “alle gegevens die het kan vinden te versleutelen”. Op een netwerksysteem kan dit een heleboel gegevens versleutelen en “gijzelen”.
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 6
Bedrijven moeten zich beschermen van alle kanten
Ransomware-infecties zijn meestal alleen succesvol als de encryptiesleutel kan worden verstuurd naar de Command and Control-server. Als de ransomware er niet in slaagt om de Command and Controlserver te vinden, kan de versleutelingstaak mogelijk niet voltooid worden. De netwerkcommunicatieactiviteit verraadt meestal de aanwezigheid van een criminele malwareinfectie. Als uw netwerk plotseling zeer traag wordt en u de tegenwoordigheid van geest hebt om uw internetprovider te bellen en te vragen naar uw verkeer, kan het zijn dat u de woorden “Het lijkt alsof veel verkeer uw netwerk verlaat” hoort.
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 7
Cybercriminaliteit als dienst
Fast flux DNS-hosten is een fundamenteel onderdeel van “cybercriminaliteit als dienst” en een geavanceerde methode voor een malware-infectie om te proberen om de Command and Controlserver te lokaliseren. Malware wordt ingesteld om een algoritme voor het genereren van een domeinnaam (DGA) te gebruiken en te synchroniseren met andere DGA’s om een bizarre URL zoals http://ahjdshjksdhj.ru te wijzigen in het IP-adres van een Command and Control-server. De malware genereert voortdurend nieuwe domeinen om ervoor te zorgen dat een verbinding wordt behouden met geïnfecteerde servers en andere geïnfecteerde computers met behulp van dezelfde DGA. Fast flux DNS probeert niet alleen om malware-communicatie te verdoezelen, het gebruikt ook snelle updates van DNS-informatie om de locaties van websites en andere internetservices te verhullen die illegale activiteiten hosten. Gelukkig worden DGA’s, die na een paar duizend monsters voorspelbaar werden, gemakkelijk gedetecteerd door webinhoudsfilters en de zorgvuldigere DNS-providers zelf. Naast het uiterst zeldzame en incidenteel voorkomende “over-the-wire-hacking”, waarbij hackers uw firewall onderzoeken op gebreken of zwakke punten, zijn het meestal websitebezoeken die de ultieme bron van malware-infecties zijn. De meeste kleine en middelgrote bedrijven hebben wel een website. Misschien een heel eenvoudige, die gebruik maakt van een veelvoorkomend Content Management System (CMS) zoals Drupal of WordPress. Hoewel de organisatie ijverig kan zijn in het patchen en updaten van werkstations en servers, kunnen de hostingserver en zijn toepassingen verwaarloosd worden omdat deze vaak op een andere locatie wordt gehost door een hostingservice van een derde partij. Dit is precies het scenario dat onlangs veel websites exploiteerde die draaiden op Drupal 7, een populair CMS. Door een beveiligingslek in dit CMS kan een aanvaller speciaal vervaardigde aanvragen insturen, wat resulteert in een willekeurige SQL-uitvoering en leidt tot het in gevaar brengen van de gehoste site. Criminelen ontwikkelden snel meerdere exploits en veel websites werden hier het slachtoffer van, en werden gedwongen om als onderdeel van een bot-leger te werken. Deze kwaadaardige websites infecteerden alle computers die de website bezochten met scripts die probeerden om een systeem te vinden met een zwakke plek die kon worden geëxploiteerd, met als uiteindelijk doel om meer en meer computers te infecteren.
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 8
Hoe uw mkb kan voorkomen dat het in gevaar wordt gebracht Hoe kan het mkb, terwijl al deze “grote namen” als dominosteentjes omvallen, vermijden dat het in gevaar komt? Welke stappen zijn nodig, en nog belangrijker, welke producten en services helpen de vijand aan de poort af te weren? Er is een aantal oplossingen nodig om te voorkomen dat uw netwerk in gevaar wordt gebracht, samen met misschien wel alle accounts voor uw cloudgebaseerde services. Patch Management Patches corrigeren beveiligings- en functionaliteitsproblemen in software. Vanuit een beveiligingsperspectief pakken patches zwakke plekken aan die worden geëxploiteerd door malware. Door patches aan te brengen om deze zwakke plekken te weg te nemen worden de mogelijkheden voor exploitatie ervan verminderd. Door alle benodigde patches op hun plek te hebben wordt malware waarvoor uw antivirus misschien geen definitie heeft tegengehouden. Een actueel besturingssysteem en toepassingen van derden met patches zorgen ervoor dat een werkstation of server een moeilijker doelwit wordt om te hacken. Antivirus Het belang van antivirussoftware kan niet worden onderschat. Het beschermt het werkstation of de server tegen gevaar. Nieuwe virussen worden continu uitgebracht en het is de taak van de antivirussoftware om de nieuwste bedreigingen bij te houden. Dit wordt bereikt door dagelijkse updates van de antivirusdatabasedefinities, die de nieuwste bedreigingen neutraliseren om constante bescherming te bieden. Cybercriminelen gebruiken vaak oudere software met bekende handtekeningen om uw systeem in gevaar te brengen, ze hopen dat het niet bijgewerkt is met de laatste definities. Als u USB-sticks meeneemt van huis naar het werk en weer terug of als uw klanten USB-sticks meebrengen kan antivirus een ramp voorkomen. Door servers en werkstations te beschermen met bijgewerkte antivirus is uw bedrijf een moeilijker doelwit om te hacken. Internetbescherming Er is niets effectiever dan het gebruik van een webfilter om te voorkomen dat een netwerk in gevaar komt door een toevallig websitebezoek. De meeste ransomware en moderne criminele malware gebruiken webgebaseerde http of https om contact te leggen met Command and Control-servers in veel landen over de hele wereld. Veel van de “drive-by download”-infecties en -links in spear phishingaanvallen gebruiken aangetaste webservers om gebruikers te infecteren. Internetbescherming werkt voortdurend een steeds veranderende lijst bij van gevaarlijke geïnfecteerde of bekende Command and Control-websites. Dit voorkomt dat malware een kans heeft om een werkstation te infecteren, door de toegang tot een verdachte website te voorkomen. Als toegevoegde bonus zorgt een internetbeschermingsoplossing ervoor dat als iets langs uw verdediging is geglipt, de cybercriminelen toch geen toegang kunnen krijgen tot uw zakelijke netwerk. In het geval van de ransomware-infectie van de Australian Broadcasting Corporation was het zeer waarschijnlijk dat een internetbeschermingsoplossing de infectie had kunnen voorkomen door ofwel het bezoek in de eerste plaats te blokkeren, ofwel de overdracht van de ransomware terug naar een bekende Command and Control-server te voorkomen. Internetbescherming werkt als de eerste en laatste verdedigingslinie en voorziet uw bedrijf van een extra laag cyberbeveiliging.
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 9
Samenvatting
Het besef van het cybercriminaliteitsprobleem en hoe het invloed heeft op ons dagelijks leven kan nauwelijks aan onze aandacht ontsnappen. In dit artikel hebben we een aantal voorbeelden geciteerd van hoe cybercriminelen succesvol organisaties aanvallen en deze schade toebrengen. Het is tijd om de verdedigingen te verbeteren. Alles wijst erop dat de situatie in cyberspace niet zal verbeteren totdat organisaties, zowel groot als klein, materiële en redelijke maatregelen nemen om hun netwerkinfrastructuur te beschermen. Een veiliger internet is in het belang van iedereen.
SLUIT JE BIJ ONS AAN
Gelaagde bescherming: Dertien dagen cybercriminaliteit | 10
VS, Canada, Centraal- en Zuid-Amerika 4309 Emperor Blvd, Suite 400, Durham, NC 27703. VS Europa en het Verenigd Koninkrijk Vision Building, Greenmarket, Dundee, DD1 4QB, UK Australië en Nieuw-Zeeland 2/148 Greenhill Road, Parkside, SA 5063 https://nl.controlnow.com/contactgegevens
Disclaimer © 2014. LogicNow. Alle rechten voorbehouden. Alle product- en bedrijfsnamen in dit document kunnen handelsmerken zijn van hun respectievelijke eigenaars. De informatie en inhoud in dit document zijn uitsluitend bedoeld voor informatieve doeleinden en worden “als zodanig” verstrekt zonder enige vorm van garantie, uitdrukkelijk of impliciet, met inbegrip van maar niet beperkt tot impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel en niet-inbreuk. LogicNow is niet aansprakelijk voor enige schade, inclusief eventuele gevolgschade, van welke aard dan ook, die kan voortvloeien uit het gebruik van dit document. De informatie is verzameld uit openbare bronnen. Hoewel redelijke inspanningen zijn geleverd om de correctheid van de verstrekte gegevens te waarborgen, maakt LogicNow geen aanspraak op en wordt geen belofte of garantie gegeven over de volledigheid, juistheid, recentheid of toereikendheid van de informatie en is LogicNow niet verantwoordelijk voor drukfouten, verouderde informatie of fouten. LogicNow geeft geen garanties, uitdrukkelijk of impliciet, en aanvaardt geen wettelijke aansprakelijkheid of verantwoordelijkheid voor de juistheid of volledigheid van de informatie in dit document. Als u denkt dat er sprake is van feitelijke onjuistheden in dit document, neem dan contact met ons op. We nemen uw opmerkingen dan zo snel mogelijk in behandeling
