INLEIDING
Gerichte (web)aanvallen worden ingezet om sites van MKB-bedrijven te kapen en daarmee bezoekers van grotere organisaties indirect met malware aan te vallen. Maar MKB’ers hebben zelf ook waardevolle informatie die het stelen waard is. De sterke groei van zakelijk gebruikte privétoestellen (tablet, smartphone) zorgt daarnaast voor steeds meer mobiele malware. Fenomenen zoals cloud computing en het gebruik van social media brengen hun eigen bedreigingen mee. Heeft uw organisatie hier al een antwoord op?
Symantec helpt ondernemingen met het vinden van antwoorden. Het Internet Security Threat Report (ISTR) 2013 beschrijft wat het afgelopen jaar de belangrijkste ontwikkelingen waren op het gebied van cybercriminaliteit. Wat zijn en wat worden bedreigingen? Wat kunnen organisaties zelf doen om hun digitale veiligheid te verbeteren? Deze uitgave, speciaal voor het MKB, gaat in op bedreigingen voor kleine en middelgrote organisaties. Het biedt concrete tips en handreikingen. Want als in 2012 één ding duidelijk werd, was het wel dat geen enkele organisatie zich nog immuun kan wanen voor cybercriminelen.
3
INHOUD
03 Inleiding 06 Samenvatting
Cybercrime evolueert mee met gebruik ICT
10 Malware raakt groot en klein 14 Immuniteit is een mythe 18 Cyberaanvallen zoeken nieuw doelwit 22 Gerichte aanvallen zoeken uw bedrijfsgegevens 24 In het hol van de leeuw
4
26 Kenniswerker ligt onder vuur 28 Online gijzeling en afpersing 30 Mobility: kans en bedreiging 32 Social media: goudmijn voor criminelen 34 Voorspellingen
Trends in cybersecurity voor het MKB
36 Aanbevelingen 38 ISTR: essentiële informatie voor nu en straks
5
SAMENVATTING 6
ICT heeft steeds meer impact op samenleving en bedrijfsleven. ICT evolueert ook voortdurend, in technologie en gebruik. Cybercriminaliteit evolueert mee, met het ICT-gebruik én met de gebruikers. Virussen zijn al lang niet meer de grootste bedreiging, spam en phishing worden niet meer vooral via email verspreid. Social media, mobiele toestellen en apps, (mobiele) websites, dat zijn de nieuwe distributiekanalen voor oude en nieuwe vormen van malware.
CYBERCRIME EVOLUEERT MEE MET GEBRUIK ICT
Weg van de minste weerstand Cybercriminelen zoeken ook de weg van de minste weerstand. In 2012 bleek dat elke organisatie, ongeacht de omvang, een potentieel doelwit is voor cybercriminaliteit. 50 procent van alle cyberaanvallen was gericht op bedrijven met minder dan 2.500 werknemers. De grootste groei in cyberaanvallen (31%) was in 2012 zelfs te vinden bij organisaties met minder dan 250 medewerkers, waar de beveiliging van ICT-systemen vaak minder sterk is.
aanvallen (+33% in 2012) met als doel phishing (het ‘hengelen’ naar gevoelige informatie), of om de pc’s of mobiele toestellen van bezoekers te infecteren. De gekaapte sites worden vaak geselecteerd op de verwachting van het soort bezoeker, zoals van grotere organisaties waar de criminelen eigenlijk willen inbreken. Zo wordt de zwakkere beveiliging van kleinere organisaties gebruikt om de sterkere beveiliging van grotere organisaties te omzeilen.
Uw website een zwakke plek
Uw informatie is geld waard
Cybercriminelen gebruiken in toenemende mate ‘gereedschapskisten’ die worden geleverd door malafide ontwikkelaars. De malware die met deze gereedschapskisten wordt ontwikkeld, wordt onder meer ingezet om websites van kleinere organisaties te infecteren. Deze sites worden dan bijvoorbeeld gebruikt voor webgebaseerde
De helft van alle mobiele malware was in 2012 gericht op het stelen van informatie of het volgen van bewegingen op internet. Spioneren levert geld op: financiële en persoonlijke informatie, telefoonnummers en mail van zakelijke relaties, zelfs complete online identiteiten worden gestolen en doorverkocht.
7
Ook voor cyberaanvallen zelf hebben criminelen gegevens nodig. Via pc’s, mobiele devices en social media-pagina’s wordt alles nageplozen: mailadressen, zakelijke interesses, wie bezoekt bepaalde conferenties of cursussen? Met behulp van deze informatie worden mensen om de tuin geleid en kan malware geplaatst worden op hun pc of ander device. Soms kan zo jarenlang allerlei waardevolle informatie gestolen worden, zonder dat het wordt opgemerkt. Vooral kenniswerkers – producenten van intellectueel eigendom – werden in 2012 het slachtoffer van dit soort criminaliteit (27% van het totaal), gevolgd door salesmensen (24%). De CEO werd nog slechts weinig aangevallen (8%).
alle mobiele malware ooit ontwikkeld. Niet onlogisch: de smartphone of tablet wordt steeds meer zakelijk ingezet (denk aan BYOD). Hoewel er voor iOS van Apple de meeste kwetsbaarheden (beveiligingsgaten in de software) gedocumenteerd werden in 2012, werd er maar één stuk malware voor ontwikkeld. Bij het veel meer gebruikte Android besturingssysteem werden slechts 13 kwetsbaarheden gedocumenteerd. Toch leidde Android in 2012 op het gebied van de hoeveelheid ontwikkelde malware. Het is vooral het marktaandeel van Android (circa 73%), de openheid van het platform en de diverse distributiemethoden voor apps die malware-ontwikkelaars trekt.
Mobiele gevaren en kwetsbaarheden 2012 liet een forse groei zien in mobiele malware: +58 procent in vergelijking met 2011. Vorig jaar werd zelfs 59 procent van
8
Het aantal zero day-kwetsbaarheden (waarbij een kwetsbaarheid wordt uitgebuit voordat deze bekend is bij de
ontwikkelaar) blijft ook groeien, naar 14 in 2012. Bij zero day-aanvallen kijken cybercriminelen vooral naar het maximale gewin, niet zozeer naar welke kwetsbaarheid het makkelijkst uit te buiten is.
Wie heeft het gedaan? In sommige gevallen van klassiek hacktivisme (hacken voor de lol of uit protest), zoals bij een aantal DDoS-aanvallen, maken daders zelf bekend wie ze zijn. In de meeste gevallen is het moeilijk om te bewijzen wie om welke reden een aanval uitvoert. Zo claimen sommige veiligheidsdiensten dat DDoS-aanvallen waarvoor particuliere groepen verantwoordelijkheid opeisen, eigenlijk uitgevoerd worden in opdracht van overheden. De FBI stelde recent dat DDoS-aanvallen door criminelen als afleiding kunnen worden gebruikt, om zo de kans op ontdekking en tegenwerking van fraude te verkleinen.
9
MKB IN HET VIZIER 10
Bij virussen, spam en phishing doet het MKB helaas niet onder voor grotere organisaties als het gaat om actuele dreigingen. Dat tonen ISTR-cijfers over 2012 heel duidelijk aan.
MALWARE RAAKT GROOT EN KLEIN ___ Spam-, virus- en phishing-aanvallen op organisaties in 2012
Zo had vorig jaar 63,68 procent van de organisaties kleiner dan 250 medewerkers last van spam. Dit percentage ligt alleen bij organisaties met meer dan 2.500 werknemers nog hoger: 65,14 procent. Hetzelfde beeld is te zien bij virusaanvallen per mail. Hiervan werd in het MKB 1 op de 391,5 organisaties in 2012 het slachtoffer, een veel hoger percentage dan bij grotere organisaties. Alleen bij organisaties met meer dan 2.500 werknemers ligt het aantal bedrijven dat slachtoffer van virussen werd nog hoger: 1 per 363,7. Bij phishing per mail werd 1 op de 624,7 bedrijven met minder dan 250 werknemers getroffen. Dat is meer dan het dubbele van elke organisatie met meer dan 250 medewerkers.
Spam op bedrijfsgrootte
Ratio
1-250
63,68%
251-500
63,02%
501-1000
62,55%
1001-1500
63,01%
1501-2500
62,10%
2501+
65,14%
Virusaanvallen op bedrijfsgrootte
Ratio
1-250
1 op 391,5
251-500
1 op 560
501-1000
1 op 495,8
1001-1500
1 op 748,1
1501-2500
1 op 993
2501+
1 op 363,7
Phishing op bedrijfsgrootte
Ratio
1-250
1 op 624,7
251-500
1 op 1.640,6
501-1000
1 op 1.472
1001-1500
1 op 2.222
1501-2500
1 op 2.936,9
2501+
1 op 1.071,6
11
___ Aantal cyberaanvallen op organisaties in 2012, per grootte
2.501+
50%
9%
1.501 - 2.500
2% 3%
1.001 - 1.500 501 - 1.000
5%
251 - 500
13%
toename
31%
1 - 250
18%
toename
2012 50% van de aanvallen was gericht op organisaties met 2.501+ medewerkers, dat is ongeveer gelijk aan het percentage in 2011.
12
31% van de aanvallen was gericht op bedrijven met 1 tot 250 medewerkers, vergeleken met 18% in 2011 is dit een groei van 13%.
WIST U DAT
• 31 procent van alle gerichte cyberaanvallen werd in 2012 uitgevoerd op organisaties met minder dan 250 werknemers. Een verdrievoudiging ten opzichte van 2011. • Cybercriminelen vallen in toenemende mate kleinere organisaties aan, omdat hun cybersecurity gemiddeld minder sterk is. Ze zoeken vooral klantgegevens, intellectueel eigendom en bankgegevens. • De meest aangevallen branche verschoof in 2012 van de overheid naar de productiebranche. De reden is een toename van aanvallen gericht op de supply chain. Cybercriminelen denken dat deze (onder)aannemers kwetsbaarder zijn voor aanvallen. • MKB-ondernemingen zijn op de hoogte van de gevaren van cybercriminaliteit. Toch denkt de helft van de MKB’ers dat zij te klein zijn om interessant te zijn. Dat resulteert in het niet of gebrekkig nemen van voorzorgsmaatregelen. 13
BEWUSTZIJN MKB NEDERLAND 14
Recent onderzoek door Symantec stelt dat veel kleinere organisaties geloven dat zij immuun zijn voor cyberaanvallen. Er zou bij hen tenslotte niet veel te halen zijn. Cybercriminelen denken hier anders over.
IMMUNITEIT IS EEN MYTHE
Eerst een totaalplaatje van de schade van cybercriminaliteit: TNO schatte in 2012 dat deze criminelen de Nederlandse samenleving minimaal 10 miljard euro op jaarbasis kosten (1,5-2% van het BNP). Dat is gelijk aan de economische groei in 2011. Mogelijk bedragen de daadwerkelijke kosten twee tot driemaal zoveel. Nederland zou op ICT-gebied extra kwetsbaar zijn, vanwege de hogere dichtheid aan bekabeling, moderne (netwerk-) infrastructuur en de grote hoeveelheid dataverkeer. Volgens Eurostat worden Nederlandse bedrijven vier maal vaker getroffen door cybercrime dan bijvoorbeeld hun Britse tegenhangers. Driekwart van de schade komt op het bordje van het bedrijfsleven terecht. Inbreuken op intellectueel eigendom kosten 3,3 miljard euro, industriële spionage ruwweg 2 miljard euro.
MKB: klein maar interessant De rekening ligt niet meer vooral bij grote organisaties. De opbrengst van een aanval op een MKB-organisatie kan kleiner zijn dan van een grote organisatie, maar dit wordt gecompenseerd door het feit dat MKB-organisaties over het algemeen minder goed beveiligd zijn. Toch geloven kleine ondernemingen veelal dat zij vanwege hun geringe grootte immuun zijn voor cyberaanvallen (bron: Symantec SMB 2011 Threat Awareness Poll). Zo beveiligt 63 procent niet pc’s en andere apparaten die voor online bankieren worden gebruikt en neemt 9 procent geen aanvullende maatregelen zoals encryptie. 61 procent zet niet op alle pc’s antivirussoftware, 47 procent beveiligt zijn mailserver of -dienst niet.
Minste weerstand In de praktijk blijkt dat cybercriminelen steeds vaker kiezen voor de weg van de
15
minste weerstand. Ook MKB-organisaties beschikken over door te verkopen klantinformatie, intellectueel eigendom en geld dat van bankrekeningen kan worden gestolen. En dit gaat zoals gezegd vaak eenvoudiger dan bij beter beschermde grote organisaties. Volgens David Willets, de Britse minister van Universiteiten en Wetenschap, lopen juist kleinere bedrijven meer risico dan ooit dat hun cybersecurity wordt gecompromitteerd. Terwijl vaak eenvoudige maatregelen al afdoende zijn om de meeste incidenten te voorkomen en waardevolle gegevens te beschermen. De Britse regering is dan ook een ini– tiatief gestart waarbij MKB-organisaties tot 6.000 euro kunnen aanvragen om hun online security te verbeteren. Deze Innovation Vouchers zijn bedoeld voor starters en bedrijven met minder dan 50
16
werknemers. In totaal is er omgerekend 600.000 euro beschikbaar.
Kweken van bewustzijn Net zo belangrijk als de subsidie is volgens Willets het verbeteren van het bewustzijn bij MKB-organisaties van hun kwetsbaarheid. Cybersecurity moet bij hen hoger op de agenda komen en onderdeel worden van de normale risicomanagementprocedures. Ook in Nederland wordt geprobeerd de bewustwording van MKB-ondernemingen over verbetering van cybersecurity te verbeteren. Zo biedt brancheorganisatie ICT Nederland via www.beschermjebedrijf.nl MKB-ondernemers de mogelijkheid van een quickscan om te zien of de eigen cybersecurity afdoende is. De website heeft tot doel MKB-bedrijven bewuster te maken van informatiebeveiliging en bedrijven praktische stappen te geven hoe met informatiebeveiliging in de eigen organisatie aan de slag te gaan.
WIST U DAT
•
In 2012 waren kenniswerkers met toegang tot intellectueel eigendom (27%) en salesmedewerkers (24%) het vaakst doelwit van cyberaanvallen. Leidinggevenden zijn niet langer het belangrijkste doelwit.
•
Het aantal webgebaseerde aanvallen nam in 2012 met 30 procent toe. Steeds vaker worden websites van kleinere organisaties geïnfecteerd, om zo via een achterdeur toegang te krijgen tot grotere organisaties. Bezoekende werknemers van grotere organisaties worden dan via bijvoorbeeld downloads op een gecompromitteerde website geïnfecteerd.
•
Ransomware wordt een steeds groter probleem voor MKBorganisaties. Geïnfecteerde pc’s worden ‘op slot gezet’ en pas vrijgegeven na betaling.
•
De hoeveelheid mobiele malware is in 2012 met 58 procent toegenomen. Van alle mobiele bedreigingen is 32 procent gericht op het stelen van informatie. 17
CYBERAANVALLEN 18
De kosten die gepaard gaan met het toenemend aantal cyberaanvallen (+42% in 2012) zijn het afgelopen jaar met zes procent gestegen. Gemiddeld kost een cyberaanval een onderneming 455.820 euro. De doelwitten verschuiven: per branche en binnen organisaties.
CYBERAANVALLEN ZOEKEN NIEUW DOELWIT
Aanvallen per branche De industriële sector kreeg met 24 procent de meeste gerichte cyberaanvallen in 2012 (15% in 2011). Overheden en de publieke sector zagen het percentage juist fors dalen, van 25 naar 12 procent. Zeer waarschijnlijk begeven de aanvallen zich steeds hoger in de distributieketen, met een focus op MKB-organisaties.
Aanvallen per grootte van organisatie Hoewel organisaties van 2.500 werknemers of meer met 50 procent de meeste aanvallen te verduren kregen in 2012, stagneert dit aandeel. Het aandeel van MKB-organisaties (1 tot 250 werknemers) groeide in dezelfde periode spectaculair: van 18 procent in 2011 naar 31 procent in 2012. In aantal verdrievoudigde de hoeveelheid gerichte cyber–aanvallen op deze groep organisaties (zie ook grafiek op pagina 12).
___ Top 10 branches aangevallen in 2012
24%
Industrie Financieel, Verzekering & Vastgoed
19 17 12 10 8
Non-traditionele Dienstverlening Overheid Energie/Facilitair Professionele Dienstverlening
2 2 2 1
Luchtvaart Retail Groothandel Transport, Communicatie, Electriciteit, Gas 0
5
10
15
20
25%
19
Data verloren of gelekt De medische sector (36% alle datainbreuken), onderwijssector (16%) en overheidssector (13%) waren goed voor tweederde van de data-inbreuken in 2012. Dit kan betekenen dat zij meer moeten doen aan bescherming van hun databases. Anderzijds zijn veel publieke sectoren bij wet verplicht data-inbreuken te openbaren en het bedrijfsleven niet, wat de discrepantie ook deels kan verklaren. Hoewel 88 procent van de data-inbreuken extern was, moeten bedrijven ook intern de databeveiliging op orde hebben. Acht procent van de gestolen data komt voor rekening van een insider. Het is veilig om aan te nemen dat er meer datainbreuken niet gerapporteerd worden dan wel.
20
MKB-organisaties dienen net zo goed te letten op de vaak vergeten interne dreiging van dataverlies als op een externe hacker. Ter illustratie: het Britse Information Officers Office heeft in 2012 meer bedrijven beboet of vervolgd wegens interne data– lekken dan wegens externe hacks.
___ Data-inbreuken per branche in 2012 Onderwijs
16%
Overheid
13%
9% Accountancy 6% Computer Software
Gezondheidszorg
36%
6% Financieel 5% Informatie Technologie 4% Telecom 3% Computer Hardware
3% Community en Non-profit
Gerichte cyberaanvallen zijn een onlosmakelijk instrument geworden van cybercriminelen. Bedrijven moeten zich vooral beschermen tegen aanvallen die bedoeld zijn om bedrijfsinformatie zoals intellectueel eigendom en klantgegevens te stelen of om hun websites te kapen.
21
GERICHTE AANVALLEN ZOEKEN UW
Gerichte aanvallen combineren vaak social engineering (online gegevens verzamelen over bijvoorbeeld surfgedrag en hobby’s van mensen) en malware om specifieke personen in organisaties aan te vallen. Malware wordt verspreid via methoden zoals e-mail of ‘drive-by downloads’ (waarbij iemand via een geïnfecteerde website malware downloadt). Dit is onderdeel van de watering hole-techniek.
MKB als springplank Kleine en middelgrote organisaties met gemiddeld minder IT-budget zijn in toenemende mate het slachtoffer van gerichte aanvallen. Deze trend blijkt overduidelijk uit de cijfers: een groei in het aandeel gerichte aanvallen van 18 procent in 2011 naar 31 procent in 2012.
22
MKB-organisaties zijn vaak kwetsbaarder, beschikken ook over waardevolle informatie en kunnen dienen als springplank naar grotere organisaties (bijvoorbeeld een toeleverancier). Zo kunnen persoonsgegevens gebruikt worden om een nepmail van iemand bij een toeleverancier te versturen naar een vertrouwde zakenrelatie in een grotere organisatie.
Webaanvallen, zero-daykwetsbaarheden Het totaal aantal webgebaseerde aanvallen steeg 33 procent in 2012. Bezoekers van gekaapte websites kunnen zelf eenvoudig geïnfecteerd worden. Gebrekkig gebruik van de nieuwste patches voor kwetsbaarheden in browserplugins (Oracles Java, Adobes Flash & Acrobat) maakt webaanvallen eenvoudig. Bij bedrijven is upgraden naar de laatste
BEDRIJFSGEGEVENS
patch vaak lastig, omdat bedrijfs– kritische systemen veelal alleen kunnen werken met oudere versies van de plug-ins. Meer kwetsbaarheden in een programma of browser betekent niet automatisch een groter gevaar. Eén kwetsbaarheid in een bedrijfskritische applicatie kan genoeg zijn voor een succesvolle aanval. Ook is het vaak niet de laatst gevonden zeroday-kwetsbaarheid die voor de meest succesvolle aanvallen zorgt.
___ Kwetsbaarheden in browsers en plug-ins (2010-2012)
600 500 400 300 200 100 0 JAN
De hoeveelheid aanvallen via geïnfecteerde sites steeg in 2012 met 30 procent, terwijl de hoeveelheid ontdekte kwetsbaarheden steeg met slechts zes procent. De meeste netwerken en systemen worden juist gecompromitteerd doordat oudere kwetsbaarheden niet afdoende gepatcht zijn.
FEB
MAR
APR
MEI
JUN
JUL
AUG
SEP
OKT
NOV
DEC
Kwetsbaarheden zijn gaten in programmatuur die mis– bruikt kunnen worden om doorheen te glippen of om malware-codes te installeren. In totaal waren er in 2012 5.291 kwetsbaarheden geregistreerd, tegen 4.989 in 2011. Het aantal gerapporteerde zero-day kwetsbaar– heden dat in 2012 werd gerapporteerd, bedroeg 14.
23
Watering hole-aanvallen worden veel gebruikt om websites te infecteren van kleinere organisaties die een zakelijke relatie (bijvoorbeeld toeleverancier) hebben met een grotere organisatie.
24
IN HET HOL VAN DE LEEUW
Watering hole-aanvallen vormen de nieuwste innovatie bij gerichte aanvallen. Een legitieme website waarvan men verwacht dat doelwitten die bezoeken, wordt hierbij geïnfecteerd. Zo werd in 2012 een tracking script op een website van een mensenrechtenorganisatie voorzien van een code waarmee na een bezoek malware op de pc van een bezoeker werd geïnstalleerd. Daarbij werd een zero-day-kwetsbaarheid in Internet Explorer gebruikt. Symantecdata laat zien dat in 24 uur na besmetting van de website bezoekers van 400 grote bedrijven en overheidsorganisaties geïnfecteerd waren.
Watering Hole Aanvallen 1. Belager brengt slachtoffers en de soort websites die ze bezoeken in kaart
2. Belager test deze websites vervolgens op kwetsbaarheden.
3. Als de belager een website vindt die hij kan saboteren, injecteert hij JavaScript of HTML, waardoor het slachtoffer wordt omgeleid naar een afzonderlijke site die de exploit code voor de gekozen kwetsbaarheid host.
4. De aangevallen website is nu klaar om het beoogde slachtoffer met een zero-day exploit te infecteren, net als een leeuw die wacht tot hij toe kan slaan.
25
Cybercriminelen zijn steeds meer op zoek naar bedrijfsgeheimen en ander intellectueel eigendom. De hoeveelheid aanvallen gericht op R&Dmedewerkers steeg van 9 procent in 2011 naar 27 procent in 2012, met commerciële medewerkers als goede tweede (van 12 naar 24 procent).
26
KENNISWERKER LIGT ONDER VUUR
Directieleden worden juist veel minder aangevallen (van 25 naar 17% tussen 2011 en 2012). Uit het feit dat steeds vaker medewerkers in midmanagement R&D- en in salesfuncties te maken krijgen met gerichte aanvallen, blijkt dat cybercriminelen hun vangnet vergroten. Toch blijven aanvallen op andere doelgroepen zoals in directie- of in backofficefuncties een belangrijke bedreiging. Het toenemend gebruik van social engineering in aanvallen laat zien dat cybercriminelen gericht en uitgebreid hun doelwitten onderzoeken en surfgedrag en -motivaties in kaart weten te brengen. Een tweet of mail van een vertrouwde afzender zal veel eerder bekeken of geopend worden.
___ Gerichte aanvallen bekeken per rol in de organisatie 2011
2012
% VERANDERING
Chief Exec. / Board Level PR en Marketing Personal Assistant Research & Development Human Resources Sales Senior Management Gedeelde Mailbox info@, sales@, etc. -15% -10%
-5
0
5
10
15
20
25 30%
Kenniswerkers (zoals R&D-medewerkers) worden steeds meer aangevallen vanwege hun toegang tot intellectueel eigendom. Mensen in commerciële functies krijgen ook steeds meer met aanvallen te maken, waarschijnlijk vanwege hun toegang tot verkoop- en klantgegevens en vanwege het feit dat cybercriminelen eenvoudiger toegang hebben tot hun breder online beschikbare gegevens.
27
RANSOMWARE 28
Ransomware is in 2012 populair geworden onder malware-auteurs. Het werkt anders dan zogeheten scareware, die mensen aanmoedigt om nep antivirusbescherming te kopen. Ransomware wordt vaak geïnstalleerd via ‘drive by downloads’. Het blokkeert de pc, waarna er een bedrag geëist wordt om de blokkade op te heffen.
ONLINE GIJZELING EN AFPERSING
Deze malware is vaak afkomstig van geïnfecteerde legitieme websites of van geïnfecteerde advertenties (malvertisements) waar een stukje malware-code in verborgen is. De malware is geavanceerd, moeilijk te verwijderen en blijft soms ook actief na het inschakelen van de veilige modus bij Windows.
___ Voorbeeld van een blokkadescherm
Het blokkeerscherm wordt vaak gepresenteerd als afkomstig van een overheidsinstantie, waarbij een geldbedrag in de vorm van een boete voor vermeende criminele online activiteiten wordt gevraagd. Soms wordt zelfs een foto gemaakt van het slachtoffer via de eigen webcam, waarna de foto in het blokkadescherm wordt getoond om de ‘echtheid’ te vergroten. Gemiddeld wordt er een kleine 40 tot ruim 300 euro gevraagd om de blokkade op te heffen. Maar ook na betaling van dit bedrag blijft de pc vaak geblokkeerd. Gemiddeld betaalt drie procent van de slachtoffers. 29
MOBILITY EN MOBILE MALWARE 30
Organisaties laten medewerkers steeds vaker toe om hun eigen pc, smartphone of tablet voor zakelijke doeleinden te gebruiken (BYOD). Consumerization of IT betekent dat steeds vaker gebruik gemaakt wordt van op consumentgerichte technologie zoals websites voor het delen van bestanden. Omdat de beveiliging en het beheer van mobiele devices vaak achterloopt, worden de deuren voor misbruik geopend.
MOBILITY: KANS EN BEDREIGING
Mobiele devices worden meestal gebruikt om persoonlijke en contactinformatie op te slaan en beschikken steeds meer over snelle mobiel-internetverbindingen. Het zijn kleine computers geworden met veel waardevolle informatie waar cybercriminelen op azen. Het via mobiele botnets infecteren van mobiele toestellen om zo geld te verdienen aan premium telefoonnummers en sms-diensten is de snelste methode om geld te verdienen. Maar er zijn helaas meer bedreigingen. Ook mobiele sites en apps kennen kwetsbaarheden die uitgebuit worden.
32%
13%
25
8
15%
8%
Informatie stelen
%
Traditionele bedreigingen
Gebruiker volgen
Content verzenden
%
Device reconfigureren
Adware/Overlast
Kwetsbaarheden per besturingssysteem Dat het aantal mobiele kwetsbaarheden weinig relatie heeft met het aantal malwarefamilies, blijkt uit het feit dat iOS veruit het grootste aantal kwetsbaarheden kent, terwijl het merendeel van alle malware gericht is op het AndroidOS. Android is met circa 72 procent marktaandeel en een open platform het favoriete besturingssysteem om aan te vallen met malware. Symantec heeft ruim 3.900 mobiele bedreigingen geregistreerd in 2012. Het merendeel is gericht op het Android-OS. ___ Mobiele bedreigingen in 2012 Het stelen van informatie vormt de grootste bedreiging op mobiel malwaregebied (32%). In 2012 groeide het aantal mobiele malwarefamilies in totaal naar een kleine 4.500. 2012 was daarmee goed voor 59 procent van alle mobiele malware tot nu toe ontwikkeld.
31
SOCIAL MEDIA 32
De opkomst van social media, ook in zakelijk gebruik, maakt mail minder interessant voor online criminelen en spammers. Social media bieden twee nuttige functies voor criminelen: social proofing en het delen van informatie.
GOUDMIJN VOOR CRIMINELEN Social proofing betekent dat mensen eerder geneigd zijn een boodschap van een online vriend of zakelijke relatie te vertrouwen en vervolgens bijvoorbeeld op een link te klikken die hen naar malware leidt. Het delen van (privacygevoelige) informatie is waar social media zoals Facebook en LinkedIn voor bedoeld zijn. Deze media worden zo ook een rijke bron van informatie, bijvoorbeeld om beveiligingsvragen te achterhalen. Daarmee kunnen weer
wachtwoorden opgevraagd worden om een account over te nemen. De tijd die online en op social media wordt doorgebracht, neemt toe. Ook gebeurt dit steeds meer via mobiele devices. Daarvoor wordt ook in toenemende mate gebruik gemaakt van consumentgerichte clouddiensten, vaak zonder dat mensen zich dit realiseren. Deze clouddiensten zijn meestal minder goed beveiligd dan diensten die op zakelijk gebruik gericht zijn.
___ Top 5 Social Media aanvallen in 2012
56%
1 2 3 4 5
18% 10%
Manual Sharing
Likejacking
5% 3%
Fake Plug-in
Copy and Paste
Fake Offering
• Nepaanbiedingen via social media worden steeds meer gebruikt om persoonlijke gegevens te krijgen of om mensen een sms naar een premium sms-dienst te laten sturen. Uiteindelijk is er vaak geen beloning aan het einde. • Bij handmatig delen doen gebruikers zelf het zware werk door geïnfecteerde video, boodschappen of aanbiedingen met vrienden te delen. • Likejacking. Via gekaapte of nep Like-knoppen worden gebruikers ertoe gebracht ergens op te klikken, waarna malware op de pc of het mobiele device wordt geïnstalleerd.
33
VOORSPELLINGEN 34
Het ISTR rapport 2013 laat zien dat de bedreigingen voor het hedendaagse MKB niet weggaan. Sterker nog, er is sprake van een snelle groei in aantallen en in het soort bedreigingen. Het verkrijgen van een duidelijk beeld van deze bedreigingen is een belangrijke stap in de verbetering van de veiligheid van een organisatie.
TRENDS IN CYBERSECURITY VOOR HET MKB
In de komende maanden en jaren is het de verwachting dat technieken die tot nu toe vooral gebruikt werden om grote bedrijven en overheidsinstanties aan te vallen, steeds meer tegen MKBorganisaties gebruikt worden. Dit gebeurt al bij gerichte webaanvallen en het toepassen van watering holes, het uitbuiten van (zero-day)-kwetsbaarheden en social engineering.
Het sterk groeiend (zakelijk) gebruik van sociale netwerken stimuleert meer geavanceerde phishing-aanvallen.
Het lijkt er ook op dat malware afkomstig van websites zowel meer gemeengoed wordt als gevaarlijker. De volwassen wordende mobiele markt stimuleert cybercriminelen om meer mobiele bedreigingen te ontwikkelen. De vaak slechtere beveiliging van mobiele devices biedt een makkelijk te kraken achterdeur tot bedrijfsnetwerken. Daarnaast bevatten mobiele toestellen zelf veel waardevolle informatie.
Zie dit als uw wake up call. MKBorganisaties zijn specifiek en in toenemende mate het doelwit van cyberaanvallen. Het is belangrijk om nu de stand van zaken van de eigen cybersecurity te inventariseren, de capaciteit te vergroten om externe dreigingen tegen te gaan en met toeleveranciers van cybersecurity samen te werken om eventuele gaten in de verdediging te dichten.
Daarnaast zorgt de inzet van op consumenten gerichte online diensten - uit kostenoverwegingen of omdat werknemers het makkelijk vinden voor nieuwe beveiligingsproblemen.
Uw wake up call
35
AANBEVELINGEN
Begin nu met inschatten hoe voorbereid uw organisatie is om cyberdreigingen te ondervangen en om gaten in de beveiliging te dichten. Een aantal aanbevelingen:
Neem aan dat je een doelwit bent Kleine omvang en relatieve anonimiteit vormen geen bescherming tegen geraffineerde aanvallen. MKB-organisaties die met dit in het achterhoofd hun beveiliging verbeteren, beschermen zich automatisch ook beter tegen andere cyberaanvallen.
Zet technologie in tegen bescher– ming van data en tegen dataverlies Gebruik bijvoorbeeld vormen van encryptie om data onderweg te beschermen, online of via draagbare opslag.
Update browsers, plug-ins en appli– caties met de nieuwste patches Het merendeel van te misbruiken kwetsbaarheden wordt hiermee afgedekt. Maak gebruik van automatische update-diensten die veel leveranciers van software aanbieden. Automatiseer de uitrol van patches en updates zoveel mogelijk door de hele organisatie heen. 36
Vermijd vage websites en illegale software Installeer geen ongevraagde plug-ins of executable (*.exe)-bestanden wanneer hierom wordt gevraagd, zelfs niet van legitieme websites. Overweeg het gebruik van eenvoudig beschikbare software om advertenties in de browser te blokkeren. Gebruik back-ups en herstelbestanden om een pc in een noodgeval te deblokkeren.
Eén vorm van cyberbescherming is niet afdoende Antivirustechnologie is niet genoeg om endpoints zoals pc’s of mobiele devices te beschermen. Meerdere, overlappende vormen beschermen beter tegen een single point of failure in één van de beschermingstechnieken. Gebruik regelmatig geüpdatete firewalls en antivirusbescherming, intrusion detection en web security gateway-oplossingen om het hele netwerk te beschermen.
Gebruik sterke wachtwoorden Dit biedt voor beheerders en voor andere diensten extra bescherming tegen social engineering en phishing. Geef alleen toegang tot belangrijke webservers aan medewerkers die hier echt gebruik van moeten maken.
Overweeg om Always on SSL te gebruiken Zo kun je bezoekersinteractie op de hele website controleren via digitale certificaten, niet alleen op pagina’s waar bijvoorbeeld aankopen worden afgehandeld.
Bewustwording is een must! Maak je management en medewerkers bewust van potentiële gevaren van social engineering. Train mensen in het herkennen ervan, maar ook in het voorkomen van dataverlies en in het belang van data en databescherming.
37
ISTR: ESSENTIËLE INFORMATIE VOOR NU EN MORGEN Het ISTR is gebaseerd op een reeks bronnen binnen en buiten Symantec, zoals:
38
• Het Symantec™ Global Intelligence Network is opgebouwd uit zo’n 69 miljoen threat sensors en registreert duizenden gebeurtenissen per seconde. Het netwerk monitort bedreigende activiteiten in ruim 157 landen en gebieden.
• Meer dan 3 miljard e-mailberichten en meer dan 1,4 miljard webverzoeken worden elke dag verwerkt. Symantec verzamelt phishing-informatie via een ecosysteem van bedrijven, beveiligingsbedrijven, en meer dan 50 miljoen consumenten.
• Symantec’s uitgebreide vulnerability (kwetsbaarheden)-database, momenteel bestaande uit 51.644 geregistreerde kwetsbaarheden van meer dan 16.687 aanbieders en meer dan 43.391 producten.
• Symantec Trust Services verwerkt meer dan 4,5 miljard Online Certificate Status Protocol (OCSP)-verzoeken per dag, die worden gebruikt voor het bepalen van de status van X.509 digitale certificaten in de hele wereld.
• Spam, phishing en malware-data wordt vastgelegd via een reeks bronnen, waaronder het Symantec Probe Network (5 miljoen speciaal opgezette neprekeningen) en Symantec.cloud.
Deze middelen geven analisten van Symantec’s ongeëvenaarde bronnen van informatie om bestaande en nieuwe security trends te identificeren, te analyseren en van goed onderbouwd commentaar te voorzien.