LANDSCHAP VAN BEDREIGINGEN Een praktische gids van de experts van Kaspersky Lab Geschreven door David Emm Senior Regional Researcher, Global Research & Analysis Team With Kaspersky, now you can. kaspersky.nl/business Be Ready for What's Next
OVER DE AUTEUR
David Emm Senior Regional Researcher Global Research & Analysis Team, ook bekend als het GReAT-team David werkt sinds 2004 bij Kaspersky Lab. In zijn rol als Senior Technology Consultant heeft David informatie over malware en andere IT-bedreigingen tijdens beurzen en evenementen gepresenteerd en zowel uitzend- als drukmedia becommentarieerd. Hij heeft ook informatie over producten en technologieën van Kaspersky Lab verstrekt. In 2008 werd hij bevorderd tot zijn huidige positie. David is met name geïnteresseerd in het malware-ecosysteem, identiteitsdiefstal en technologieën van Kaspersky Lab. Daarnaast heeft hij de Malware Defence Workshop van het bedrijf ontworpen en ontwikkeld. David heeft sinds 1990 in diverse hoedanigheden in de anti-virusbranche gewerkt. Voordat David in dienst trad bij Kaspersky Lab, werkte hij als Systems Engineer, Product Manager en Product Marketing Manager bij McAfee; en vóór die tijd als Technical Support Manager en Senior Technology Consultant bij Dr Solomon's Software.
INHOUD 1. De evolutie van malware 2. Bevindt u zich in de vuurlinie? Een nieuw tijdperk van gerichte aanvallen 3. M alware: nu net zo in beweging als u bent 4. De verspreiding van malware 5. De menselijke factor in beveiliging 6. Anti-malwaretechnologieën 7. Tips om mensen in uw organisatie bewuster van veiligheid te maken
HOOFDSTUK 1
DE EVOLUTIE VAN MALWARE CONTEXT
OMVANGRIJKER, MAAR OOK ERNSTIGER
Meer dan 25 jaar geleden verschenen de eerste pc-virussen. In de loop der tijd heeft de bedreiging een heel ander karakter gekregen. Tegenwoordig staan bedrijven voor veel complexere bedreigingen dan ooit.
De connectiviteit via internet betekent dat aanvallen erg snel op de computer van het slachtoffer kunnen worden gestart, net zo breed of gericht als malwareontwikkelaars en hun criminele sponsors willen.
Tijdens de Global IT Risks Survey 2013 van Kaspersky hebben we geconstateerd dat nieuwe technologie - die leidt tot nieuwe werkmethoden - vooral belangrijk was voor IT-managers. Mobiliteit, gebruik van persoonlijke apparaten op werk (BYOD) en sociale media zijn de drie grootste zorgen.
Schadelijke code kan worden ingesloten in e-mail, geïntegreerd in valse softwarepakketten of geplaatst op webpagina's met een 'grijze zone' die kunnen worden gedownload door een Trojaans paard op een geïnfecteerde computer.
Welke uitdagingen vormen het grootste beveiligingsprobleem voor uw organisatie?
De omvang van het probleem neemt ook alleen al wat aantallen betreft steeds meer toe. Tegenwoordig worden dagelijks honderdduizenden unieke malware-exemplaren geanalyseerd.
Toenemende mobiliteit van medewerkers Gebruik van persoonlijke apparaten voor toegang tot bedrijfsgegevens Social networking op de werkplek Compliance
19% van de mensen noemt cyberaanvallen als belangrijkste bedrijfsrisico
Groei en/of diversificatie Vermindering van IT-resources Cloud computing Virtualisatie Algehele inkrimping Fusies en overnames Overige 0% 10% 20% 30% 40% 50%
Dit schetst een beeld van een technologieomgeving die sterk verandert. We hebben de volgende grote trends gezien die van invloed zijn op de beveiliging in organisaties: • Mobiliteit/BYOD: de alomtegenwoordige mobiliteit en de toenemende consumentisering in het bedrijfsleven betekenen dat een typerende community van eindgebruikers tegenwoordig mobiel is. • Cloud: doordat bedrijfsgegevens vanaf steeds meer apparaten worden geopend in de cloud, staat IT-beveiliging onder druk. • Virtualisatie: doordat gevirtualiseerde omgevingen steeds meer worden gebruikt om kosten te verlagen en de flexibiliteit te vergroten, worden specifieke aspecten van IT-beveiliging steeds ingewikkelder. • Sociale media: het is zelden een probleem dat medewerkers sociale media gebruiken, maar cybercriminelen benutten steeds meer de 'openheid' van het gedrag van mensen op deze sites om toegang te krijgen tot waardevolle gegevens.
VAN CYBERVANDALISME NAAR CYBERCRIMINALITEIT
NIEUWE MOTIEVEN, NIEUWE TACTIEKEN
Tot ongeveer 2003 waren virussen en andere typen malware grotendeels op zichzelf staande gevallen van computervandalisme: asociale zelfexpressie via geavanceerde middelen. Met de meeste virussen werden alleen maar andere schijven of programma's geïnfecteerd. Na 2003 veranderde het landschap van bedreigingen. Veel malware van tegenwoordig is doelgericht ontwikkeld om computers over te nemen en illegaal geld te verdienen. Daardoor staan bedrijven tegenwoordig voor veel complexere uitdagingen. IT-beheerders hebben vandaag de dag met veel meer te kampen: er zijn veel meer typen bedreigingen waartegen ze zich moeten beschermen en die meestal niet alleen 'storingstijd' veroorzaken, maar ook financiële schade berokkenen.
Het veranderde motief leidde ook tot een veranderde tactiek. Er waren minder wereldwijde epidemieën die erop waren gericht om malware zo ver en snel mogelijk te verspreiden. Aanvallen zijn gerichter geworden. De hoofdreden voor de verandering is dat aanvallen tegenwoordig een crimineel oogmerk hebben: er wordt geprobeerd vertrouwelijke gegevens te stelen die vervolgens moeten worden verwerkt en gebruikt. Wanneer hierbij miljoenen geïnfecteerde computers zijn betrokken, wordt de malware eerder gedetecteerd. Ook is dit een enorme logistieke operatie. Daarom geven ontwikkelaars van schadelijke code tegenwoordig de voorkeur aan gerichte aanvallen.
Dit verklaart waarom in onze Global IT Risks Survey 2013 de zorgen rond IT-beveiliging veel gevarieerder en complexer zijn. IT-beheerders hebben niet te maken met één groot probleem, maar maken zich zorgen over uiteenlopende problemen. Hoe zeer maakt u zich dagelijks zorgen over de volgende IT-beveiligingsproblemen binnen uw organisatie? Bijgewerkte virusdefinities + anti-virussoftware
Zeer bezorgd
Externe toegang beveiligen
Bezorgd
Intrusion monitoring
Neutraal Enigszins bezorgd
Beheer beveiliging/toegang mobiele apparaten
Geheel niet bezorgd
Wachtwoordbeheer en beheerderstoegang Bestandsoverdracht beveiligen Netwerkgebruik en -monitoring Systemen patchen Monitoring/controle van systeemgebruik Applicatiebeheer Gebruikers bewust maken van beleid en trainen 0% 20% 40% 60% 80% 100%
ONTWIKKELAARS VAN SCHADELIJKE CODE GEVEN TEGENWOORDIG DE VOORKEUR AAN GERICHTE AANVALLEN
DE OPKOMST VAN TROJAANSE PAARDEN
PHISHING - ZICH VOORDOEN ALS IEMAND ANDERS
Trojaanse paarden worden gebruikt om vertrouwelijke gegevens (zoals gebruikersnaam, wachtwoord, pincode) te verzamelen voor computerfraude. Ze kunnen worden gebruikt in DDoS-aanvallen (Distributed Denial of Service) op organisaties. Dergelijke aanvallen kunnen worden gebruikt om geld af te persen van organisaties: een 'demonstratie' van een DDoS-aanval geeft het slachtoffer een voorproefje van wat er gebeurt als het bedrijf niet betaalt.
Het gebruik van schadelijke code is niet de enige methode waarmee cybercriminelen persoonlijke gegevens verzamelen om op een illegale manier geld te verdienen. Bij phishing wordt geprobeerd mensen ertoe te verleiden om hun persoonsgegevens door te geven (gebruikersnaam, wachtwoord, pincode of andere toegangsgegevens) zodat deze gegevens kunnen worden gebruikt om onder valse voorwendselen geld te verkrijgen.
Ook de hoeveelheid Trojaans ransomware, waarmee wordt geprobeerd geld af te persen van individuele gebruikers, neemt gestaag toe. Met deze programma's worden de gegevens van het slachtoffer versleuteld en wordt een bericht weergegeven (in de vorm van een readme-bestand of een pop-upvenster) waarin het slachtoffer wordt gevraagd om geld over te maken naar de schrijver van het programma via een van de vele services voor elektronische betalingen.
Phishers maken bijvoorbeeld een vrijwel exacte kopie van de website van een gekozen financiële instelling. Vervolgens versturen ze een spambericht dat op een echte e-mail van de betreffende financiële instelling lijkt.
Normaal gesproken worden geïnfecteerde computers gecombineerd tot netwerken. De activiteiten van deze botnetwerken (of botnets) worden beheerd via websites of Twitter-accounts. Als het botnet één C2-server (Command and Control) heeft, is het mogelijk om deze uit te schakelen zodra de locatie is vastgesteld. De afgelopen jaren hebben cybercriminelen complexere botnets ontwikkeld waarvoor een peer-topeermodel wordt gebruikt. Zodoende wordt één storingspunt voorkomen. De zogenaamde Storm Worm, begin 2007, experimenteerde als eerste met deze methode en is sindsdien geïmplementeerd in veel botnets (waaronder Conficker, Kelihos en Red October). Tot enkele jaren geleden bestonden de meeste epidemieën uit wormen die het e-mailsysteem overnamen om zichzelf proactief te distribueren en daarbij aanvullende contactpersonen te verzamelen op nieuw geïnfecteerde computers. Tegenwoordig worden steeds meer schadelijke programma's bewust naar computers verzonden. Zodoende kunnen ontwikkelaars hun code gericht distribueren naar een pc-populatie in plaats van deze code spontaan te laten verspreiden.
Phishers gebruiken meestal legitieme logo's en een goede bedrijfsstijl en bevatten zelfs echte namen van hogere managers van de financiële instelling. Ook wordt de header van de e-mail nagemaakt zodat het lijkt alsof het bericht afkomstig is van de legitieme bank. De valse e-mails van phishers hebben één ding gemeen: ze proberen de klant ertoe te verleiden om op een koppeling in het bericht te klikken. Als gebruikers erin trappen, worden ze rechtstreeks naar een imitatiesite geleid. Dit bevat een formulier dat de slachtoffers moeten invullen. Hier geven ze onbewust alle gegevens door die de cybercrimineel nodig heeft om toegang tot hun rekening te verkrijgen en hun geld te stelen.
ROOTKITS EN VERHULLING VAN CODE
Rootkits worden gebruikt om de aanwezigheid van schadelijke code te verhullen. De term rootkit is geleend uit de Unix-wereld, waar deze werd gebruikt om tools te beschrijven waarmee toegang tot de root werd onderhouden zonder dat de systeembeheerder dit merkte. In het kader van Windows-malware is het een onopvallende techniek waarmee malwareontwikkelaars verbergen welke veranderingen ze hebben aangebracht op de computer van een slachtoffer. Meestal verkrijgt de malwareontwikkelaar toegang tot het systeem door een wachtwoord te kraken of de vulnerability van een applicatie te benutten. Vervolgens worden andere systeemgegevens gebruikt totdat de ontwikkelaar beheerderstoegang tot de computer heeft verkregen. Rootkits worden vaak gebruikt om de aanwezigheid van een Trojaans paard te verbergen door bewerkingen van het register, de processen van Trojaanse paarden en andere systeemactiviteiten te verhullen. De rootkit is verder ontwikkeld en staat bekend als ‘bootkit’. In 2008 werd de eerste hiervan in praktijk gevonden: Sinowal (ook bekend als Mebroot). Het doel is hetzelfde als dat van rootkit: de aanwezigheid van malware in het systeem verhullen. Een bootkit wordt echter automatisch geïnstalleerd in de hoofdopstartrecord (MBR, Master Boot Record) zodat deze gelijk wordt geladen. (Het MBR is de eerste fysieke sector op de harde schijf. Code die naar deze sector is geschreven, wordt direct na de instructies in het BIOS geladen.) Sindsdien verschijnen er steeds weer nieuwe bootkits, waaronder 64-bits versies.
DE TERM ROOTKIT IS GELEEND UIT DE UNIXWERELD, WAAR DEZE WERD GEBRUIKT OM TOOLS TE BESCHRIJVEN WAARMEE TOEGANG TOT DE ROOT WERD ONDERHOUDEN ZONDER DAT DE SYSTEEMBEHEERDER DIT MERKTE.
Tip van GReAT: ontwikkel een beveiligingsstrategie Uw beveiligingsstrategie moet worden afgestemd op uw bedrijf, niet op basis van 'best practices' en veronderstellingen. Via een grondige risicobeoordeling kan worden beoordeeld met welke risico's uw bedrijf wordt geconfronteerd. U hebt niet alleen een mechanisme nodig waarmee u kunt meten hoe effectief uw beveiligingstools zijn, maar ook een proces voor het bijwerken van de strategie zodat hiermee nieuwe bedreigingen worden geweerd.
HOOFDSTUK 2
BEVINDT U ZICH IN DE VUURLINIE? EEN NIEUW TIJDPERK VAN GERICHTE AANVALLEN
DOELGERICHTE AANVALLEN
Het landschap van bedreigingen wordt nog altijd gedomineerd door willekeurige, speculatieve aanvallen die erop zijn gericht om persoonlijke gegevens te stelen van iedereen die helaas slachtoffer wordt van de aanval. Het is echter duidelijk dat het aantal gerichte aanvallen toeneemt en een vast kenmerk van het landschap van bedreigingen zijn geworden. Ze zijn bedoeld om in het beoogde bedrijf voet aan de grond te krijgen, bedrijfsgegevens te stelen of de bedrijfsreputatie te beschadigen. We leven bovendien nu in een tijd waarin schadelijke code als cyperwapen kan worden gebruikt: ook als een organisatie zich mogelijk niet direct in de vuurlinie bevindt, kan het zijdelings toch schade oplopen als het niet afdoende wordt beschermd. Op basis van de koppen in de media zou snel de conclusie kunnen worden getrokken dat gerichte aanvallen alleen een probleem voor grote organisaties zijn, met name als deze systemen met een 'kritieke infrastructuur' hebben binnen een land. Elke organisatie kan echter het slachtoffer worden. Alle organisaties hebben gegevens die waardevol kunnen zijn voor cybercriminelen en ook als 'opstap' kunnen worden gebruikt om andere bedrijven te bereiken.
Tip van GReAT: maak regelmatig een back-up van uw gegevens Zelfs als u de verwerking en opslag van uw gegevens uitbesteedt, kunt u niet de verantwoordelijkheid hiervoor in het geval van een inbreuk op de beveiliging uitbesteden. Beoordeel de potentiële risico's net zoals u zou doen wanneer u gegevens intern zou bewaren. Door een back-up van gegevens te maken, kunt u voorkomen dat een vervelende gebeurtenis een ramp wordt.
CYBERWAPENS
Stuxnet experimenteerde als eerste met zeer geavanceerde malware voor gerichte aanvallen op belangrijke productiefaciliteiten. Bovendien is het door de opkomst van andere door nationale overheden gesponsorde aanvallen - Duqu, Flame en Gauss duidelijk geworden dat dergelijke aanvallen geen op zichzelf staande incidenten zijn. We bevinden ons in een tijdperk van koude 'cyberoorlog', waarbij overheden elkaar kunnen bestrijden zonder de beperkingen van een echte oorlog. Voor de toekomst kunnen we verwachten dat meer landen cyberwapens ontwikkelen die zijn ontworpen om gegevens te stelen of systemen te saboteren, niet in de laatste plaats omdat dergelijke wapens veel eenvoudiger zijn te ontwikkelen dan echte wapens. Het is ook mogelijk dat aanvallen worden gekopieerd door andere overheden die geen natie zijn, waardoor de kans bestaat dat naast het slachtoffer van de aanval ook anderen indirecte schade oplopen. Dergelijke cyberaanvallen kunnen worden gericht op faciliteiten voor energievoorziening en transportbeheer, financiële en telecommunicatiesystemen, en andere faciliteiten met een 'kritieke infrastructuur'.
Aantal slachtoffers
300.000 100.000
10.000
1000
50 20 Stuxnet
Gauss
Flame
Aantal incidenten (statistieken van Kaspersky Lab) Gemiddeld aantal incidenten
Duqu
miniFlame
HOOFDSTUK 3
MALWARE: NU NET ZO IN BEWEGING ALS U DE GROEI VAN MOBIELE MALWARE
DE ONTWIKKELING VAN MOBIELE MALWARE
Cybercriminelen richten hun aandacht tegenwoordig steeds meer op mobiele apparaten. De eerste bedreigingen kwamen op in 2004, maar het zou nog jaren duren voordat mobiele malware een bedreiging ging vormen. Dit omslagpunt was in 2011. In 2011 waren er evenveel bedreigingen als in de periode tussen 2004 en 2010. De explosieve groei zet nog altijd door.
De eerste mobiele bedreigingen waren gericht op Symbian en in mindere mate op WinCE. Malwareontwikkelaars kwamen echter al snel met bedreigingen waarbij Java Mobile Edition (J2ME) werd gebruikt. Ze wilden namelijk platformonafhankelijke malware maken op een moment dat de markt voor smartphones gefragmenteerd was. Tegen het einde van 2009 was ongeveer 35% van de bedreigingen op Java gebaseerd. Het jaar daarop lag dit percentage rond 57%, waardoor Symbian naar de tweede plaats werd verdrongen als doel van malwareontwikkelaars.
In 2012 was bijna 94% van de bedreigingen op Android gericht
Aantal unieke exemplaren 120000 100000
In 2011 nam het aantal op Android gerichte bedreigingen sterk toe (64%). In 2012 was bijna 94% van de bedreigingen op Android gericht
80000
De hoofdreden is dat Android een open omgeving voor ontwikkelaars van 'apps' biedt, hetgeen heeft geleid tot een brede en gevarieerde keuze aan 'apps'. Mensen kunnen 'apps' vrijwel overal downloaden, waardoor ze eerder worden blootgesteld aan schadelijke 'apps'.
60000 40000 20000 0 Aug 2011
Okt 2011
Dec 2011
Feb 2012
Apr 2012
Jun 2012
Aug 2012
Okt 2012
Dec 2012
Feb 2013
Apr 2013
Jun 2013
iOS is daarentegen een gesloten, beperkt bestandssysteem, waardoor 'apps' vanaf slechts één bron kunnen worden gedownload en gebruikt: de App Store. Dit betekent een lager beveiligingsrisico: als malwareontwikkelaars code willen distribueren, moeten ze een manier vinden om code in de App Store binnen te smokkelen. Voorlopig is het derhalve waarschijnlijk dat cybercriminelen zich vooral op Android blijven richten.
MOBIEL BANKIEREN: HET VOLGENDE DOEL VAN CYBERCRIMINELEN?
Het gebruik van smartphones voor online bankieren is nog niet helemaal ingeburgerd, dus het zal nog even duren voordat cybercriminelen zich volledig hierop storten. Mobiele apparaten worden echter wel veel gebruikt voor tweeledige verificatie van banktransacties op een desktop of laptop. Hierbij stuurt de bank een sms met een eenmalig wachtwoord voor een transactie naar de smartphone van de klant. Het is dus niet vreemd dat via specifieke bedreigingen wordt geprobeerd om mTAN's (mobile Transaction Authentication Numbers) te onderscheppen. Deze worden ‘man-in-the-mobile’-aanvallen genoemd en er zijn met het oog hierop drie specifieke bedreigingen ontwikkeld: ZeuS-in-the-Mobile (ZitMo), SpyEye-in-the-Mobile (SpitMo) en Carberb-in-the-Mobile (CitMo). Cybercriminelen blijven manieren zoeken om geld te verdienen, dus ook via smartphones. De botnet SpamSold, die eind 2012 verscheen, stuurt bijvoorbeeld per sms spam vanaf geïnfecteerde apparaten. Tot nu toe is de meeste malware ontworpen om toegang tot de root op het apparaat te verkrijgen. In de toekomst zal waarschijnlijk gebruik worden gemaakt van vulnerabilities die zijn gericht op het besturingssysteem, op basis waarvan 'drive-by downloads' zullen worden ontwikkeld.
Tip van GReAT: implementeer een beveiligingsbeleid voor 'volg me' Zorg ervoor dat uw beveiligingsoplossingen flexibel zijn en dat veranderingen in werkprocedures hierin tot uiting komen. Zodoende worden alle medewerkers zowel binnen als buiten het bedrijf beschermd, ongeacht het apparaat dat ze gebruiken.
HOOFDSTUK 4
DE VERSPREIDING VAN MALWARE Cybercriminelen gebruiken verschillende technieken om hun slachtoffers te infecteren. Deze worden hieronder afzonderlijk beschreven. DRIVE-BY DOWNLOADS
Dit is momenteel de belangrijkste manier om malware te verspreiden. Cybercriminelen zoeken onveilige websites en verbergen hun code op een van de webpagina's: wanneer iemand deze pagina bekijkt, kan malware automatisch en onzichtbaar worden overgedragen naar zijn of haar computer, samen met de rest van de aangevraagde content. Dit wordt ook een 'drive-by download' genoemd omdat het slachtoffer niets anders hoeft te doen dan de geïnfecteerde webpagina te bezoeken. De cybercriminelen plaatsen een schadelijk script op de webpagina waarmee malware op de computer van het slachtoffer wordt geïnstalleerd of dat meestal de vorm van een IFRAME-omleiding heeft naar een site die door cybercriminelen wordt beheerd. Het slachtoffer wordt geïnfecteerd als op de computer een onveilige applicatie zonder patches is geïnstalleerd.
SOCIALE NETWERKEN
Cybercriminelen, zoals zakkenrollers in het echte leven, 'gebruiken' de menigte. Sommige sociale netwerken hebben evenveel leden als het aantal inwoners van een klein land en bieden dus een kant-en-klare groep van potentiële slachtoffers. Ze gebruiken sociale netwerken op verschillende manieren. • Ten eerste gebruiken ze gehackte accounts om berichten met koppelingen naar schadelijke code te verspreiden • Ten tweede ontwikkelen ze valse 'apps' waarmee persoonlijke gegevens van het slachtoffer worden verzameld (deze kunnen dan worden verkocht aan andere cybercriminelen) of malware wordt geïnstalleerd (bijvoorbeeld valse antivirusprogramma's) • Ten derde maken ze valse accounts waarmee 'vrienden' worden aangetrokken, waarna persoonlijke gegevens worden verzameld en verkocht aan adverteerders Cybercriminelen spelen in op het feit dat mensen in sociale netwerken veel eerder geneigd zijn om veel te veel gegevens te delen en om bekenden te vertrouwen.
CYBERCRIMINELEN PLAATSEN EEN SCHADELIJK SCRIPT OP DE WEBPAGINA WAARMEE MALWARE OP DE COMPUTER VAN HET SLACHTOFFER WORDT GEÏNSTALLEERD OF MEESTAL DE VORM VAN EEN IFRAME-OMLEIDING HEEFT NAAR EEN SITE DIE DOOR CYBERCRIMINELEN WORDT BEHEERD.
E-MAIL EN CHATSYSTEMEN
Ongeveer 3% van de e-mails bevat malware in de vorm van bijlagen of koppelingen. E-mail wordt ook gebruikt in gerichte aanvallen als manier om een eerste voet aan de grond te krijgen in de beoogde organisatie(s). In dit geval wordt de e-mail verzonden naar een specifieke persoon in een organisatie in de hoop dat deze de bijlage uitvoert of op de koppeling klikt zodat het proces wordt gestart waarmee de aanvallers toegang tot het systeem krijgen. Deze werkwijze wordt spear-phishing genoemd. Om hun kans op succes te vergroten, sturen cybercriminelen hun e-mail meestal naar medewerkers die contact hebben met klanten (en vaak niet technisch zijn), zoals verkoop- en marketingmanagers. In de e-mail wordt de persoon bij naam aangesproken, terwijl het Van-adres is nagemaakt zodat het bericht afkomstig lijkt van een vertrouwde collega in de organisatie. De inhoud van de e-mail sluit aan bij de interesses van de organisatie, waardoor het bericht legitiem lijkt. In sommige gerichte aanvalcampagnes wordt de inhoud afgewisseld, afhankelijk van de specifieke aard van het bedrijf waarop ze zijn gericht. Cybercriminelen maken ook gebruik van chatsystemen om koppelingen naar malware te verspreiden.
OM HUN KANS OP SUCCES TE VERGROTEN, STUREN CYBERCRIMINELEN HUN E-MAIL MEESTAL NAAR MEDEWERKERS DIE CONTACT HEBBEN MET KLANTEN (EN VAAK NIET TECHNISCH ZIJN), ZOALS VERKOOP- EN MARKETINGMANAGERS.
VERWIJDERBARE MEDIA
Apparaten voor fysieke opslag zijn ideaal om malware te verspreiden. Zo worden wel eens USB-sticks gebruikt om de penetratie van malware binnen een organisatie na de eerste infectie te vergroten. Ze zijn ook gebruikt om malware over te brengen tussen een niet-vertrouwde computer die verbonden is met internet, en een vertrouwd netwerk. (Deze methode werd bijvoorbeeld gebruikt door Stuxnet.) Malware gebruikt vaak vulnerabilities zodanig dat via USB-sticks code automatisch wordt gestart wanneer deze in een computer worden geplaatst.
VULNERABILITIES EN AANVALLEN
Cybercriminelen proberen met name malware te installeren op de computer van slachtoffers door vulnerabilities zonder patches in applicaties te gebruiken. Hierbij wordt gebruikgemaakt van vulnerabilities en het feit dat personen of bedrijven geen patches hebben toegepast op hun applicaties. Dergelijke vulnerabilities - of bugs - kunnen aanwezig zijn binnen een besturingssysteem. Cybercriminelen richten hun aandacht meestal op applicaties die op grote schaal worden gebruikt en waarvoor waarschijnlijk lang geen patches zullen worden gepubliceerd. Zodoende hebben ze voldoende tijd om hun doelen te realiseren.
ZERO-DAY AANVALLEN
Cybercriminelen vertrouwen niet alleen op het feit dat mensen soms geen patches uitvoeren voor hun applicaties. Soms kunnen ze zelfs eerder vulnerabilities vaststellen dan de leverancier van een applicatie. Deze worden zero-day vulnerabilities genoemd en stellen cybercriminelen in staat om hun malware te verspreiden op elke computer waarop de kwetsbare applicatie is geïnstalleerd, ongeacht of de meest recente patch nu wel of niet is geïnstalleerd.
Meest aangevallen applicaties Java (Oracle) 2%
Adobe Acrobat Reader
11%
Microsoft en IE
3%
Adobe Flash
4%
Android Root 56 % 25%
Overige
DIGITALE CERTIFICATEN
We zijn allemaal geneigd om websites met een beveiligingscertificaat van een vertrouwde certificeringsinstantie (CA) of een applicatie met een geldig digitaal certificaat te vertrouwen.
Tip van GReAT: implementeer uitgebreide en geïntegreerde anti-malware
Helaas kunnen niet alleen cybercriminelen valse certificaten uitgeven voor hun malware. Via zogenaamde zelfondertekende certificaten kunnen ze ook succesvol de systemen van verschillende CA's binnendringen en gestolen certificaten gebruiken om hun code te ondertekenen.
Zorg altijd ervoor dat u de meest recente beveiligingssoftware uitvoert, updates toepast zodra deze beschikbaar zijn en software verwijdert wanneer deze overbodig wordt.
Hierdoor krijgen cybercriminelen effectief de status van een vertrouwde insider, waardoor hun kans op succes toeneemt. Organisaties en personen zijn vanzelfsprekend eerder geneigd om ondertekende code te vertrouwen.
HOOFDSTUK 5
DE MENSELIJKE FACTOR IN BEVEILIGING DE MENSELIJKE FACTOR
Mensen zijn meestal de zwakste schakel in elke beveiligingsketen. Hiervoor zijn diverse redenen: • Veel mensen zijn zich niet bewust van de trucs die door cybercriminelen worden gebruikt • Ze weten niet op welke signalen ze moeten letten • Bovendien zien opeenvolgende scams er nooit precies hetzelfde uit, waardoor het voor personen lastig is om te bepalen wat veilig is en wat niet Soms nemen mensen de korte route om hun leven eenvoudiger te maken, maar ze begrijpen dan gewoon niet wat de gevolgen voor hun veiligheid zijn. Dit geldt bijvoorbeeld voor wachtwoorden. Veel mensen gebruiken hetzelfde, vaak eenvoudig te onthouden wachtwoord voor alles. Of ze gebruiken gewoon 'wachtwoord'! Daardoor wordt het waarschijnlijker dat een cybercrimineel het wachtwoord raadt. En als één account in verkeerde handen is gevallen, biedt dit vaak eenvoudig toegang tot andere accounts. Zelfs wanneer ze worden gewezen op het potentiële gevaar, zien velen gewoon geen haalbaar alternatief, want ze kunnen niet allerlei unieke wachtwoorden onthouden.
SOCIAL ENGINEERING
Social engineering is de manipulatie van menselijke psychologie: ervoor zorgen dat iemand iets doet wat u wilt. In de context van IT-beveiliging betekent dit dat u mensen ertoe verleidt om iets te doen waarmee hun beveiliging of de beveiliging van de organisatie waarin ze werken, wordt ondermijnd. Phishingberichten zijn een goed voorbeeld van social engineering. Ze hebben meestal de vorm van spam dat naar veel mensen wordt gestuurd. Ze lijken op legitieme e-mails van een bonafide organisatie. Ze bevatten het logo, het lettertype en de stijl van de legitieme organisatie in de hoop dat genoeg ontvangers van de e-mail erin trappen en denken dat dit een legitiem bericht is. Wanneer slachtoffers op de koppeling klikken, worden ze naar een valse website geleid, waar ze worden gevraagd om hun persoonlijke gegevens te verstrekken (zoals gebruikersnamen, wachtwoorden, pincodes en andere gegevens die cybercriminelen kunnen gebruiken). Het wijdverbreide gebruik van sociale netwerken heeft het ook eenvoudiger gemaakt voor cybercriminelen. Ze kunnen online gepubliceerde gegevens van mensen verzamelen om hun phishingbericht geloofwaardiger te maken.
Tip van GReAT: maak mensen bewuster Cybercriminelen gebruiken steeds vaker openbare gegevens om gerichte aanvallen op bedrijven uit te voeren. Vertel uw collega's over de risico's rond het online delen van persoonlijke en zakelijke gegevens. Raadpleeg de tien belangrijkste tips aan het einde van deze gids voor meer informatie over het verspreiden van informatie onder uw collega's.
HOOFDSTUK 6
ANTI-MALWARE TECHNOLOGIEËN HUIDIGE ANTI-MALWARETECHNOLOGIEËN
Dagelijks verschijnen honderdduizenden unieke malware-exemplaren. Door deze explosieve groei in de afgelopen jaren is het nog belangrijker om bedreigingen op een proactieve manier te blokkeren. Hieronder staan de belangrijkste antimalwaretechnologieën die tegenwoordig worden gebruikt.
Definities
Traditioneel een kenmerkende reeks bytes waarmee een bepaald stuk malware wordt geïdentificeerd. Tegenwoordig maken anti-malwareoplossingen echter veel gebruik van generieke handtekeningen om grote aantallen malware te detecteren die tot dezelfde malwarefamilie behoort.
Heuristische analyse
Hiermee worden nieuwe, onbekende bedreigingen gedetecteerd, zoals het gebruik van een handtekening waarmee bekende schadelijke instructies worden geïdentificeerd in plaats van een specifiek stuk malware. De term verwijst ook naar het gebruik van een sandbox (een veilige, virtuele omgeving die in het geheugen wordt gemaakt) om te onderzoeken hoe de code zich gedraagt wanneer deze wordt uitgevoerd op de echte computer.
Gedragsanalyse
Dit heeft betrekking op de realtimebewaking van het systeem om de interactie tussen een codefragment en de computer te bekijken. De geavanceerdere systeemwatchers bekijken code niet op zichzelf, maar volgen activiteiten tussen verschillende sessies. Ook kijken ze naar de interactie tussen de code en andere processen op de computer.
Whitelists
Tot nu toe wordt met anti-malwareoplossingen vastgesteld van welke code bekend is dat deze schadelijk is (waarbij programma's dus op een zwarte lijst worden geplaatst). Met whitelists wordt de tegenovergestelde werkwijze gevolgd: applicaties worden geblokkeerd als ze niet voorkomen op de lijst met acceptabele programma's. Ga voor meer informatie over whitelists naar: http://whitelist.kaspersky.com/ Download voor gedetailleerde informatie: http://media.kaspersky.com/en/businesssecurity/application-security-control-tools%20best-practices.pdf
Scannen op kwetsbaarheden
Omdat cybercriminelen uitgebreid gebruikmaken van vulnerabilities in applicaties, is het zinvol om te bepalen welke applicaties in een systeem kwetsbaar zijn voor aanvallen, zodat bedrijven of personen voorzorgsmaatregelen kunnen treffen. Sommige oplossingen bevatten ook een realtimescan van een computer om het gebruik van zero-day vulnerabilities te blokkeren.
Reputatieservices
Tegenwoordig wordt in veel oplossingen uitgebreid gebruikgemaakt van een cloudinfrastructuur zodat vrijwel in realtime bescherming kan worden geboden tegen een net ontdekte bedreiging. Eenvoudig gezegd: metagegevens over een programma dat wordt uitgevoerd op een beschermde computer, worden geüpload naar de cloudcomputers van de leverancier. Daar wordt de algehele reputatie beoordeeld: is het bekend dat het programma goed of slecht is, een onbekende hoeveelheid, hoe vaak is het gezien, waar is het gezien, etc. Het systeem werkt als wereldwijde buurtwacht en houdt in de gaten wat wordt uitgevoerd op computers overal in de wereld. Daarbij wordt elke beschermde computer beveiligd zodra er iets schadelijks wordt gedetecteerd. Voor ontwikkelde malware is een ontwikkelde oplossing nodig: de opkomst van geïntegreerde platforms Malware neemt qua aantallen toe en wordt steeds geavanceerder. Tegenwoordig moeten bedrijven dus de strijd aanbinden met meer en meer aanvalshaarden. Met name als het webgebruik moet worden bijgehouden en gecontroleerd, het aantal mobiele medewerkers (en gegevens) toeneemt en een steeds ingewikkeldere diversiteit aan applicaties moet worden bijgewerkt, moet de gemiddelde onderbemande ITafdeling concessies doen ten aanzien van de IT-beveiliging. Naarmate de omgeving complexer wordt, kan het een oplossing zijn om nieuwe technologieën toe te voegen waarmee de verschillende risicogebieden worden beheerd en beschermd. Daardoor nemen echter de werklast van de IT-afdeling, de kosten en zelfs de risico's toe. Dit nieuwe landschap van bedreigingen heeft geleid tot het eerste volledig geïntegreerde beveiligingsplatform, dat door Kaspersky Lab is ontwikkeld. Dit platform biedt de beste manier om alle technologiegebieden samen te brengen, waarbij alles via één beheerconsole wordt bekeken, beheerd en beschermd. Download voor meer informatie over geïntegreerde platforms: http://media.kaspersky.com/en/business-security/10-Kaspersky-Integrated-SecuritySolution-Benefits.pdf
HET GReAT-TEAM
Tip van GReAT: gebruik proactieve technologie
De expertise in dit rapport is afkomstig van het Global Research and Analysis Team (GReAT) van Kaspersky Lab.
Vertrouw niet alleen op bescherming op basis van handtekeningen, maar implementeer antimalwareoplossingen waarmee verschillende technologieën worden gecombineerd om nieuwe, onbekende bedreigingen in realtime te blokkeren.
Sinds 2008 is GReAT toonaangevend op het gebied van informatie over bestrijding van bedreigingen, onderzoek en innovatie, binnen Kaspersky en daarbuiten. GReAT loopt voorop bij het detecteren en elimineren van enkele van de grootste malwarebedreigingen ter wereld in de afgelopen tien jaar, waaronder Stuxnet, Duqu, Flame en NetTraveler. In 2013 werd het team tijdens de SC Awards uitgeroepen tot het beste team voor informatiebeveiliging. Dit rapport bevat veel tips van GReAT. Deze zijn bedoeld om u te helpen zoveel mogelijk uit uw beveiligingssoftware te halen.
WAAROM KASPERSKY?
We zijn actief in bijna 200 landen en territoria over de hele wereld. We bieden beveiliging aan ruim 300 miljoen gebruikers en ruim 200.000 bedrijven, van het midden- en kleinbedrijf tot grote overheidsorganisaties en commerciële concerns. In 2012 namen producten van Kaspersky Lab deel aan 79 onafhankelijke tests en beoordelingen. Onze producten eindigden 27 keer op de eerste plaats en 63 keer in de top 3. Onze geavanceerde, geïntegreerde beveiligingsoplossingen bieden bedrijven ongekende mogelijkheden om greep te houden op het gebruik van applicaties, het web en apparaten: u stelt de regels in en onze oplossingen helpen bij het uitvoeren van deze regels. Kaspersky Endpoint Security for Business is specifiek ontworpen om de meest APT's (Advanced Persistent Threats) van tegenwoordig te bestrijden en te blokkeren. De oplossing, die samen met Kaspersky Security Center wordt geïmplementeerd, biedt beveiligingsteams het benodigde inzicht en de gewenste controle zodra bedreigingen zich voordoen.
Ga voor meer informatie naar: www.kaspersky.nl/business
KASPERSKY LAB BIEDT DE BESTE BESCHERMING IN DE BRANCHE*: 100%
80%
Score van plaatsen in top 3
Kaspersky Lab is een van de snelst groeiende leveranciers van IT-beveiliging wereldwijd en heeft een stevige positie als een van de vier grootste wereldwijde beveiligingsbedrijven.
In 2012 namen eindpuntproducten van Kaspersky Lab deel aan 79 onafhankelijke tests en beoordelingen. Onze producten eindigden 27 keer op de eerste plaats en in alle tests stonden we 63 keer (80%) in de top 3.
Kaspersky Lab Eerste plaatsen: 27 Deelname aan 79 tests/beoordelingen Top 3 = 80%
Bitdefender
60%
Symantec
40%
Sophos
G-Data
F-Secure
BullGuard PC Tools
20%
0
Webroot
Microsoft
Avast
Avira Eset
Trend Micro
McAfee Panda
AVG
GFI
20
Aantal onafhankelijke tests/beoordelingen
40
60
80
* Opmerkingen: • Volgens overzichtsresultaat van onafhankelijke tests uit 2012 voor producten voor bedrijven, consumenten en mobiele apparaten • Overzicht bevat tests die zijn uitgevoerd door de volgende onafhankelijke testlaboratoriums en tijdschriften: • Testlaboratoriums: AV-Test, AV-Comparatives, VB100, PC Security Labs, Matousec, Anti-Malware.ru, Dennis Technology Labs • Tijdschriften: CHIP Online, PC Advisor, PC Magazine, TopTenREVIEWS, CNET, PCWorld, ComputerBild, PC-Welt • De grootte van de cirkel geeft het aantal eerste plaatsen aan
5. DE MENSELIJKE FACTOR TIPS OM MENSEN IN UW ORGANISATIE BEWUSTER VAN VEILIGHEID TE MAKEN
******
Het kan lastig zijn om mensen in uw bedrijf ervan te doordringen hoe belangrijk ITbeveiliging is, dus we hebben tien tips verzameld waarmee u eenvoudiger veiligheidskwesties kunt bespreken.
1
5
SPREEK UW DOELGROEP CORRECT AAN Noem niet iedereen 'gebruikers': dit klinkt onpersoonlijk, waardoor uw doelgroep zich mogelijk niet volledig aangesproken voelt door wat u zegt. Gebruik in plaats hiervan 'medewerker', 'collega' of 'persoon'.
WEES CREATIEF U kunt informatie op allerlei manieren interessanter maken. Hoe creatiever en interessanter informatie is, des te groter de kans dat deze wordt gelezen. Probeer strips, posters en quizzen.
2
GEBRUIK DE JUISTE TOON Met een benaderbare, vriendelijke toon kunt u effectiever met uw doelgroep communiceren, zodat u uw collega's beter kunt informeren over wat ieder kan doen om het bedrijf te beschermen.
6
BEOORDEEL DE INSPANNINGEN
9
STIMULEER EEN OPEN DIALOOG
Blijft uw informatie hangen? Test wat uw collega's hebben onthouden en wat ze zijn vergeten. Een quiz met de vijf belangrijkste problemen op het gebied van IT-beveiliging is een goed uitgangspunt.
Zorg ervoor dat mensen begrijpen wat de gevolgen van een inbreuk op de beveiliging zijn en hoe belangrijk het is dat ze u op de hoogte houden. Sommigen zijn misschien bang dat ze worden gestraft als ze op een phishingbericht hebben geklikt, waardoor ze de juiste personen niet op de hoogte stellen.
3
ZORG VOOR STEUN VAN HR EN DE JURIDISCHE AFDELING
4
HOUD COLLEGA'S OP DE HOOGTE
8
VOORKOM JARGON
Waar nodig kunnen zij echte beleidslijnen implementeren en ondersteuning bieden als IT-beleidslijnen worden geschonden.
7
MAAK HET PERSOONLIJK
10
OVERLEG MET HET MARKETINGTEAM
Als u het eigenbelang van uw collega's aanspreekt, krijgen ze beter inzicht in het belang en de context van IT-beveiliging. Bespreek bijvoorbeeld hoe een inbreuk op de beveiliging van invloed kan zijn op hun mobiele apparaten.
Wat interne communicatie in uw organisatie betreft, zijn zij de deskundigen. Vraag dus hun hulp als u wilt weten hoe u uw collega's het beste erbij kunt betrekken.
Overweeg de timing en frequentie van uw kennismakingen met en instructies over IT-beveiliging. Zorg ervoor dat deze regelmatig plaatsvinden en gemakkelijk te onthouden zijn.
De meeste mensen beschikken niet over evenveel kennis als u, dus zorg ervoor dat u alles op een begrijpelijke manier uitlegt.
© 2013 Kaspersky Lab ZAO. Alle rechten voorbehouden. Geregistreerde handelsmerken en servicemerken zijn het eigendom van de respectieve eigenaars. Mac en Mac OS zijn geregistreerde handelsmerken van Apple Inc. Cisco is een geregistreerd handelsmerk of handelsmerk van Cisco Systems, Inc. en/of diens gelieerde ondernemingen in de Verenigde Staten en bepaalde andere landen. IBM, Lotus, Notes en Domino zijn handelsmerken van International Business Machines Corporation, geregistreerd in diverse rechtsgebieden over de gehele wereld. Linux is het geregistreerde handelsmerk van Linus Torvalds in de Verenigde Staten en andere landen. Microsoft, Windows, Windows Server en Forefront zijn geregistreerde handelsmerken van Microsoft Corporation in de Verenigde Staten en andere landen. Android™ is een handelsmerk van Google, Inc. Het handelsmerk BlackBerry is eigendom van Research In Motion Limited en is geregistreerd in de Verenigde Staten en mogelijk geregistreerd of in afwachting van registratie in andere landen.