Van geïnfecteerde diskette naar wereldwijde plaag: 25 jaar aan malware in beeld

Gil Shwed, oprichter en CEO van Check Point, blikt terug op de evolutie van cyberdreigingen in de laatste kwarteeuw en de manier waarop cyberbeveiliging in die periode mee is geëvolueerd.

Was jouw organisatie 25 jaar geleden al online? De kans is klein. Het wereldwijde web stond immers nog maar in zijn kinderschoenen: de allereerste internetbrowser zag zelfs pas het levenslicht in 1993. Ga er maar vanuit dat 25 jaar geleden slechts een handvol organisaties überhaupt op de hoogte was van het internet, laat staat de mogelijke beveiligingsrisico’s die het wereldwijde netwerk met zich mee zou brengen.

Toch waren er zelfs in die eerste dagen van het publieke internet pioniers: bedrijven die zich realiseerden dat verbinden met de hele wereld een risico met zich zou meebrengen. Al aan het eind van de jaren ’80 verschenen de eerste antivirus-oplossingen en in 1994 lanceerde Check Point als eerste een commerciële software-firewall.

Spoelen we 25 jaar vooruit, dan vinden we een onherkenbaar veranderd bedreigingslandschap terug. 2017 was wereldwijd het ergste jaar ooit voor cyberaanvallen. Het aantal gerapporteerde cyberincidenten, van ransomware-aanvallen op wereldschaal zoals WannaCry en Not.Petya tot datalekken zoals bij Equifax en Uber, is tegenover 2016 verdubbeld.

 

Spoelen we 25 jaar vooruit, dan vinden we een onherkenbaar veranderd bedreigingslandschap terug.

 

2018 was wat dat betreft een stuk minder rampzalig, al kende ook dit jaar een aantal stevige incidenten. Denk maar aan de lekken bij Ticketmaster en British Airways. Hoe is het zo ver kunnen komen? We kijken naar de opeenvolgende generaties van aanvallen en verdedigingen, van de eerste dagen van het internet tot vandaag.

Cyberwapenwedloop

Isaac Newton wist het al: voor iedere actie is er een gelijkwaardige en tegengestelde reactie. De beschikbaarheid van pc’s in de jaren ’80 was de rechtstreekse aanleiding voor de ontwikkeling van de eerste cyber-aanvalswapens. Die legden de fundering voor de bedreigingen van de toekomst.

De eerste generatie van bedreigingen bestond uit computervirussen: kwaadaardige programma’s die zichzelf konden repliceren op iedere machine die ze infecteerden. Dat gebeurde niet via netwerken maar voornamelijk via diskettes. Toch was de impact van virussen groot genoeg om de ontwikkeling van de eerste generatie van cyber-verdedigingsmechanismen in gang te zetten: de eerste commerciële antivirus-producten.

Cybercriminaliteit begint

Met de echte opkomst van netwerken en het internet in de jaren ’90, verscheen ook de tweede generatie van cyberaanvallen. Die nam toen al een erg herkenbare vorm aan. Zo gingen hackers in 1994 aan de haal met 10 miljoen dollar van Citibank.

 

Met de echte opkomst van netwerken en het internet in de jaren ’90, verscheen ook de tweede generatie van cyberaanvallen.

 

Om aan dergelijke nieuwe dreigingen tegemoet te komen, ontwikkelden specialisten nieuwe en geavanceerdere firewalls. De tandem firewall-antivirussoftware werd een vereiste voor de bescherming van organisaties en die combinatie vormt tot vandaag de fundering voor een gezonde beveiligingsinfrastructuur.

Exploits overal

De volgende generatie van aanvallen werd geboren aan het begin van de jaren 2000. Aanvallers ontdekten toen hoe ze kwetsbaarheden moesten uitbuiten, bijvoorbeeld in besturingssystemen maar ook firmware en applicaties. Zo viseerde de SQSlammer-worm, Microsoft SQL-servers, en kreeg MSDE de bedenkelijke eer kreeg de snelst verspreidende worm ooit te zijn. Aanvallers werden steeds professioneler, en geld verdienen werd de focus.

Een wildgroei aan beveiligingsfirma’s zorgde als reactie op die ontwikkeling voor nieuwe securityproducten. Die hadden op hun beurt nieuwe interfaces en managementconsoles, en dat leidde dan weer voor een hogere druk op de IT-teams binnen ondernemingen. De steeds groeiende complexiteit van beveiliging leidde tot inefficiëntie, en de bescherming van de IT-bedrijfsinfrastructuur werd stilaan ingehaald door de aanvallers, die sneller evolueerden.

Aanvallen verschalken detectiegebaseerde defensie

In 2010 bereikten aanvallen ongekende niveau’s van complexiteit. De criminelen achter de aanvallen hadden zich intussen echt georganiseerd en gingen professioneler dan ooit te werk. De aanvallen haalden de krantenkoppen eenvoudigweg omwille van hun grote impact op de samenleving. Denk als voorbeeld aan het hack bij de Amerikaanse retail-keten Target, waarbij de kredietkaartgegevens van 40 miljoen klanten werden buitgemaakt, naast nog persoonsgegevens van maar liefst 110 miljoen mensen.

 

In 2010 bereikten aanvallen ongekende niveau’s van complexiteit.

 

Cyberaanvallen werden bovendien veel moeilijker om te detecteren. Malware kon vele vormen aannemen, en verstopte in zich alles van vervalste documenten tot zelfs digitale afbeeldingen. Een gebruiker hoefde maar per ongeluk een e-mailbijlage te openen, een bestand  van het net te downloaden of zelfs een USB-stick in een laptop te steken, en het kwaad was geschied. Deze aanvallen van de vierde generatie maakten detectiegebaseerde bescherming gedateerd.

Klassieke detectie is uitsluitend in staat om gekende aanvallen te herkennen en te blokkeren. Dat kan pas nadat een aanval ontdekt en geanalyseerd is. Dat houdt in dat organisaties dagen, weken of zelfs maanden kwetsbaar zijn, vaak zonder dat ze dat zelf weten, terwijl een aanval binnen enkele minuten ernstige schade kan veroorzaken. Nieuwe technologieën zoals sandboxing werden ontwikkeld om dergelijke zogenaamde zero day-kwetsbaarheden te blokkeren. Die extra bescherming verhoogde als bijwerking opnieuw de complexiteit, wat ook deze keer een negatieve impact had op de beveiligingsinfrastructuur.

De mega-aanvallen van vandaag

De huidige vijfde generatie van aanvallen introduceerde zichzelf met veel lawaai aan het begin van 2017. De beschikbaarheid van geavanceerde hackingtools zorgde voor enorme aanvalscampagnes die gebruik maakten van meerdere vectoren om zo geld te verzamelen voor criminelen. Als bijwerking zorgden de aanvallen voor enorme verliezen voor bedrijven, zowel financieel als op het vlak van reputatie.

 

Malware vandaag ziet er steeds anders uit en heeft er geen moeite mee om zich over de hele IT-infrastructuur te verspreiden

 

Malware vandaag ziet er steeds anders uit en heeft er geen moeite mee om zich over de hele IT-infrastructuur te verspreiden: on premise, in de cloud, via mobiel, naar satellietkantoren… De gekendste voorbeelden zijn natuurlijk WannaCry, dat 300.000 computers in 150 landen kon infecteren, en Not.Petya, dat voor 300 miljoen dollar aan schade berokkende.

Ons Security Report van 2018 toont aan dat 97 procent van de organisaties over antivirus en firewall beschikt, maar slechts 21 procent beschikt over anti-bot en sandboxing-tools die bedreigingen van de vierde generatie kunnen stoppen en amper 3 procent heeft actieve threat preventie over zijn hele infrastructuur, inclusief mobiel en cloud. De nieuwste aanvallen zijn zo geavanceerd dat een volledig geïntegreerde beveiliging nochtans de enige betrouwbare bescherming biedt.

Wat de toekomst brengt, is moeilijk te voorspellen. Eén ding is wel zeker: de vijfde generatie van bedreigingen is zeker niet de laatste. De aanvallen van morgen zullen nog slimmer zijn dan wat we vandaag zien, en dat wil zeggen dat ook de beveiliging mee moet blijven evolueren.

 

Dit is een ingezonden bijdrage van Gil Shwed, CEO en oprichter bij Check Point. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.