Cybersecurity is continu in beweging. De aanvalsoppervlakte waarop cybercriminelen inspringen is net zo veranderlijk als de ontwikkeling van informatietechnologie. Zicht op dit aanvalsoppervlakte is belangrijk, want alleen door te weten hoe een dreiging eruitziet, kunnen we onszelf – en/of onze klanten – verdedigen.
Dat brengt een uitdaging met zich mee. Cybercriminaliteit is breed. De delen van de som die tot een datalek leidt, kunnen zich in elke laag en hoek van een infrastructuur voordoen. IT-vraagstukken hebben zelden een ‘one size fits all’-antwoord, en die regel gaat in het bijzonder voor cybersecurity op.
Patronen zijn daarentegen te herkennen. Hoewel de oorzaak en het leed van twee datalekken zelden identiek is, hebben aanvallers en hun methodes voldoende gemeen voor de categorisering van risicovlakken.
Het laatste staat in dit artikel centraal. Een overzicht van de meest voorkomende aanvalssoorten en oorzaken is waardevol, maar lastiger te scheppen dan ogenschijnlijk lijkt.
De benodigde informatie om securitytrends te duiden, wordt pas sinds enkele jaren grootschalig gecentraliseerd. Individuele redenen hiervoor lopen uiteen, maar tellen gezamenlijk op tot een belangrijke context voor het begrijpen van de staat van wereldwijde cybersecurity en -crime in 2021.
Daarom beginnen we met een verkenning van deze redenen – en lopen we aan op het dilemma dat security-overzicht heet.
Eerste stappen
In rapport ‘Cyberthreats: a 20-year retrospective’ blikt securityleverancier Sophos terug op de trends die het securitylandschap sinds de doorbraak van het internet tekenen.
De organisatie stelt dat 2005 het begin aankaart van de grootschalige commercialisering van cybercriminaliteit. Virusverspreiding in de jaren daarvoor zou eerder om kleinschalig gewin, nieuwsgierigheid, disruptie en beruchtheid draaien.
Die stelling wordt onder andere bevestigd door de totstandkoming van ILOVEYOU, een worm die wijdverspreid bekendstaat als ‘s werelds eerste massale, wereldwijde malwaredreiging.
ILOVEYOU werd niet in het leven geroepen om grootbedrijven te beroven. Onel de Guzman, een toentertijd 24-jarige student, ontwikkelde de worm om wachtwoorden te stelen van accounts die toegang verleenden tot het internet, en op die manier kosteloos van het internet gebruik te kunnen maken.
Aanvankelijk nam De Guzman voorzorgsmaatregelen om de functionaliteit van ILOVEYOU tot zijn woonplaats te beperken. Nadat lokale verspreiding bijzonder succesvol bleek, trok De Guzman zijn voorzorgsmaatregel in. Niet omreden van agressie. Evenmin omreden van nijd. Nee, verklaarde hij op 12 september 2020 in een interview met Wired: nieuwsgierigheid was de boosdoener die in hetzelfde jaar tot wereldwijde miljardenschade leidde.
Het is aannemelijk dat dergelijke nieuwsgierigheid in de jaren na ILOVEYOU een steeds kleinere rol is gaan spelen in de motivatie van malware-ontwikkelaars. Vragen naar het potentieel van malware werden beantwoord door de onmiskenbare destructie van Code Red, Nimda, SQL Slammer, Blaster en tientallen andere wormen die tussen 2000 en 2004 in de voetsporen van ILOVEYOU traden.
Tussen 2005 en 2013 maakte de wereld kennis met gigantische botnets voor de massale verwijzing naar fraudulente websites en DDoS-aanvallen op anti-spam websites. Het doeleinde en de werking van malware verbreedde. Nieuwsgierigheid maakte plaats voor financieel gewin. Banking trojans, toegespitst op de diefstal van persoonsgegevens, zagen het daglicht. Ook het concept van malvertising – waarbij een veelbezochte website wordt geïnfiltreerd en aangepast om bezoekers naar malwaresites te verwijzen – keek om de hoek.
Meer markt, meer data
Cybercrime kreeg een geldgroene tint. Aanvalssoorten verbreedde – en cybersecurity groeide mee. Waar de wereldwijde markt voor cybersecurity in 2004 slechts zo’n 3 miljard euro bedroeg, besteedden Amerikaanse organisaties twee jaar geleden gezamenlijk meer dan 35 miljard euro (40,8 miljard dollar) aan cybersecurity. Gartner voorspelde op 17 mei 2021 dat wereldwijde uitgaven aan risk management en security tegen het einde van 2021 150,4 miljard dollar zullen bedragen.
De opkomst van gigantische securityleveranciers is een bijbehorend gevolg. In tijden van de ILOVEYOU-worm durfden weinigen van securitykantoren met duizendkoppige afdelingen te dromen. Inmiddels zijn er forse partijen als Trend Micro, Palo Alto Networks, Check Point Software, Fortinet en Zscaler.
Deze leveranciers dragen zorg voor de digitale verdediging van miljoenen wereldwijde organisaties. Daarbij is informatie over aanvallers en aanvallen bijzonder relevant. Dergelijke informatie wordt gecentraliseerd, gebruikt om verdedigingen te ontwikkelen en over aangetroffen aanvalssoorten en kwetsbaarheden te rapporteren.
Kortom: cybercrime groeide, securityleveranciers groeiden en gedetailleerde rapportages over aanvalssoorten en kwetsbaarheden worden steeds beter beschikbaar. Het groeiende inzicht is voor dit artikel van het grootste belang: precies daarmee belanden we bij de beginselen van een antwoord op de vraag naar de staat van cybersecurity in 2021.
Malwarevormen volgens leveranciers
Niet iedere securityleverancier zal precies dezelfde topbedreigingen zien, want dat is ook deels afhankelijk van waar de leverancier zich mee bezighoudt. Zo kan het nogal uitmaken of analyses komen van endpointbeveiligers of van partijen die zich aan de netwerkkant bevinden. Als we even kijken naar securityleveranciers die de netwerken van klanten als nodes gebruiken om wereldwijde aanvallen te registreren, dan zien we dat zij zogeheten threat maps kennen. Deze maps schetsen een beeld van het dreigingslandschap, op een detailniveau dat in de jaren ‘00 en ‘10 ongekend was.
Geografische data is ietwat beperkt, want de locaties van aanvallers worden vrijwel altijd verscholen via VPN’s. Informatie over de vormen en werking van malware is daarentegen accuraat.
Check Point stelt met zijn ThreatCloud threat map bijvoorbeeld in staat te zijn om aanvallen op 150.000 wereldwijde netwerknodes te categoriseren op basis van malwarevorm. Daaruit voortvloeiende bevindingen kwamen recent aan het daglicht. Volgens het rapport werden de 150.000 gevolgde netwerken tussen januari 2020 en december 2020 door de volgende malwarevormen aangevallen:
- Botnet (28 procent)
- Cryptominers (21 procent)
- Infostealer (16 procent)
- Mobile (15 procent)
- Banking (14 procent)
- Ransomware (5 procent)
Beschikbare data over de verdeling van de ingangen waar deze aanvallen op doelden – ook wel bekend als attack vectors of aanvalsoppervlakten – zijn beperkt tot twee categorieën: web en e-mail.
- 83 procent van wereldwijde aanvallen op getrackte netwerken vond in 2020 via e-mail plaats.
- Een magere 17 procent via ‘web’, wat onder andere 3rd party apps omvat.
Indrukwekkend maar beperkt
Met 150.000 netwerknodes geldt de threat map van Check Point als een van de grotere databronnen die door securityexperts wordt gebruikt om over aanvalssoorten en kwetsbaarheden te rapporteren.
Toch heeft zowel Check Points threat map als die van elke andere leverancier een onnegeerbaar gebrek. Bevindingen kunnen moeilijk representatief genoemd worden, want de databron beperkt zich tot de netwerken van klanten waarmee de vendor samenwerkt.
Het proben van elk wereldwijd netwerk biedt een overbrugging van deze drempel, maar is uiterst illegaal. Vandaar blijft een holistisch, definitief overzicht van ‘s werelds belangrijkste aanvalssoorten en kwetsbaarheiden net buiten handbereik. Het goede nieuws is dat er meerdere wegen naar Rome leiden.
Groeiende markt, groeiende stemmen
Evenals een groeiende centralisatie van dreigingsinformatie onder securityleveranciers, drukt de marktgroei van cybersecurity zich uit in een grotere vertegenwoordiging van leidinggevenden met een technische achtergrond, zoals CISO’s.
De groeiende groep wordt jaarlijks door VMware Carbon Black benut voor de schets van een alternatief cybersecuritybeeld. In tegenstelling tot de eerdergenoemde threat maps en rapportages op basis van vendordienstverlening, komen de inzichten van VMware Carbon Blacks ‘Global Security Insights Report’ niet voort uit geanonimiseerde clouddata, maar de stem van duizenden CIO’s, CTO’s en CISO’s.
In het recente onderzoek vroeg VMware Carbon Black 3.542 CIO’s, CTO’s en CISO’s, uit 14 verschillende landen en uiteenlopende sectoren, naar hun ervaring met cybercrime en -security.
Daaruit bleek dat acht op de tien organisaties tussen 2019 en 2020 werd getroffen door een datalek. Aanvalssoorten werden op volgorde van frequentie gerangschikt:
- Cloud-gebaseerde-aanvallen waren goed voor 10 procent van de geleden aanvallen. Dergelijke aanvallen hebben de diefstal van gegevens die in de cloud worden opgeslagen in gemeen.
- Het aandeel van ransomware-aanvallen bedraagt 9 procent. VMware Carbon Black benadrukt een opvallende verdubbeling ten opzichte van het vorige rapport van juni 2020, toen het aandeel van ransomware slechts 4,5 procent bedroeg.
- 9 procent van de voorvallen draaide om de aanval op een third-party app. In Nederland piekte dit aanvalssoort met 15 procent op nummer één.
De vraag naar de oorzaken die leidde tot het succes van de bovengenoemde aanvalssoorten werd als volgt beantwoord:
- Kwetsbaarheden in third party-applicaties blijken de vaakst voorkomende oorzaak van internationaal gegevensverlies (14,4 procent). In Nederland waren 36 procent van alle datalekken aan deze kwetsbaarheden te danken.
- Het niet-betalen van een ransomware-losgeldsom volgt op positie twee (14,3 procent).
- Verouderde securitytechnologie en kwetsbaarheden in processen delen positie drie (14 procent).
- Kwetsbaarheden in besturingssystemen werden het minst vaak genoemd (8 procent).
Leren van de verschillen
De algehele groei van cybercrime is een van de weinige zekerheden die in de rapporten van Check Point, VMware Carbon Black en andere instanties overeenkomt. Genoemde malwarevormen verschillen drastisch; oorzaken eveneens.
Hoewel je daar in oogopslag weinig mee opschiet, is juist de diversiteit van waargenomen aanvalssoorten tekenend voor het landschap van vandaag.
Zowel de verspreiding als het einde van de ILOVEYOU-worm, een vroege wereldwijde virusdreigingen die we in het begin van dit artikel aanhaalden, werd door de endpointbeveiliging van Windows 2000 veroorzaakt. In zo’n wereld leven we niet meer. Hoewel het heerlijk zou zijn om één ontwikkelaar als verantwoordelijke aan te kunnen wijzen voor het tegengaan van elke bestaande en toekomstige cyberdreiging, bestaan de infrastructuren waarop bedrijven worden gebouwd uit steeds diversere applicaties en processen, elk met een steeds diversere oorsprong.
Informatietechnologie diversificeert – en cybercriminaliteit diversificeert gelijkmatig mee. Er valt niet te spreken van een ‘belangrijkste’ aanvalssoorten of kwetsbaarheid. Elk datalek heeft een prijs; elke oorzaak kan uit meerdere aanvalssoorten en kwetsbaarheden bestaan en elk cyberrisico is de aandacht waard.
Hoe moeten we verder?
Een belangrijke vraag is hoe we verder moeten. Op 5 april 2021 vatte Gartner een reeks securitytrends met veelbelovende, allesomvattende oplossingen samen. Hieronder delen we een greep uit de samenstelling.
- De zogeheten ‘cybersecurity mesh’, een door Gartner geïntroduceerd begrip, springt in het oog. Evenals ‘zero trust’ draait het idee achter de cybersecurity mesh eerder om een strategie dan om een technologie. Cybersecurity wordt van oudsher verwezenlijkt door volledige infrastructuren te bemuren. Cybersecurity mesh omvat een aanpak waarbij de personen en apparaten op een netwerk individueel worden bemuurd.
- Daarnaast suggereert Gartner dat een sterkere vertegenwoordiging van (ex-)cybersecurityprofessionals in de directies van organisaties het verschil kan maken.
- Ook benoemt Gartner het potentieel van een strategie voor de centralisering van securitytools die van vendoren worden afgenomen. Uit Gartners 2020 CISO Effectiveness Survey blijkt dat 78 procent van van CISO’s tools van zestien of meer leveranciers in hun portfolio hebben. Aandacht voor de centralisering van dit portfolio kan risico’s wegnemen.
- Tot slot: Breach Attack Simulation, ofwel BAS. Een veelbelovende, opkomende markt met oplossingen voor het toetsen van securitymaatregelen en de algehele weerbaarheid van een organisatie. Soortgelijk aan pentesting, maar met een nadruk op kosteneffectieve automatisering en bijbehorende trainingen.
Dit artikel is onderdeel van het Techzine securitydossier, waarin we dieper ingaan op een aantal actuele en relevante securityontwikkelingen. Lees ook ons tweede artikel over ransomware en derde artikel over hoe je de thuiswerkplek beveiligt.