Cybercriminelen gebruiken steeds vaker clouddiensten voor hun aanvallen en vermijden ontdekking door versleuteling, met als doel command-and-control activiteiten te verbergen. Dat blijkt uit het elfde Cisco 2018 Annual Cybersecurity Report.
C&C-aanvallen maken gebruik van servers die commando’s geven aan de computers in een botnet. Om aanvallers zo snel mogelijk te ontdekken, gebruiken beveiligingsspecialisten steeds vaker tools die gebaseerd zijn op kunstmatige intelligentie en machine learning,
De betrokken Cisco-onderzoekers meldden verder over de laatste twaalf maanden ruim drie keer zoveel versleutelde netwerkcommunicatie door malware. Hoewel versleuteling de beveiliging verbetert, maakt versleuteld webverkeer (50% per oktober 2017) het moeilijker om potentiële gevaren te ontdekken.
Nieuwe dynamiek aanvallers en verdedigers
Volgens Michel Schaalje, Directeur Security Cisco Nederland, is er het afgelopen jaar een nieuwe dynamiek is ontstaan tussen aanvallers en verdedigers. Zij maken beiden gebruik van encryptie en geavanceerde technologieën, zoals machine learning. Aanvallers doen dat om ontdekking te voorkomen en hun ‘efficiency’ te verbeteren.
Verdedigers zetten deze technologieën juist in om hun data en systemen ontoegankelijk te maken en om aanvallers sneller te ontdekken. “Voor securityleveranciers is het een uitdaging om niet achter te raken in deze technologische wapenwedloop. Dat we de ‘time to detection’ drastisch hebben weten terug te brengen terwijl het malwareverkeer met een factor 10 is toegenomen, laat zien dat we tegen deze uitdaging zijn opgewassen.”
Technieken zoals machine learning helpen volgens Cisco om de beveiliging van het netwerk te verbeteren door ongewone patronen in versleuteld webverkeer, clouds en IoT-omgevingen te ontdekken. Hoewel deze technologieën nog in hun kinderschoenen staan, kunnen AI en ML na verloop van tijd wel degelijk aanleren wat op het netwerk normale activiteiten zijn en wat niet.
Schade snel meer dan 500.000 dollar
Enkele andere conclusies in het rapport:
- Financiële schade door aanvallen is niet langer een hypothetisch bedrag. Volgens de respondenten resulteerde meer dan de helft van alle aanvallen in schade van meer dan $500.000, bijvoorbeeld door verloren omzet.
- Aanvallen op supply chains kunnen computers op grote schaal en langdurig besmetten. Beveiligers moeten zich bewust zijn van het potentiële risico van software en hardware, afkomstig van bedrijven die geen gedegen security-achtergrond hebben.
- Beveiligers gebruiken vaak een mix van oplossingen. Maar de complexiteit die dit met zich meebrengt in combinatie met de toegenomen aanvallen maakt een organisatie ook weer kwetsbaarder. In 2017 gebruikte 25% van de beveiligingsprofessionals producten van 11 tot 20 leveranciers: vergeleken met 16% in 2016. Zij gaven ook aan dat 32% van de aanvallen meer dan de helft van hun systemen raakte, in 2016 was dat nog 15%.
- Gebruik van de cloud groeit; hackers exploiteren gebrek aan beveiligingskennis. 27 procent van de beveiligingsspecialisten gebruikt externe privéclouds (off premise), tegenover 20% in 2016. Van deze groep geeft 57% aan dit te doen vanwege een betere databeveiliging, 48% vanwege schaalbaarheid en 46% vanwege het gemak.
- Hoewel de cloud een betere databescherming biedt, hebben securityteams moeite om de snel groeiende cloudomgevingen te beveiligen. Hackers maken hier misbruik van. Met een combinatie van best practices, geavanceerde beveiligingstechnologieën zoals machine learning en verdedigingstools zoals cloud securityplatforms, kunnen securityteams deze omgevingen beter beschermen.
