Achtergrondartikel


Security in 2017 volgens… Hewlett Packard Enterprise

Hobbyhackers en databandieten

Tijdens een presentatie op IP Expo 2015 voorspelde ik dat 2016 het jaar zou worden van aanvallen op industriële besturingssystemen, en dat bleek aardig te kloppen. Op de conferentie van 2016 werd mij gevraagd wat 2017 gaat brengen. Volgens mij wordt dit het jaar van de ‘databandiet’.

Door Tim Grieveson

Cybercriminelen hebben traditioneel gezien vooral aanvallen uitgevoerd op grote organisaties. Hoewel dit het geval blijft, voorspel ik dat criminelen ook nieuwe paden inslaan om hun winsten te verhogen en risico’s te verkleinen. Daarom verwacht ik een verschuiving in hun aandachtsgebied, met tevens aanvallen op individuen en burgers.

Verhandelbare pakketten
Voorheen deed de vijand aan diefstal en verkoop van individuele brokken gegevens, zoals creditcardgegevens, gezondheidszorgdossiers, intellectuele eigendommen, et cetera, als afzonderlijke producten. Ik ben ervan overtuigd dat ze nu ‘collecties’ gaan aanleggen van gestolen data, vaak afkomstig uit meerdere aangevallen bronnen. Deze brengen ze vervolgens samen in een gecombineerd pakket, waardoor de relevantie, de verhandelbaarheid en uiteindelijk de bedreiging voor het slachtoffer toenemen.

Het is mogelijk dat ze gestolen informatie binnenhalen en deze gedurende enkele weken vasthouden. Of in elk geval totdat ze een pakket hebben dat ze gegroepeerd via de zwarte markt of het dark web kunnen verkopen aan hun illegale klanten.

Deze gestolen informatie wordt mogelijk tot geruime tijd na de initiële diefstal niet gebruikt door de aanvallers, en mogelijk weten slachtoffers pas dat zij bestolen zijn op het moment dat dit datapakket op de markt verschijnt. Dit kan de impact vergroten, en maakt de mogelijkheid om de inbreuk te ontdekken behoorlijk uitdagend.

Organisaties en individuen moeten de waarde begrijpen van de gegevens die ze opslaan, gebruiken en verwerken, zodat ze de juiste bescherming kunnen toepassen op hun essentiële en gevoelige informatie, in plaats van te proberen om alles te beschermen.

Het versleutelen van de belangrijke ‘kroonjuwelen’ is essentieel, net als het implementeren van tools, systemen en processen om de criminelen vrijwel in realtime te detecteren. Op deze wijze kunnen organisaties het bedrijfsmodel van de crimineel verstoren en de waarde van de gestolen gegevens verminderen.

Praten over waarde
Deze veranderingen in de wijze waarop cybercriminelen werken – zoals eerder dit jaar beschreven in ons Business of Hacking-rapport – veranderen de manier waarop wij als securityprofessionals moeten denken en handelen.

Voor degenen onder ons die zich bezighouden met de verdediging tegen aanvallen is er vaak een kunstmatige barrière tussen technologie en beveiliging, omdat we op dit moment niet dezelfde taal spreken. Gezien het feit dat onze vijanden zich niet langer beperken tot die kunstmatige barrière, is het eigenaardig dat de verdedigers dat wel doen.

We moeten stoppen met praten in technologietermen en beginnen te praten over waarde. Bovendien moeten beveiligingsteams in de vingers krijgen hoe ze dit duidelijk kunnen maken op directieniveau. Het is voor hen niet voldoende om cyberrisico's te zien als een technologieprobleem. We moeten ervoor zorgen dat ze cyberdreigingen gaan zien als wat ze werkelijk zijn – een bedrijfsrisico.

Maar de databandiet is niet de enige cyberbeveiligingstrend om op te letten in 2017. Er zijn nog enkele andere zaken waar we volgens mij ook mee te maken krijgen.

Hobbyhackers
Ik denk dat we in 2017 ook een toename zullen zien van het aantal beginnende hacktivisten en hobbyhackers, gedreven door toenemende media-aandacht voor cyberveiligheid. Deze aanvallers zullen minder verfijnd te werk gaan en vaak panklare tools gebruiken voor hun overlast. Denk hierbij aan schade toebrengen aan webpagina's, DDoS-as-a-service en zelfs poortscans.

Deze aanvallen zullen vooral leiden tot toenemende ruis voor organisaties. Eventuele problemen die ze kunnen veroorzaken, zitten in de kans op reputatieschade aan het bedrijfsmerk.

Internet of Theft
Hoewel er in 2017 meer beveiligingsfuncties zullen worden ingebouwd in IoT-apparaten, zodat IoT veiliger wordt, zal een groot aantal bestaande en nieuwe apparaten worden gebruikt als platform voor het lanceren van gerichte inbreuken en DDoS-aanvallen. In 2016, en vooral recentelijk, hebben we verschillende grote DDoS-aanvallen gezien met behulp van IoT-apparaten zoals IP-camera’s en SOHO-routers.

IoT-sensoren zijn, met hun beperkte rekenkracht, slechts zo veilig als de firmware waarop ze draaien, zodat veiligheid zeer afhankelijk is van de fabrikanten van de apparatuur. Geslaagde aanvallen op IoT-sensoren zijn lastig te detecteren vanwege de beperkte toegang tot de systeemstatus van een apparaat. In 2017 zullen we zien dat meer aanvallers zich gaan richten op het compromitteren van uitgerekend die apparaten.

Cyberbankovervallen
Verder denk ik dat we in 2017 een toename zullen zien van het aantal gemelde aanvallen op bankdiensten en inbreuken op bancaire systemen. Naar aanleiding van verschillende rapporten over grote geslaagde aanvallen op SWIFT elektronische transactiesystemen in 2016 verwacht ik veel meer over soortgelijke inbreuken te gaan horen. Zeker nu banken aanvallen vaker ontdekken en beseffen dat ze verantwoordelijk zijn voor het delen van informatie hierover.

Motivaties & beschuldigende vingers
Meer landen zullen elkaar in 2017 beschuldigen van politiek gemotiveerde cyberaanvallen. Na verscheidene grote, politiek gemotiveerde inbreuken in 2016, zoals de DNC-hack, zullen we een toename zien van politiek gemotiveerde cyberaanvallen, uitgevoerd door de cybergrootmachten van deze wereld. Deze aanvallen zullen waarschijnlijk resulteren in de openbaarmaking van vertrouwelijke documenten en informatie, met als doel het beschadigen van de reputatie van het doelwit. Het toeschrijven van aanvallen aan landen zal echter ook steeds moeilijker worden. Waarschijnlijk zullen we veel onjuiste identificaties van aanvallers zien, bijvoorbeeld om een politiek punt te maken of om de verantwoordelijkheid voor de inbreuken af te wijzen.

Cyberoorlogsvoering
Het laatste belangrijke kenmerk van het dreigingslandschap in 2017 zal naar mijn mening de DDoS-aanval zijn.

De vuurkracht steeg in 2016 tot beangstigende niveaus, zodat aanvallers hun aanvallen konden lanceren met behulp van bandbreedte in de orde van Tbps. Dit vereist gespecialiseerde DDoS-bescherming die op het moment slechts door zeer weinig organisaties in de wereld kan worden geboden.

In 2017 zal dit steeds grotere DDoS-geweld worden gebruikt om de internetinfrastructuur van hele landen aan te vallen, al dan niet ter ondersteuning van een fysieke militaire aanval. Met de toegenomen militaire spanningen op verschillende plaatsen in de wereld zullen we in 2017 waarschijnlijk meer DDoS-aanvallen zien die erop zijn gericht om complete landen offline te krijgen.


Lees meer over