F-Secure onthult de twee belangrijkste manieren waarop bedrijven slachtoffer worden van een cyberaanval

Bedrijven zijn altijd op zoek naar die ene nieuwe technologie die hen zal beschermen tegen cyberaanvallen. Toch zeggen F-Secure experts dat de meeste bedrijven op één van de twee mogelijke manieren worden aangevallen: intern of extern. En geen van deze heeft te maken met zero-day-bedreigingen, die - zo zeggen zij - veel meer aandacht krijgen dan ze verdienen.

“Uit onderzoek weten we dat de meeste bedrijven slachtoffer worden van cyberaanvallers óf door verouderde software met bekende kwetsbaarheden óf door menselijk falen, bijvoorbeeld medewerkers die ten prooi vallen aan phishing e-mails.” Dit zegt Janne Kauhanen, cybersecurityexpert bij F-Secure. “Toch zien we dat bedrijven gefixeerd zijn op zero-day-aanvallen en de nieuwste methoden voor cyberaanvallen, die vaak tamelijk beperkt zijn en vrij onbekend.”

SMB op de juiste manier patchen

Iedere 90 minuten wordt er een beveiligingslek geïdentificeerd* en ieder jaar worden er duizenden bedreigingen blootgelegd. Gemiddeld duurt het 103 dagen voordat er een oplossing is voor een dergelijk beveiligingslek*. Daar staat volgens Gartner tegenover dat “de tijd die het kost tussen het moment dat een patch gelanceerd wordt en het moment dat er misbruik wordt gemaakt van een lek (exploit) is teruggebracht van 45 naar 15 dagen gedurende de laatste 10 jaar**. Gartner merkt verder op dat “gemiddeld genomen de beveiligingslekken die als zero-day worden uitgebuit ongeveer 0,4% van het totaal aantal lekken per jaar uitmaakt, gemeten over de laatste 10 jaar”**.

De massale WannaCry-ransomware epidemie is het meest recente voorbeeld van een bekend lek dat op grote schaal wordt uitgebuit. De uitbraak, die systemen heeft aangetast in tientallen landen en gevolgen heeft gehad voor uiteenlopende sectoren waaronder transport en zorg, is gebaseerd op een lek in Windows Server Message Block (SMB - MS17-010) dat door Microsoft gedicht is in maart jl. De verspreiding van het worm-virus zou beperkt zijn gebleven wanneer meer systemen up-to-date waren geweest. Telemetrie verricht door Radar, de tool van F-Secure die kwetsbaarheden en bedreigingen helpt te monitoren en managen, geeft aan dat 15 procent van de hostsystemen draait op Windows SMB. De WannaCry-aanval laat op dramatische wijze zien waarom beheerders er zeker van moeten zijn dat SMB op de juiste manier gepatched is en niet is blootgesteld aan het publieke internet.

Je kunt niet fixen wat je niet weet

“De beste manier om cyberbedreigingen tegen te gaan is om hier bedacht op te zijn door lekken te dichten voordat deze uitgebuit kunnen worden”, zegt Jimmy Ruokolainen, Vice President, Product Management bij F-Secure. “Dit betekent dat het complete gebied waarop een aanval kan plaatsvinden versterkt moet worden. Maar zaken zoals shadow IT, verkeerde externe configuraties en de samenwerking met potentieel kwetsbare partners maken het moeilijk om in te schatten hoe het totale aanvalsgebied (ofwel attack surface) van een bedrijf eruit ziet. Dit heet typology mapping en dit is waar F-Secure Radar verder gaat dan andere oplossingen die kwetsbaarheden en bedreigingen managen.”

Threat assesment tools werken goed voor het opsporen van bedreigingen en blootgestelde systemen, zo lang als deze tools maar weten waar ze moeten kijken. Maar deze oplossingen schieten tekort wanneer zij echt alle systemen moeten vinden die zij zouden moeten onderzoeken. Web topology behelst de complete inrichting van een netwerk, inclusief de nodes en de externe verbindingen. Met F-Secure Radar kunnen IT-securitymanagers een dreigingsanalyse samenstellen van de complete internet- en webtopoloy om op die manier vreemde, kwetsbare of verkeerd geconfigureerde systemen te ontdekken zoals een SMB dat is blootgesteld aan het publieke internet. Radar maakt het zelfs mogelijk inzicht te krijgen in externe inbreuken op het merk die op het web plaatsvinden.

F-Secure Radar

F-Secure Radar is een turnkey platform voor het scannen en managen van kwetsbaarheden in de beveiliging van een organisatie. Het stelt beheerders in staat om zowel interne als externe bedreigingen te identificeren en te beheren, risico's te melden en te voldoen aan huidige en toekomstige regelgeving (zoals PCI en GDPR compliance). Het maakt gestroomlijnde productiviteits- en beveiligingsmanagement mogelijk met een efficiënte serviceworkflow, inclusief beveiligingsmonitoring, geautomatiseerde geplande scans en ticketing voor het prioriteren van oplossingen en verificatie.

“Het uitbuiten van bekende bedreigingen is nog altijd de belangrijkste oorzaak van de meeste inbreuken op systemen”, zegt Ruokolainen. “Met F-Secure Radar kunnen beveiligingsteams zich een diepgaand inzicht verschaffen en een vooruitziende blik krijgen als het gaat om cybersecurityrisico’s, zodat zij bedreigingen snel kunnen ontdekken voordat wie dan ook deze kunnen uitbuiten.”

• * Bron: Nopsec, 2016 Outlook: Vulnerability Risk Management and Remediation Trends
• ** Bron: Gartner, It's Time to Align Your Vulnerability Management Priorities With the Biggest Threats, Craig Lawson, 9 Sept 2016