Malware is opportunistisch en geduldig

Fortinet Infosec nov 2017 gate

Aanvallen op netwerken, apparaten en applicaties zijn het ‘nieuwe normaal’. Ze komen vaker voor en hebben een grotere impact dan ooit. De meeste beveiligingsteams en bedrijfsleiders realiseren zich inmiddels dat het geen kwestie van óf, maar wanneer hun organisatie wordt getroffen door malware. “Zij willen daarom zeker weten dat hun beveiligingsoplossingen, en de leveranciers daarvan, zich snel kunnen aanpassen om de verdediging tegen continu veranderende en verbeterde malware op peil te houden,” zegt Vincent Zeebregts, country manager van Fortinet Nederland.

“Bedrijven richten zich tot hun IT-dienstverlener om die zekerheid te krijgen,” vervolgt Zeebregts. “Zij willen snel antwoorden op hun vragen en de geruststelling krijgen dat er een structurele aanpak is die de stroom van bedreigingen tegenhoudt. Ze vertrouwen erop dat de technologie die zij gisteren aanschaften, voorbereid is op de aanvallen die vandaag plaatsvinden. Dat kan alleen als de beveiligingsoplossingen gebruik maken van informatie uit actuele analyses van recente aanvallen en trends.”

IT-dienstverleners moeten hun klanten uit kunnen leggen hoe de juiste strategie en infrastructuur voor cyberbeveiliging eruit moet zien om de risico’s van cyberaanvallen voor hun unieke bedrijfsomgeving in te dammen. Fortinet zette een aantal van de specifieke uitdagingen in cyberbeveiliging waarmee bedrijven te maken hebben op een rijtje. Daarbij baseert de leverancier zich tevens op de tactieken die het aan het licht kwamen in recente aanvallen zoals WannaCry, Petya en Mirai. “We vertellen daarbij ook hoe de beveiligingsproducten van Fortinet uniek gepositioneerd zijn om deze dreigingen te elimineren,” zegt Zeebregts.

Belangrijke trends in cyberbeveiliging

  • Hot Exploits

Er bestaat volgens Zeebregts een hiaat tussen de aanvallen die werkelijk plaatsvinden en die waarvan security professionals dénken dat er plaatsvinden. “Mensen hebben het vaak over zero-day aanvallen. Dat is malware die zich richt op zwakke plekken die nog maar net ontdekt zijn in besturingssystemen of applicaties. De leverancier heeft dan nog geen update uitgebracht. Dit geeft cybercriminelen een tijdelijke, maar wagenwijde opening om systemen binnen te dringen. Dat doen ze al op dezelfde moment dat zij het lek ontdekken, vandaar de naam zero-day. De meest recente cyberaanvallen met de grootste impact waren echter helemaal geen zero-day aanvallen. In tegendeel. Deze aanvallen waren zogenoemde ‘hot exploits’ en die zijn opportunistisch en geduldig. Cybercriminelen weten dat organisaties vaak niet de tijd nemen, het risico willen nemen, of de mankracht hebben om updates uit te voeren zodra ze verschijnen. Petya was bijvoorbeeld een grote en spraakmakende aanval van ransomware die in juni 2017 veel bedrijven trof. De malware misbruikt een zwakke plek in Microsoft Windows-gebaseerde systemen en versleutelt de NTFS bestandstabel. Met als gevolg dat alle bestanden onbruikbaar zijn tot er voor veel geld een codesleutel gekocht wordt. Microsoft had in maart 2017 al een patch uitgebracht om dit lek in zijn software te dichten. In mei bracht het bedrijf ook een update uit voor oudere Windows-versies nadat WannaCry hier misbruik van bleek te maken. Toch waren in juni maar weinig systemen bijgewerkt en kon Petya alsnog een grote slag slaan. Cybercriminelen wachten dus liever tot zij zwakke plekken kunnen misbruiken dan dat zij steeds weer nieuwe malware moeten ontwikkelen om netwerken binnen te dringen.”

  • Malwarefamilies

Cybercriminelen verbeteren hun bestaande malware dus gewoon met krachtige mechanismes, wormen, etc., om een succesvolle aflevering en grote impact te waarborgen. “De kracht van de huidige malware zit in de herhaling,” stelt Zeebregts. “Veel nieuwe aanvallen bestaan uit nieuwe generaties van eerdere succesvolle malware. Er werden al in maart 2016 varianten van Petya gevonden en dit was weer een meer geavanceerde versie van WannaCry. De malware Hajime, dat zich richt op kwetsbare IoT-apparaten, is een geëvolueerde versie van Mirai. Hajime kan meerdere vormen aannemen en detectie omzeilen door firewall-regels te verwijderen die dit type malware ontdekken. Mirai kon dat niet, zijn zoon kan dat wel. Er is dus inmiddels sprake van families van malware.”

  • Geautomatiseerde malware

De nieuwste generaties van deze families zijn nog effectiever doordat ze gebruik maken van automatisering. Zij kunnen hiermee detectie voorkomen. Cybercriminelen bieden volledig geautomatiseerde toolkits aan waarmee ook leken malwareaanvallen uit kunnen voeren. “Noem het malware-as-a-service,” zegt Zeebregts. “Hiermee kunnen ‘klanten’ aanvallen uitvoeren op een bredere reeks marktsegmenten of juist micro-aanvallen uitvoeren bij een specifiek bedrijf. Automatisering van cyberaanvallen maakt de mogelijkheden eindeloos. De ontwikkeling van de malware hiervoor is snel én op maat gemaakt, en de tijd tussen een aanval en de impact daarvan is uitermate kort.”

Hoe Fortinet deze problemen aanpakt

Fortinet formuleerde de drie bovenstaande trends op basis van analyses van de effectiviteit van recente cyberaanvallen. “Onze klanten vragen om een oplossing die hen niet alleen beschermt tegen de huidige generatie dreigingen zoals Petya en Hajime. Zij willen ook zeker weten dat de oplossing de volgende generaties van deze dreigingen aanpakt. Bij Fortinet leveren we daarom end-to-end geïntegreerde, samenwerkende en geautomatiseerde bescherming die deze evoluerende dreigingen afwenden. Dat vullen we aan met een gedegen strategie voor cyberbeveiliging op basis van informatie en analyses over cyberaanvallen.”

Zichtbaarheid en automatisering met de Security Fabric

De Fortinet Security Fabric is een geïntegreerd beveiligingssysteem dat bestaat uit samenwerkende beveiligingsoplossingen van verschillende leveranciers. “Wij brengen dat samen binnen één gezichtsveld,” vertelt Zeebregts. “Dit geeft klanten inzicht in hun volledige netwerk-, cloud- en virtuele omgeving. De Security Fabric knoopt alle beveiligingsoplossingen aan elkaar tot een net dat alles afdekt. Mensen zijn dus niet meer afhankelijk van het installeren en beheren van een reeks afzonderlijke beveiligingsoplossingen. Zodra het systeem detecteert dat er iets verdachts of afwijkends gebeurt binnen het netwerk, communiceren alle componenten van de Security Fabric onderling met elkaar om de juiste maatregelen te nemen. Zij delen dreigingsinformatie met elkaar en kunnen zo direct en gecoördineerd een effectieve en afdoende reactie bieden. Deze structurele benadering voor cyberbeveiliging is uniek binnen het vakgebied van IT-beveiliging. Dankzij het automatiseren van de informatie-uitwisseling over cyberaanvallen zijn onze klanten altijd voorbereid op de verdediging tegen geautomatiseerde malware.”

Verdediging aan én binnen de netwerkgrenzen

  • Vincent_Zeebregts_InfoSec_nov_2017-300x200 Vincent Zeebregts, country manager van Fortinet Nederland
  • De Next Generation Firewalls (NGFW’s) van Fortinet vormen een sterke verdedigingslinie aan de grenzen van het netwerk. “Als er cyberaanvallen van buitenaf plaatsvinden, geven de NGFW’s dat door aan de Security Fabric. Zo waarschuwen zij ook alle beveiligingsoplossingen binnen het netwerk. De NGFW’s worden bovendien automatisch en direct geüpdatet met dreigingsinformatie van de onderzoekers van FortiGuard Labs en die zij zelf opdoen door machine learning. Dat brengt kwetsbaarheden en afwijkingen aan het licht en weerhoudt malware van toegang tot de netwerken.”
  • NGFW’s maken ook gebruik van sandboxing, vervolgt Zeebregts. “Klanten kunnen zodoende verdachte code eerst uitvoeren in een veilige virtuele omgeving buiten het netwerk. FortiSandbox beschikt over Compact Pattern Recognition Language (CPRL), een proactieve signatuurdetectie die meer dan 50.000 codevariaties van een malware-familie herkent en tegenhoudt. Daarnaast zorgt CPRL voor een diepe inspectie die ook code herkent die juist op zoek is naar een sandbox-omgeving. Zo voorkomt het dat malware de sandbox omzeilt.”
  • Terwijl de NGFW’s de buitengrenzen van het netwerk beveiligen, bieden de Internal Segmentation Firewalls (ISFW’s) van Fortinet dezelfde hoge beschermingsgraad binnen het netwerk. “De ISFW’s geven een diepgaand inzicht in verkeer dat horizontaal binnen het netwerk plaatsvindt,” aldus Zeebregts. “Natuurlijk blijft beveiliging aan de netwerkgrenzen essentieel, maar het is nu eenmaal zo dat het aanvalsveld steeds verder uitdijt. Dat komt door nieuwe endpoint-apparaten van gebruikers en IoT-toepassingen, de wildgroei aan applicaties en het feit dat steeds meer netwerkbronnen verbonden zijn. Het is daardoor waarschijnlijker dan voorheen dat cyberaanvallen door de buitengrenzen heen breken. ISFW’s breiden de beveiliging uit van de randen naar de kern van het netwerk. Mocht malware dan toch door de buitengrens heen komen, isoleren de ISFW’s deze in een segment van het netwerk. De getroffen apparaten kunnen dan snel geïdentificeerd en in quarantaine geplaatst worden.”
  • Dit is vooral belangrijk naarmate meer IoT-apparaten verbonden worden met bedrijfsnetwerken. “Veel IoT-apparaten hebben kwetsbare code die misbruikt kan worden,” zegt Zeebregts. “De Mirai en Hajime ransomwarewormen gebruikten allebei zwakke plekken in IoT-apparaten om grote IoT-botnets op te zetten. ISFW’s maken het mogelijk om kwetsbare IoT-apparaten toe te wijzen aan een bepaald segment van het netwerk. Zelfs als een IoT-apparaat is besmet kan het zodoende niet de rest van netwerk beïnvloeden.”

Conclusie

Het is belangrijk dat organisaties beveiligingsoplossingen niet blindelings implementeren zodra men hoort over nieuwe dreigingen, meent Zeebregts. “Het is beter als elke oplossing gekozen wordt op basis van analyses van de nieuwste dreigingen en de potentiële impact op de unieke netwerk- en werkomgeving van de organisatie. Fortinet doet dat door het beoordelen van de motivatie en de verschijningsvormen van cyberaanvallen uit het verleden. Bovendien hebben we een beveiligingsstrategie vormgegeven die aangepast kan worden naar zelfs de meest complexe of robuuste bedrijfsomgevingen. Zo helpen we cyberaanvallen af te weren, hoe geavanceerd of op maat gemaakt ze ook zijn. Dat geldt voor de huidige generaties, maar natuurlijk ook voor de nazaten binnen malwarefamilies.”

Meer over
Lees ook
Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Proofpoint: APT TA450, MuddyWater gebruikt nieuwe tactieken en richt zich op Israëlische medewerkers

Onderzoekers van Proofpoint nemen sinds kort nieuwe activiteit waar van de aan Iran gelinkte dreigingsactor TA450. Deze dreigingsactor is ook bekend als MuddyWater, Mango Sandstorm en Static Kitten.

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Exclusieve samenwerking Orange Cyberdefense en Salvador Technologies verbetert veerkracht OT-omgevingen

Orange Cyberdefense kondigt een exclusieve strategische samenwerking aan met Salvador Technologies. Dankzij deze samenwerking komt Salvador’s Cyber Recovery Unit op de Nederlandse markt beschikbaar en breidt Orange Cyberdefense het portfolio rondom OT-securitydiensten verder uit. Met de oplossing van Salvador kunnen organisaties hun getroffen pc’s1

TA866 keert terug in grootschalige e-mailcampagne

TA866 keert terug in grootschalige e-mailcampagne

Proofpoint onderzoekers stellen de terugkeer van TA866 in een grootschalige e-mailcampagne vast. TA866 was negen maanden afwezig. Op 11 januari 2024 blokkeerde Proofpoint een grootschalige campagne van enkele duizenden e-mails gericht op Noord-Amerika.