Fortinet Threat Landscape Report: versleuteld dataverkeer vaker misbruikt door cybercriminelen

Fortinet publiceerde onlangs het Global Threat Landscape Report voor het derde kwartaal van 2018. Hieruit blijkt dat cyberbedreigingen in aantal toenemen en een steeds geavanceerder karakter krijgen. Zo wordt versleuteld dataverkeer steeds vaker misbruikt, en is er sprake van een groeiend aantal unieke malware-varianten en -families. Verder blijven organisaties met botnetinfecties kampen.

De belangrijkste onderzoeksresultaten die in het rapport aan bod komen:

• Het versleutelde netwerkverkeer bereikt nieuwe hoogten. In het derde kwartaal bereikte het versleutelde dataverkeer een recordhoogte. Het vertegenwoordigt inmiddels 72% van al het netwerkverkeer, een stijging ten opzichte van de 55% van een jaar geleden. Hoewel encryptie zonder meer bijdraagt aan de bescherming van data tijdens de overdracht, levert dit ook problemen op voor traditionele beveiligingsoplossingen. Vanwege de prestatiebeperkingen van firewalls en intrusion prevention systems (IPS) zijn organisaties niet in staat om versleuteld dataverkeer te inspecteren met de snelheid waarop zij zakendoen. Hierdoor wordt een groeiend percentage van het netwerkverkeer niet op kwaadaardige content geïnspecteerd. Dit maakt versleuteld dataverkeer tot een ideaal medium voor cybercriminelen om malware te verspreiden en informatie naar buiten te smokkelen.
• Er is sprake van doorontwikkeling van bedreigingen. Cybercriminelen breiden niet alleen hun wapenarsenaal uit, maar ontwikkelen ook nieuwe strategieën om beveiligingsmechanismen te omzeilen. Het aantal unieke malware-varianten steeg met 43%, terwijl het aantal malware-families met bijna 32% toenam. Het aantal unieke dagelijkse detecties van malware per bedrijf steeg eveneens, en wel met 62%. Verder steeg het aantal unieke exploits (misbruik van kwetsbaarheden) met bijna 10%. Het aantal detecties van exploits per bedrijf nam met 37% toe. Cybercriminelen blijven hun bedreigingen verder ontwikkelen. Daarmee ontstaan unieke malware-varianten en -families. Dit onderstreept het belang van bedreigingsinformatie en tools voor het analyseren van kwetsbaarheden in de beveiliging.
• Mobiele apparaten blijven een belangrijk doelwit. Ruim een kwart van alle bedrijven werd in het derde kwartaal getroffen door een aanval met mobiele malware. Het merendeel van deze aanvallen was op Android gericht. Maar liefst 14% van alle malware-meldingen had betrekking op dit mobiele besturingssysteem van Google. Ter vergelijking: slechts 0,000311% van alle mobiele bedreigingen was op Apple’s besturingssysteem iOS gericht. De opkomst van mobiele aanvallen vormt een prangend probleem, zeker nu de feestdagen naderen en consumenten naar hun mobiele apparaten grijpen om cadeaus aan te schaffen. Cybercriminelen weten dat mobiele devices kwetsbare doelwitten vormen en maken daar grif misbruik van om toegang tot netwerken te krijgen.
• Cryptojacking fungeert als springplank voor andere aanvallen. Cryptojacking blijft een belangrijke bedreiging, en de omvang van deze aanvallen neemt toe. Het aantal platforms dat hierdoor werd getroffen steeg met maar liefst 38%, terwijl het aantal unieke signatures het afgelopen jaar bijna verdubbelde. Deze signatures hadden betrekking op nieuwe platforms voor het uitvoeren van geavanceerde cyberaanvallen en ‘as-a-service’- oplossingen voor beginnende cybercriminelen. Ook beheerders van IoT-botnets nemen steeds vaker cryptojacking-exploits in hun aanvalsstrategie op. Veel bedrijven zijn geneigd om cryptojacking te zien als een vervelend fenomeen waarbij louter CPU-cycli worden gekaapt. Beveiligingsprofessionals beginnen echter ogen te krijgen voor het feit dat cryptojacking ook zou kunnen dienen als springplank voor andere aanvallen. Organisaties die de gevolgen hiervan onderschatten lopen daarmee meer risico.
• Het percentage kwaadaardig verkeer stijgt tijdens weekends en feestdagen. Uit de onderzoeksgegevens blijkt dat kwaadaardig netwerkverkeer tijdens weekends en feestdagen een hoger percentage van het totale verkeer vertegenwoordigt. Dit komt omdat het ‘zakelijke verkeer in deze periode fors afneemt, omdat veel werknemers dan niet actief zijn. Voor veel organisaties is dat een uitgelezen moment om hun netwerk op malware te inspecteren. Want als de hooiberg van het dataverkeer slinkt, groeit de kans om kwaadaardige spelden in die hooiberg te vinden. Nu waarin cybercriminelen gebruikmaken van sterker geautomatiseerde en slimmere technieken zouden bedrijven de kans om hun overzicht te vergroten met twee handen moeten aangrijpen.
• Botnets worden hardnekkiger. De index voor botnets vertoonde een stijging van slechts 2%, hoewel de infectieduur per bedrijf met 34% toenam van 7,6 dagen tot 10,2 dagen. Dit kan erop wijzen dat botnets een geavanceerder karakter krijgen, moeilijker te detecteren zijn of dat infecties lastiger te verhelpen zijn. Het is ook mogelijk dat veel organisaties nalaten om gebruik te maken van best practices op beveiligingsgebied. Consistente beveiligingsmaatregelen blijven van cruciaal belang om aanvallen van een dergelijke omvang af te slaan. In sommige gevallen gaan botnets in de slaapstand om weer actief te worden zodra de reguliere bedrijfsactiviteiten worden hervat. Dit gebeurt als organisaties er niet in slagen om de werkelijke oorzaak van botnet-infecties vast te stellen.

Digitale transformatie vraagt om een nieuwe beveiligingsaanpak

De bedreigingen die in het rapport voor het derde kwartaal aan bod komen, bevestigen een groot aantal van de voorspellingen van het wereldwijde onderzoeksteam van FortiGuard Labs ten aanzien van trends in cyberbedreigingen. Organisaties die cybercriminelen een stap voor willen blijven moeten hun beveiligingsstrategie herzien als onderdeel van hun digitale transformatie. Het gebruik van losstaande, legacy beveiligingsapparatuur en gebrekkige beveiligingspraktijken blijft een garantie voor verhoogd risico, omdat organisaties daarmee onvoldoende overzicht en grip op de beveiliging hebben. Een security fabric die het volledige netwerk omspant en waarmee alle beveiligingscomponenten zijn geïntegreerd is van cruciaal belang om een oplossing te bieden voor het groeiende aantal bedreigingen en bescherming te bieden voor het steeds uitgebreidere aanvalsoppervlak. Deze aanpak maakt het mogelijk om snel en op elke gewenste schaal bedreigingsinformatie uit te wisselen, de detectietijden te verkorten en geautomatiseerde tegenmaatregelen te activeren voor het bestrijden van moderne bedreigingen die gebruikmaken van verschillende aanvalskanalen tegelijk.