Veilig online in 2014: waar moeten organisaties op letten?

Redactie WINMAG Pro
Het jaar 2013 nadert zijn einde. Onderzoekers van FireEye hebben al vooruitgeblikt naar de ontwikkelingen op het gebied van malware in 2014. Komend jaar zal zich onder meer gaan kenmerken door minder Java zero-day exploits. Deze zero-day exploits zullen in 2014 voornamelijk browser-gebaseerd zijn. Ook ligt het in de lijn der verwachting dat het aantal watering-hole aanvallen de hoeveelheid spear-phishing aanvallen zal overtreffen. Verder staat het beveiligingslandschap op het punt een stuk ingewikkelder te worden vanwege de snelle opkomst van mobiele malware.

Dit zijn slechts een aantal van de voorspellingen voor 2014 die door onderzoekers van FireEye zijn gedaan. Hieronder vind je de volledige lijst:

De security-aandachtspunten

  • Geavanceerde threat actors blijven zich verschuilen achter traditionele en veel verkochte crimeware. Hierdoor zijn ze lastig te identificeren door netwerkbeveiligers.
  • Meer binaire aanvallen zullen gebruik maken van zowel gestolen als geldige signatures. Malware gebruikt deze signatures als vermomming om vervolgens eenvoudig langs traditionele antivirussoftware te glippen.
  • Mobiele malware vormt een toenemende dreiging en gaat een grotere rol spelen in het cybercrime-landschap. Er ontstaan hybride dreigingen die zowel desktop als mobiele apparaten gaan inzetten tijdens een aanval. Denk hierbij bijvoorbeeld aan bevestiging via SMS. Cybercriminelen volgen de populariteit van apparaten. Met de enorme toename van het gebruik van mobiele apparaten verwachten we een aanhoudende focus op mobiele apparatuur.
  • Java zero-day exploits nemen in aantallen af. Ondanks de relatief eenvoudige ontwikkeling van een dergelijke exploit, is er na februari 2013 geen nieuwe versie meer geïntroduceerd. De reden hiervoor is onduidelijk, maar het kan te maken hebben met beveiligingswaarschuwingen in Java 1.7 en de toegenomen aandacht van ‘white-hat’ beveiligingsonderzoekers. Een andere reden voor de afname van het aantal zero-day Java exploits is dat er steeds minder mensen gebruik maken van de kwetsbare varianten van Java. Dit gegeven maakt het voor exploitontwikkelaars minder aantrekkelijk om te zoeken naar mogelijke bugs om te misbruiken.
  • Kwetsbaarheden in browsers zullen vaker worden ingezet. Aanvallers worden steeds beter in het omzeilen van ASLR (Address Space Layout Randomization) in de browser. In tegenstelling tot het lage tempo waarin nieuwe Java-exploits worden gevonden en gebruikt, neemt het aantal zero-day aanvallen dat gebruik maakt van kwetsbaarheden in browsers snel toe.
  • Malware-ontwikkelaars gaan vaker geheime technieken bij command-and-control (CnC) communicatie gebruiken. Via legitieme protocollen omzeilen ze communicatie en gebruiken ze legale internetdiensten en bijbehorend internetverkeer om niet te worden ontdekt. Deze verschuiving van technieken is een direct resultaat van de toenemende hinder die malware-ontwikkelaars ondervinden van netwerkbeveiliging.
  • Watering-hole en social media-aanvallen verdringen spear-phishing e-mails steeds verder naar de achtergrond. Watering-holes en social media netwerken bieden een soort van neutrale zone waardoor slachtoffers minder op hun hoede zijn. Vertrouwen is hierbij bijna geen obstakel en het in de val lokken van een slachtoffer vergt daarom weinig inspanning.
  • Meer malware weet zijn weg te vinden naar de productieketen. Hou er rekening mee dat er meer kwaadaardige codes in BIOS- en firmware-updates zullen verschijnen.
  • Vanwege de ‘click to play’ beperking van Adobe Flash, zullen er nieuwe heap-spray technieken worden ontwikkeld. Zo is Flash de laatste maanden meerdere keren ingezet voor spray the heap, een techniek om het uitvoeren van willekeurige codes te vereenvoudigen. Sinds de laatste Flash-update van Adobe – de implementatie van ‘click to play’ – werkt deze techniek echter niet meer. Dat hier snel op in wordt gespeeld, blijkt uit de meest recente zero-day docx/tiff exploit. Deze exploit maakte geen gebruik meer van Flash.
  • Aanvallers zoeken naar nieuwe manieren om geautomatiseerde (sandbox) analysesystemen te omzeilen. Denk hierbij aan het feit dat gebruikers worden aangespoord om opnieuw op te starten, door te klikken met de muis, applicaties af te sluiten, etc. Deze nieuwe ontwikkelingen zullen malware veel krachtiger maken.
  • Steeds meer crimeware zal de besturingssystemen van gecompromitteerde systemen, als laatste stap van een aanval, vernietigen. Cybercriminelen doen dit om hun sporen uit te wissen en een mogelijke arrestatie te voorkomen. Ze maken hiervoor gebruik van een nieuwe functie in de malware Zeus.
  • Er zullen in 2014 meer ‘digitale kwartiermakers’ achter gerichte aanvallen zitten. Met andere woorden: Sunshop DQ is slechts het begin. Meer threat actors centraliseren hun ontwikkeling en logistieke activiteiten om hiermee schaalvoordeel te creëren en malware te industrialiseren.
  • Cybercrime wordt steeds persoonlijker. Cybercriminelen zullen steeds vaker inzien dat specifieke informatie veel waardevoller is dan algemene data. Als gevolg van deze ontwikkeling zien we steeds meer aanvallen waarbij de focus ligt op het verkrijgen van hoogwaardige en zeer gevoelige gegevens.
  • We verwachten dat het detecteren van geavanceerde malware langer gaat duren. Afhankelijk van wie je gelooft (Verizon DBIR, Ponemon, etc.) ligt dit ergens tussen de 80 en 100 dagen voor detectie en tussen de 120 en 150 dagen voor het oplossen. Het is zeer waarschijnlijk dat – doordat malware zich steeds beter verschuilt – niet alleen detectie moeilijker wordt, maar het vinden van een oplossing zal ook langer duren.
  • Steeds meer organisaties werken wereldwijd samen in de strijd tegen cybercriminaliteit. Dankzij deze samenwerking zullen meer bendes worden geïdentificeerd en gearresteerd.
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie