McAfee legt Advanced Evasion Techniques (AET’s) onder de loep
In een nieuw rapport van McAfee, een divisie van Intel Security, worden de controverse en verwarring onderzocht rond zogenaamde Advanced Evasion Techniques (AET’s). Een in opdracht van McAfee door Vanson Bourne uitgevoerd onderzoek onder 800 CIO’s en security managers uit verschillende landen*, laat zien dat er veel verwarring en onduidelijkheid is over AET’s en de rol die deze technieken spelen bij het afleveren van geavanceerde malware. Ook blijkt dat de middelen die beveiligingsexperts op dit moment inzetten, niet effectief zijn tegen AET’s.
Bekende datadiefstallen van de afgelopen tijd tonen aan dat cybercriminelen er nog steeds in slagen om detectie gedurende lange tijd te vermijden. Dit wordt bevestigd door de deelnemers aan het onderzoek, waarbij ruim een op de vijf beveiligingsprofessionals (22 procent) aangeeft dat hun netwerk in de afgelopen 12 maanden gecompromitteerd is geweest. Bijna 40 procent van de getroffen respondenten is van mening dat AET’s daarbij een sleutelrol hebben gespeeld. Bij organisaties waarbij het netwerk gedurende de afgelopen maanden werd gecompromitteerd, kwam de gemiddelde schade uit op ruim $900.000.
AET’s zijn ‘vermommingstechnieken’ die gebruikt worden om ongemerkt netwerken binnen te dringen, om daar vervolgens kwaadaardige code te verspreiden. De eerste AET’s werden in 2010 ontdekt door de netwerkbeveiligingsspecialist Stonesoft, die in 2013 door McAfee is overgenomen. Met behulp van AET’s kan een aanvaller bijvoorbeeld malware splitsen in een aantal aparte delen, die daardoor zonder gedetecteerd te worden een firewall of ander beveiligingsapparaat kunnen passeren. Eenmaal binnengedrongen in het netwerk, worden de losse delen weer gecombineerd tot één compleet stuk malware dat vervolgens een aanval uitvoert.
“Hackers weten al alles over Advanced Evasion Techniques en ze maken er dagelijks gebruik van”, zegt Radboud Beumer, Regional Director Benelux bij McAfee. “We hopen met dit onderzoek het bewustzijn over deze dreiging te vergroten, zodat organisaties weten waar ze op moeten letten en weten wat er nodig is om zich ertegen te kunnen verdedigen.”
Waarom bestaande firewall-tests het bestaan van AET’s verbergen
Bijna 40 procent van de IT-beslissers denkt niet te beschikken over methodes om AET’s te detecteren en te monitoren binnen hun organisatie. Bijna twee derde zegt dat de grootste uitdaging waar zij voor staan bij het implementeren van technologie tegen AET’s, draait om het overtuigen van het management dat dit een reële en serieuze dreiging is.
“Veel organisaties zijn zo gericht op het identificeren van nieuwe malware, dat ze niet voldoende gespitst zijn op Advanced Evasion Techniques, waarmee malware beveiligingsmaatregelen kan omzeilen,” zegt Jon Oltsik, senior principal analyst, Enterprise Strategy Group. “AET’s zijn een substantiële dreiging omdat ze niet gedetecteerd of tegengehouden worden de meeste beveiligingsoplossingen. Beveiligingsprofessionals en het management moeten hier meer aandacht aan besteden, want dit is een reële en groeiende dreiging.”
Van de bijna 800 miljoen bekende AET’s, wordt momenteel minder dan 1 procent gedetecteerd door de meeste firewalls. De inzet van deze technieken is sinds 2010 sterk toegenomen, waarbij er tot op heden miljoenen combinaties en modificaties van netwerk-AET’s zijn.
Professor Andrew Blyth van de Universiteit van South Wales houdt zich al jaren bezig met AET’s. “Advanced Evasion Techniques zijn gewoon een ‘fact of life’. En het is daarom des te alarmerender dat de meerderheid van de CIO’s en beveiligingsprofessionals denkt dat er slechts zo’n 320.000 AET’s bestaan, terwijl dat aantal in feite 2.500 keer zo groot is: er zijn momenteel ruim 800 miljoen bekende AET’s en dat aantal neemt toe”, zegt Blyth.
De reden waarom er tot nu toe niet veel is geschreven over AET’s en er daarom ook vrij weinig over bekend is bij organisaties, is omdat fabrikanten bij sommige betaalde tests de kans krijgen om hun oplossingen aan te passen. Daardoor worden producten door de leverancier echter alleen gecorrigeerd voor specifieke, door de testorganisatie opgegeven technieken. De bredere technieken die snel worden aangepast en verbeterd door criminele organisaties, blijven zo onherkend.
“Betaalde beveiligingstests door derde partijen en de reacties daarop door fabrikanten zorgen er helaas voor dat dit probleem ‘onder tafel wordt geveegd’, waarbij sommigen zelfs claimen dat deze technieken helemaal niet bestaan”, aldus Beumer. “Ze bestaan echter wel degelijk en zijn in staat om een netwerk helemaal open te leggen en schadelijke malware af te leveren.”
Hoge schadeposten voor organisaties
Deelnemers aan het onderzoek waarbij in de afgelopen 12 maanden het netwerk gecompromitteerd was, schatten de gemiddelde zakelijke kosten hiervan op ruim $900.000. Australië meldde een lager aantal inbraken (15%), maar kwam met $1,5 miljoen op een hogere schadepost per incident. Volgens respondenten uit de VS was de gemiddelde schade ruim $1 miljoen. Het zwaarst getroffen was de financiële dienstensector, waar de geschatte kosten per inbraak ruim $2 miljoen bedroegen.
Het volledige rapport, een executive summary en de infographic zijn te downloaden van http://www.mcafee.com/AET
WK
