DDoS-aanvallen via het IoT – staan we nog maar aan het begin?
U zult vast wel gehoord hebben van de DDoS-aanvallen die vorig jaar met behulp van de malware-variant Mirai werden uitgevoerd. Maar wist u ook dat ‘Mirai’ Japans is voor ‘de toekomst’? Welnu, dat is precies waar we volgens mij mee te maken hebben: de toekomst van cyberaanvallen.
Dat houdt niet in dat alle andere vormen van aanvallen van het toneel zullen verdwijnen. Er zal nog steeds sprake zijn van phishing-aanvallen, social engineering-technieken en advanced persistent threats (APT’s). Voor cybercriminelen is het echter een kostbare aangelegenheid om dit soort aanvallen te ontwikkelen. Met distributed denial of service (DDoS)-aanvallen lijken ze nu een even simpel als doeltreffend businessmodel gevonden te hebben voor het verkrijgen van de benodigde financiering:
Ontwikkel malware - Zet die in voor prominente aanvallen - Verdien geld door de aanvalstechniek als dienst aan te bieden
Op het Dark Net zijn bedreigingen aanwezig in de vorm van code die iedereen kan downloaden, aanpassen en gebruiken. Dit bleek wel uit het feit dat de succesvolle DDoS-aanvallen aan het eind van 2016 vrijwel direct werden gevolgd door honderden ‘copycat’-aanvallen. Incident response (IR)-teams waren zeeën van tijd kwijt met het analyseren van al deze aanvallen. Daarmee werd een rookgordijn gecreëerd dat de oorspronkelijke aanvallers in staat stelde om met stille trom te verdwijnen.
Wat bedoel ik nu precies met de titel van deze blog, “Met DDoS-aanvallen via het IoT – staan we nog maar aan het begin?” Ik beweer niet dat we in 2017 met miljoenen DDoS-aanvallen te maken zullen krijgen. Ik denk echter wel dat de cybercriminelen achter de malware inmiddels een stadium hebben bereikt waarin ze munt uit hun technieken willen slaan. Dit doen ze door botnets-as-a-service (BaaS) aan te bieden via het Dark Net, zodat ze omzet kunnen genereren voor het bekostigen van nader onderzoek.
De hacker die de broncode van Mirai ontwikkelde en recentelijk vrijgaf, schreef in een blog: “Ik heb mijn geld verdiend. Alle ogen zijn nu op het IoT gericht, dus het is tijd om te vertrekken.” Deze verklaring vormt de basis voor mijn voorspelling dat de DDoS- en botnet-aanvallen van 2016 de eerste golf vormden. Hierbij werd informatie verzameld en omzet gegenereerd die nu zullen worden aangewend voor de ontwikkeling en lancering van nog geavanceerdere en complexe IoT-malware.
Wat staat ons zoal te wachten? De eerste ontwikkelingen tekenen zich reeds af. Alleen al in de afgelopen maanden werd een netwerk van een Amerikaanse universiteit platgelegd door een combinatie van versnaperingsmachines en gloeilampen! Dit zou wel eens heel goed kunnen volgen door een botnet met ingebouwde ransomware dat met een geautomatiseerde aanval een kantoorgebouw kaapt. Cybercriminelen zouden dan bijvoorbeeld de verlichting kunnen uitzetten totdat het getroffen bedrijf losgeld ophoest.
Dit soort aanvallen zullen een risico blijven vormen totdat de beveiliging van het IoT een inhaalslag maakt. Wat kunnen we nu precies doen om veilig te blijven en te voorkomen dat de koffiemachine die ons ’s ochtends bij het ontbijt een espresso serveerde tegen het avondeten een crimineel meesterbrein is geworden?
- Mirai kan eenvoudig worden, en dat zal waarschijnlijk ook voor toekomstige malware gelden. Overweeg om IoT-apparatuur thuis en op kantoor regelmatig in en uit te schakelen – denk bijvoorbeeld aan netwerkrouters, gloeilampen en het koffiezetapparaat. U zou deze klassieke ICT-procedure minimaal wekelijks moeten uitvoeren. Als u echter de indruk hebt dat bepaalde apparatuur steeds trager begint te presteren, zou u moeten overwegen om de configuratie volledig te resetten. In het geval van een infectie zal de malware daarmee worden verwijderd.
- Sterke wachtwoorden. Ik kan dit niet vaak genoeg zeggen. Standaardwachtwoorden zijn niet sterk genoeg, omdat iedereen die kent. En de kans is groot dat kwaadwillende uw kentekennummer of de naam van uw kat op social media kunnen vinden. Stel sterke wachtwoorden in en wijzig die om de 60 tot 90 dagen.
- Richt afzonderlijk draadloze netwerken voor het IoT in. Bedrijven die gebruikmaken van SDSN’s* (Software-Defined Secure Networks) kunnen daarmee fijnmazige grip krijgen op zowel hun netwerk als het dataverkeer. Door SDSN’s te combineren met netwerkautomatisering kunnen ze geïnfecteerde apparaten eenvoudig in quarantaine zetten zonder dat hun bedrijfsgegevens gevaar lopen.
- Blijf alle endpoints beveiligen. Ik kan het belang van geavanceerde antivirussoftware niet genoeg benadrukken. In het geval van het Internet of Things is dit echter geen haalbare kaart, omdat IoT-apparatuur niet de opslagcapaciteit of verwerkingskracht biedt die voor een antivirusoplossing nodig is. Dus in aanvulling op endpoint-beveiliging is het belangrijk om in kaart te brengen welke gegevens er binnen uw netwerk aanwezig zijn en om Sky Advanced Threat Prevention in te zetten voor een zo snel mogelijke identificatie van, en reactie op bedreigingen.
Ten slotte is het belangrijk om alert te blijven. Tijdens RSA 2017 sprak ik nog met een collega over het verhaal van de universiteit waarvan het netwerk was platgelegd, ondanks het feit dat er regelmatig melding was gemaakt van problemen met de netwerkprestaties. Dit werd echter genegeerd. Als uw netwerk plotseling trager wordt en/of applicaties afwijkend gedrag vertonen, moet u dit niet direct wijten aan piekverkeer op een maandag of vrijdag. Want de kans bestaat dat de volgende prominente aanval het op uw netwerk heeft gemunt!
* SDSN is een platform van Juniper Networks dat beveiliging in fysieke en virtuele netwerken inbouwt in plaats die er later aan toe te voegen, zoals de meeste oplossingen voor netwerkbeveiliging doen.
