Wat kunnen we verwachten op security-gebied na het afgelopen jaar?
Het jaar 2020 was allesbehalve normaal. Zie hier ook enkele hoogtepunten in 2020 op het gebied van cybersecurity. Maar in plaats van stilstaan bij het verleden, kunnen we beter kijken naar de toekomst. Hieronder 4 zaken die ons nog te wachten staan:
1. Ransomware - we staan nog maar aan het begin
Niet alleen blijft de ransomware-epidemie voortduren, de epidemie zal ook verergeren. De aanvallen worden geavanceerder en daarnaast zal de aanvalsfrequentie met bijbehorende losgeldeis om verschillende redenen toenemen.
Ten eerste zijn aanvallers beter geworden in het herkennen van een gemakkelijk doelwit. Vooralsnog gaat het hier om lokale overheidsorganisaties, zorg- en onderwijsinstellingen. Deze doorgaans traditioneler ingestelde IT-organisaties beschikken over beperkte middelen, lopen niet voorop in het patchen van kwetsbaarheden en maken nog te vaak gebruik van verouderde beveiligingsoplossingen in een poging moderne cybersecuritydreigingen het hoofd te bieden.
De meest effectieve manier om een ransomwareaanval te bestrijden, is natuurlijk om geen slachtoffer te worden. Vaak ontbreekt het nog aan elementaire IT-maatregelen, zoals netwerksegmentatie en het inregelen van de juiste backupprocessen. De meest geavanceerde aanvallen waar we tegenwoordig mee te maken hebben, kunnen alleen worden gestopt door het gebruik van moderne verdedigingstechnieken. Helaas staan de genoemde marktsegmenten niet bekend om hun voorlopersrol, wanneer het gaat om modernisering van hun digitale verdediging.
Ransomware is een zeer lucratief businessmodel. Steeds vaker zien we slachtoffers van ransomware het advies negeren van de overheid om geen losgeld te betalen. Deze trend zet waarschijnlijk door aangezien cyberverzekeringen, die ooit als een ‘nice to have’ werden beschouwd, nu een ‘need to have’ zijn en aanvallers betalen veel aantrekkelijker is dan een schade die oploopt in de acht cijfers.
2. Geavanceerde aanvallen worden ‘het nieuwe 'normaal’
Iedereen die de laatste ontwikkelingen over de SolarWinds-aanvallen volgt, begrijpt dat deze geavanceerde aanval er een van een geheel nieuwe orde is. Naast het feit dat de scheidslijn vervaagt tussen natie actoren en cybercrime-organisaties die gedreven worden door geld, zijn de tactieken die werden gebruikt nog niet eerder vertoond.
Denk hierbij aan het stelen van een certificaat om een kwaadaardige software-update te ondertekenen die wordt gebruikt door overheidsorganisaties. Of een op maat gemaakte DLL maken voor communicatie, terwijl bestaande API-calls en domeinen worden gebruikt en maandenlang onopgemerkt blijven. Deze TTP's (Tactics, Techniques & Procedures) gaan verder dan waar de meeste organisaties en beveiligingssoftware momenteel toe uitgerust zijn om te kunnen detecteren.
Dat betekent dat wij als verdedigers de manier waarop we beschermen onder de loep moeten nemen. Geen van de bovenstaande TTP's kan worden gedetecteerd met traditionele monitoring- en beveiligingstools. Om deze te kunnen detecteren heb je een sterke basis nodig die inzicht geeft in het gebruik van deze TTP’s. Zorg dus voor een sterke security baseline die inzicht biedt in gedragingen en afwijkingen in het systeem, onderzoek elke gedetecteerde afwijking, plaats verdedigingslagen die met elkaar kunnen communiceren en zorg ervoor dat elke endpoint is voorzien van detectiemechanismen die zelfstandig en in real-time kunnen ingrijpen. Als je een endpoint zoals een laptop onbeschermd laat, vormt het een toegangspunt tot de rest van het netwerk. Daarom is het van het grootste belang om endpoints te voorzien van bescherming met op gedrag gebaseerde detectie om zo een uitbraak op te vangen terwijl deze plaatsvindt.
3. Deepfake wordt volwassen - en we zijn er nog niet klaar voor
Een in het Verenigd Koninkrijk gevestigde ceo werd gebeld door de Duitse ceo van het moederbedrijf. De ceo kreeg de opdracht om €220.000 over te maken naar de bankrekening van een Hongaarse leverancier. Klinkt onbetrouwbaar, toch? De Britse ceo maakte zich daarentegen geen zorgen, want hij kende de ceo persoonlijk en herkende het subtiele Duitse accent in de stem van zijn baas. Even later werd het geld overgemaakt. De Britse ceo werd pas na een aantal verdachte aanwijzingen achterdochtig.
Volgens onderzoekers gebruikten de criminelen hier de eerste vorm van AI voice mimicry voor fraude, oftewel deepfake. Nu de meesten van ons nog steeds vanuit huis werken, en dit waarschijnlijk ook in de toekomst (gedeeltelijk) blijven doen, zal dit soort fraude steeds vaker voorkomen. Door de afstand tussen medewerkers vragen mensen minder snel persoonlijk aan een collega om te controleren of een verzoek legitiem is of niet.
De criminelen hebben meer kans van slagen naarmate de deepfake-technologie goedkoper wordt, computers krachtiger worden en hun doelwitten minder afhankelijk zijn van een vaste werkplek. Daarom is de verwachting dat we in 2021 de eerste succesvolle op video gebaseerde deepfake phishing-aanval zullen zien. De aanval zal resulteren in aanzienlijk financieel verlies of gegevensverlies.
4. De Dag des Oordeels komt voor de beveiligingsaanpak van Apple
Er is een oorlog gaande binnen het Apple-ecosysteem, hoewel je dit nauwelijks merkt als je de gebruikelijke beveiligingsfeeds volgt. Deze oorlog draait om een centraal filosofisch debat op het gebied van veiligheid, namelijk: welke benadering is veiliger: open of gesloten technologie? Apple stelt dat als je iedereen, inclusief beveiligingsonderzoekers, uit bepaalde delen van de hardware en software weert, de macOS- en iOS-besturingssystemen veiliger worden.
Beveiligingsonderzoekers beweren dat vastberaden aanvallers hoe dan ook een manier zullen vinden om binnen te dringen. Maar door de gesloten aard van de systemen van Apple zullen slachtoffers misschien nooit weten dat ze in gevaar zijn geweest.
Als je aan de 'open' kant van het argument staat, zul je waarschijnlijk opgelucht zijn om te horen dat in de laatste week van 2020 een rechter zich uitsprak tegen de poging van Apple om security-onderzoeksgroep Corellium te stoppen. Deze juridische strijd zal ongetwijfeld doorgaan in 2021, aangezien Apple van plan is tegen de beslissing in beroep te gaan.
De geschiedenis is ongetwijfeld ook voorstander van de ‘open’ benadering. Er zijn talloze voorbeelden te vinden van fouten door onduidelijkheid. Op macOS is de ondoorzichtige Notarization-maatregel van Apple bijvoorbeeld een aantal keren omzeild door commodity-malware en voor iOS schreef een onderzoeker eerder deze maand een paper van 30.000 woorden over een zero-click wifi-exploit waarmee gebruikersfoto's kunnen worden gestolen. Zero-click? Er is geen interactie nodig en de exploit kan via de ether worden geactiveerd.
De vraag is of we in 2021 threat actors misbruik zien maken van macOS- en iOS-kwetsbaarheden. Gezien het vroege stadium van het kwetsbaarheidsonderzoek naar macOS Big Sur en de niet te fixen kwetsbaarheden in allerlei iOS-apparaten als gevolg van checkra1n, zou het gek zijn als dit in 2021 niet gebeurt. Bescherm je Apple-apparaten daarom op dezelfde manier als alle andere apparaten. Er zit geen magie of veiligheid in ondoorzichtigheid.
Door: Eric van Sommeren, Regional Sales Director Northern Europe bij SentinelOne
