Voorspellingen 2015

Voorspellingen 2015

DearBytesBlogVoorspellingen 2015

maandag 15 december 2014

Zo aan het einde van het jaar duikelt iedereen over elkaar heen om te voorspellen wat 2015 ons gaat brengen. En ook mij werd vanuit verschillende hoeken die vraag gesteld. Om het behapbaar te houden, beperk ik mij tot de 5 ontwikkelingen die volgens mij komend jaar de meeste en concrete impact gaan hebben op het Nederlands bedrijfsleven:

1. Ransomware

De afgelopen jaren heeft het fenomeen ransomware een enorme vlucht genomen. Het betreft kwaadaardige software die de computer of de data daarop gijzelt, en de eigenaar vraagt om een losgeldsom. In 2014 zijn diverse varianten gelanceerd die behoorlijk hebben huis gehouden in Nederland. Wij hebben veel organisaties ondersteund in de nasleep van dit soort infecties. Omdat de versleuteling die wordt toegepast zo sterk is, zijn vaak de enige twee opties voor een slachtoffer om een backup terug te zetten of om het losgeld te betalen. Bij gebrek aan backups is men regelmatig genoodzaakt tot het laatste en het blijkt om die reden een behoorlijk lucratieve vorm van cybercrime te zijn. Wat logischerwijs weer voldoende reden is om aan te nemen dat deze trend zich gaat doorzetten. Daarbij zal ook steeds vaker op bedrijfsnetwerken gericht worden, waarbij tegelijkertijd een groot aantal systemen onbruikbaar wordt gemaakt en dus niet gewerkt kan worden. Met de zware financiële impact van dien tot gevolg.

De preventie tegen ransomware is eigenlijk niet anders dan andere vormen van malware: anti-malware, patching en user awareness zijn belangrijke maatregelen. Maar er is wel meer voorbereiding nodig ten behoeve van response. Want wie onverhoopt toch getroffen wordt, wil snel weer aan de slag kunnen. Het hebben van goede backups is dus belangrijk, maar een manier om snel systemen opnieuw te installeren is op zo’n moment ook geen overbodige luxe.

Zie ook onze flyer met onze security tips.

2. Einde Windows 2003

Waar 2014 het jaar werd dat de ondersteuning op Windows XP werd beëindigd, gaat in 2015 hetzelfde gebeuren voor Windows Server 2003. Op 14 juli 2015 is het zover. Na die datum zullen geen updates meer worden uitgebracht voor deze versie van Windows, en wordt het langzamerhand een makkelijk doelwit voor aanvallers. Iedereen kent het verhaal waarschijnlijk nog wel van Windows XP: voor die tijd updaten of, indien dat niet mogelijk is, aanvullende risicobeperkende maatregelen treffen. Let op dat het CBP oordeelt dat het gebruik van EOL (End-of-Life) software in relatie tot persoonsgegevens in strijd is met de wet, wanneer die risicobeperkende maatregelen niet getroffen zijn.

Concreet komen die risicobeperkende maatregelen neer op het aanleggen van segmenten in het netwerk en de EOL systemen te scheiden van de rest. Daarnaast kan op de systemen aanvullende beveiligingssoftware in de vorm van Application Whitelisting en Host Intrusion Prevention (HIPS) worden geïnstalleerd om misbruik van kwetsbaarheden te voorkomen.

3. Government Malware & APT

Tsja ik schuif deze twee onderwerpen maar even op een hoop, want als er een groep “daders” is dat Advanced Persistent Threats (APT) waarmaakt dan zijn het onze lieve overheden wel. Op dit moment speelt Regin nog vooral een rol in de media, maar er zijn tal van voorbeelden van malware die in kwaliteit de experts doet verbazen en keer op keer wordt verondersteld dat deze door “nation-states” is gemaakt. Overheden maken (of kopen) malware om elkaar te bespioneren of verdachten af te ‘luisteren’. En dit zal alleen maar toenemen als gevolg van politieke spanningen, maar ook de groeiende toepassing van encryptie op het internet. Wanneer communicatie (goed) versleuteld verzonden is, kan deze alleen op de “endpoint” (de computer van verzender of ontvanger) worden ingezien. En daarvoor heb je software nodig en als je die onopgemerkt op een computer wilt krijgen dan is het hetzelfde als malware. Daar gaan we dus steeds meer van zien.

APT volledig voorkomen is niet mogelijk. Over zoveel zijn we het met zijn allen wel eens. Maar wel belangrijk is om lessen te trekken uit gepubliceerde onderzoeken naar APT om de laatste methodieken te kennen. Soms wordt dan duidelijk dat aanvullende maatregelen wel degelijk nut kunnen hebben, zoals bijvoorbeeld sandboxing. Maar belangrijker is om te weten dat de juiste monitoring en logging actief is om bij vermoedens van misbruik een goed onderzoek te kunnen uitvoeren.

4. POS aanvallen (en IoT)

Het afgelopen jaar zijn veel retailers het slachtoffer geworden van malware die zich richtte op hun kassasystemen. Ofwel Point-of-Sale: POS. Op die systemen zijn aanvallers in staat om in het geheugen de gegevens van creditcards te stelen. Op elke andere plaats in het netwerk zijn die gegevens als het goed is steeds vaker alleen in versleutelde vorm opgeslagen, dus richten criminelen zich op de endpoint (de oplettende lezer ziet hier een overeenkomst met government malware). De meeste gevallen van POS malware zijn ontdekt in de VS. In Nederland worden creditcards veel minder gebruikt dan daar, maar onze kassa’s hier kunnen hier net zo goed door getroffen worden. Zaak dus om ook dit soort systemen van de nodige beveiliging te voorzien, een maatregelen die tot nu toe nog niet bepaald vanzelfsprekend was.

Overigens zijn kassa’s een vorm van “embedded” systemen die onderdeel uitmaken van het Internet-of-Things (IoT). Er is een bredere ontwikkeling die het hele IoT bedreigt, namelijk dat steeds meer dergelijke apparatuur eigenlijk best een heel bruikbaar toegangspunt zijn voor aanvallers om hun doel te bereiken. Al is het maar als “stepping stone” naar het uiteindelijk doel, of om met een grote verzameling systemen een DDoS uit te voeren (zoals 100.000 koelkasten). Beveiliging van embedded systemen is daarom een steeds belangrijker onderwerp, en dat kassa’s nu eruit springen is alleen omdat daar hetgeen letterlijk te halen is waar criminelen naar op zoek zijn: geld.

5. Mac OSx en Linux

Waar Microsoft Windows veruit het populairste doelwit is van virusschrijvers, is het absoluut niet zo dat Apple, Linux en andere systemen immuun zijn. Ze waren simpelweg tot nu toe minder een doelwit omdat ze minder gebruikt werden. Nu steeds meer servers in bedrijfsnetwerken op Linux draaien en steeds meer werkstations op Mac OSx (Apple), is het vanzelfsprekend dat ook die besturingssystemen steeds vaker aangevallen zullen worden. Bijkomstigheid is dat er wel beveiligingssoftware is voor deze systemen, maar er is heel wat minder keuze. Bovendien is die software veel minder ver doorontwikkeld, dus er is waarschijnlijk op een aantal vlakken nog wel een inhaalslag te maken: niet alleen door de aanvallers, maar ook door de verdedigers.