Gregg Gerber, regional director Benelux bij Symantec
Het Internet Security Threat Report van Symantec over 2016 windt er geen doekjes om. Vorig jaar is het aantal incidenten in hoog tempo verder toegenomen. “De bescherming van e-mail moet meer aandacht krijgen”, zegt Gregg Gerber van Symantec.
Het ruim 50 pagina’s tellende Internet Security Threat Report (ISTR) van de beveiligingsspecialist Symantec benoemt de nieuwe bedreigingen waar het bedrijfsleven mee te maken heeft gekregen. Zowel langs bekende wegen en met bekende doelen als via nieuwe ontwikkelingen. In een gesprek begint Gregg Gerber, regional director Benelux bij Symantec, met een nieuwe zichtbare trend bij gerichte aanvallen. “Tot 2016 werden gerichte aanvallen vooral ingezet voor het bespioneren van bedrijven en natuurlijk het ontvreemden van bedrijfsgeheimen. Afgelopen jaar is daar een kentering in gekomen. De omvang en impact van de politiek georiënteerde sabotage en subversie is echt heel snel toegenomen”, zegt Gerber. “Voorbeelden van de sabotage zijn de aanvallen op delen van de energievoorziening in de Oekraïne. Bij subversie valt te denken aan de succesvolle aanvallen op de Democratische Partij in de opmaat naar de Amerikaanse presidentsverkiezingen en op dopingbestrijder WADA.”
De opzet en werking van deze sabotage en subversie zijn in het rapport overzichtelijk weergegeven en maakt duidelijk dat er sprake is van meerdere bronnen. Voor menig lezer van het rapport zal dit een eye opener zijn. Het ISTR geeft aan dat twee regio’s opvallen en noemt terloops dat hier ook groepen aan het werk zijn die kunnen bogen op een trackrecord van meer dan 10 jaar. Met andere woorden, het zijn echte professionals uit veel meer landen dan gedacht die voor sabotage en subversie verantwoordelijk lijken.
Noord-Koreaanse connectie
Gregg Gerber
Een vorm van cybercriminaliteit die voorheen amper bestond, maar in 2016 voor de nodige ophef heeft gezorgd was de aanval op het bankwezen in opdracht van Noord-Korea. Het Symantec-rapport geeft aan dat slechts door snel handelen van banken de schade tot 94 miljoen dollar is beperkt. De operatie zelf had een beoogde omvang van 1 miljard dollar. Wat helemaal onder de radar van de pers is gebleven, is dat de aanvallen zich niet richtten op een handvol banken, waarvan die op de Nationale Bank van Bangladesh het meest succesvol was. Het rapport vermeldt 104 banken in 30 landen en de kaart laat zien dat ook Nederland doelwit van de NoordKoreanen was.
E-mail als wapen
Deze en de andere bevindingen in het rapport leiden ook bijna allemaal tot dezelfde conclusie dat e-mail het meest gebruikte en succesvolle wapen van de criminelen en saboteurs is. Gerber noemt enkele cijfers die ook in het rapport zijn terug te vinden. “De kans dat mensen
een prijs van 10 euro of meer in de EuroMillion-loterij winnen is 1 op 188. De kans dat zij e-mail ontvangen met malware of een link daarnaar, is 1 op 131. De kans een prijs te winnen is min of meer stabiel, de kans op foute e-mails tegenkomen blijft alsmaar toenemen. Ten opzichte van 2015 is die kans zelfs bijna verdubbeld. Van de malware die in de e-mails zit, is maar liefst 89 procent in 2016 gelanceerd. Dat zegt veel over de innovatieve kracht van de partijen.“
‘Het aantal IoT-aanvallen is in minder dan een jaar verdubbeld’
Over de Nederlandse markt merkt hij daarbij nog op dat de situatie hier zelfs nog slechter is. Naar de oorzaak kan slechts worden gegist, maar de kans op e-mails met (links naar) malware in Nederland is met 1 op 106 substantieel hoger dan elders. Deze cijfers illustreren waarom e-mail centraal staat in het rapport. Als eindgebruikers tegen sabotage, spionage of natuurlijk ook ransomware moeten worden beschermd, is e-mail het aspect waar echt heel veel aandacht aan moet worden besteed, aldus de regiodirecteur van Symantec.
Clouddiensten en IoT
Naast e-mail behandelt het rapport uitgebreid ook nog drie andere onderwerpen die absoluut de aandacht verdienen. Ten eerste clouddiensten. Symantec constateert dat de druk van cybercriminelen op alle mogelijke clouddiensten in snel tempo toeneemt en dat vraagt om betere afweer. “Two factor authentication zou de enige keuze moeten zijn om de diensten in de cloud te kunnen gebruiken. We hebben te veel succesvolle aanvalsmethoden gezien en onderzocht om nog te kunnen stellen dat inloggen op clouddiensten voor privé of zakelijk gebruik via usernames en wachtwoorden verantwoord is.” Uiteraard is IoT een ander onderwerp in het rapport voorkomt. Daarover is het afgelopen jaar al veel geschreven, want er is een groot aantal security-incidenten gesignaleerd waarbij IoT devices het middel voor of doel van aanvallen waren. Symantec heeft op basis van de eigen IoT honeypots inmiddels vastgesteld dat in minder dan een jaar het aantal aanvallen op het IoT is verdubbeld. IoT devices aan het internet hangen, leidt inmiddels binnen twee minuten tot een aanval. “De detectie ervan gaat dus echt razendsnel”, aldus Gerber. “Het is zelfs 50 procent sneller dan voorgaande tests toen we ongepatchte XP-computers aan het internet hingen. Daarbij duurde het nog vier minuten voor de eerste aanvallen werden uitgevoerd.“ Dat het IoT zo massaal wordt aangevallen, komt volgens de regiodirecteur van Symantec voornamelijk door drie structurele tekortkomingen. “Veel devices zijn gewoon niet ontworpen met security in het achterhoofd. Er zijn devices die niet upgradebaar zijn of waarvan usernames en wachtwoorden niet te wijzigen zijn en dat zijn ook nog eens combinaties die makkelijk te achterhalen zijn.”
Ransomware
Ten slotte is er nog ransomware, een verschijnsel dat explosief is gegroeid en waar wereldwijd vooral eindgebruikers het slachtoffer van zijn. Het fenomeen treft ook veel Nederlandse internetgebruikers die hier vanzelfsprekend ook last van hebben. Hier lijkt de overlast echter aanzienlijk kleiner dan in de VS, waar volgens Symantec 34 procent van de aanvallen op wordt gericht. “Dat ook voor deze vorm van criminaliteit e-mail het meest gebruikte middel is, onderstreept eens en temeer maximaal aandacht te blijven schenken aan het veiliger maken van e-mail.”
[Dit artikel is eerder gepubliceerd in Channel Connect magazine nummer 2-2017]
