Security Predictions
De nieuwe norm: Trend Micro - Veiligheidsvoorspellingen voor 2020
We staan aan de vooravond van een nieuw decennium. Ook op het gebied van cyberbeveiliging kunnen we aanzienlijke veranderingen verwachten. Voorbij zijn de dagen van geïsoleerde netwerken achter een bedrijfsfirewall en een beperkt aantal bedrijfsapplicaties. Het huidige paradigma vereist een verscheidenheid aan apps, services en platforms, die allemaal moeten worden beschermd. Beveiligers moeten door allerlei brillen naar beveiliging kijken om bij te blijven en te kunnen anticiperen op cybercriminaliteit, innovaties en nieuwe spelers.
Beproefde methoden, zoals afpersing, verduistering en phishing, blijven een gevaar, maar het is onvermijdelijk dat er ook nieuwe risico's opduiken. Door het toegenomen aantal migraties naar de cloud neemt bijvoorbeeld ook het aantal menselijke fouten toe. Ook de enorme aantallen verbonden assets en infrastructuren vormen een risico voor dreigingen. Voor ondernemingen zijn de dreigingen niet minder complex en worden traditionele risico's gecombineerd met nieuwe technologieën, zoals AI (artificial intelligence) in bedrijfsfraude.
Onze veiligheidsvoorspellingen voor 2020 weerspiegelen de meningen en inzichten van onze experts ten aanzien van huidige en nieuwe dreigingen en technologieën. In ons rapport wordt een beeld geschetst van een mogelijk toekomstig landschap gebaseerd op technologische vooruitgang en evoluerende dreigingen om ondernemingen in staat te stellen weloverwogen beslissingen te nemen over hun cyberbeveiligingsstatus in 2020 en daarna. De toekomst lijkt complex, kwetsbaar en niet goed geconfigureerd, maar is ook verdedigbaar.
Onvolledige en haastig gemaakte patches zijn geen partij voor aanvallers
Als het gaat om de implementatie van patches, zijn twee factoren heel belangrijk voor systeembeheerders: de tijdigheid en de kwaliteit van de patches. Onvolledige of defecte patches kunnen kritieke systemen beschadigen en verstoren, maar het uitstellen van de toepassing ervan kan systemen blootstellen aan dreigingen. Eerdere gevallen hebben aangetoond hoe onvolledige patches kunnen worden omzeild om de kwetsbaarheid te benutten die de patch probeert op te lossen. Aanvallers maken ook gebruik van patch-gaps, perioden van blootstelling tussen een fout in een open source-component die wordt hersteld en de patch die wordt toegepast op de software die hiervan gebruikmaakt.
Bancaire systemen worden het doelwit van malware voor open bankieren en geldautomaten.
Mobiele malware gericht op online bankieren en betalingssystemen zal steeds vaker voorkomen door de enorme toename in mobiele online betalingen in Europa als gevolg van de gereviseerde Payment Service Directive (PSD2) van de EU (Europese Unie). De tenuitvoerlegging van de richtlijn zal gevolgen hebben voor de cyberbeveiliging in de banksector, onder andere door onvolkomenheden in API's (Application Programming Interfaces) en nieuwe phishing-aanvallen.
In de undergroundscene stijgt de verkoop van geldautomatenmalware. We verwachten een concurrentiestrijd tussen verschillende soorten geldautomatenmalware, waarbij ze proberen elkaar te overtreffen op het gebied van malwarefuncties en -prijzen. Varianten van Cutlet Maker, Hello World en WinPot worden bijvoorbeeld al clandestien verkocht.
Deepfakes worden de volgende stap in de ontwikkeling van bedrijfsfraude.
Deepfakes, op AI gebaseerde vervalsingen van beelden, video's of audio, worden in de toekomst niet alleen meer gebruikt om pornografische nepvideo's van beroemdheden te maken, maar ook om ondernemingen en hun procedures te misleiden, bijvoorbeeld door werknemers ertoe te bewegen om bedragen over te maken of bepaalde beslissingen te nemen. Dit bleek al toen door middel van AI de stem van de CEO van een energiebedrijf werd geïmiteerd om het bedrijf € 220.000 afhandig te maken. Deze technologie is een welkome aanvulling op het arsenaal van cybercriminelen en betekent een verschuiving van de traditionele aanvalstactiek met BEC (Business Email Compromise). De directiekamer is het belangrijkste doelwit van dit type fraude, omdat directieleden vaak deelnemen aan gesprekken en conferenties, en optreden in de media en online video's.
Aanvallers profiteren van wormgevoelige zwakke plekken en deserialisatiefouten.
Er zullen meer misbruikpogingen ten aanzien van kritieke en ernstige kwetsbaarheden in het wormgevoelige BlueKeep worden bekendgemaakt. Veelgebruikte protocollen, zoals SMB (Server Message Block) en RDP (Remote Desktop Protocol), worden misbruikt om toegang te verkrijgen tot kwetsbare systemen, waarbij RDP ook al een veelgebruikte vector voor ransomware is.
Kwetsbaarheden en zwakke plekken met betrekking tot de deserialisatie van niet-vertrouwde data worden een grote zorg, met name bij de beveiliging van bedrijfsapplicaties. Met dreigingen die deze klasse van kwetsbaarheden gebruiken, kunnen data worden gewijzigd waarvan werd aangenomen dat deze niet te wijzigen waren en kan de mogelijke uitvoering van door de aanvaller gestuurde code worden toegestaan. In plaats van verschillende kwetsbaarheden te vinden en aan elkaar te koppelen om schadelijke code uit te voeren, maken aanvallers steeds vaker gebruik van deserialisatiefouten om gemakkelijker controle over systemen te krijgen, zelfs in complexe omgevingen.
Cybercriminelen richten zich op IoT-apparaten voor spionage en afpersing.
ML en AI worden misbruikt om op aangesloten apparaten, zoals slimme televisies en luidsprekers, mee te luisteren naar persoonlijke en zakelijke gesprekken, die vervolgens materiaal kunnen opleveren voor afpersing of bedrijfsspionage.
Voor andere manieren om IoT-aanvallen te gelde te maken, moeten cybercriminelen nog een schaalbaar bedrijfsmodel vinden om het brede aanvalsoppervlak van het IoT (Internet of Things) te verzilveren. Cybercriminelen blijven zoeken naar manieren om meer te profiteren van IoT-aanvallen, voornamelijk door middel van digitale afpersing. Deze zwendelpraktijken worden eerst uitgeprobeerd op consumentenapparaten, waarna industriële machines het volgende logische doelwit zijn. Een dergelijke ontwikkeling hebben we ook gezien in onze recente onderzoeken naar de undergroundscene.
Botnets van gecompromitteerde IoT-apparaten, zoals routers, worden clandestien verder verhandeld, samen met de toegangsgegevens voor webcamstreams en slimme meters met aangepaste firmware.
Vroege 5G-gebruikers zullen worstelen met de veiligheidsimplicaties van de overstap naar netwerken op basis van software.
Een volledige 5G-implementatie in 2020 zal nieuwe uitdagingen met zich meebrengen: kwetsbaarheden die alleen maar te wijten zijn aan de nieuwheid van de technologie en het gebrek aan kennis van leveranciers ten aanzien van dreigingen die hiervan gebruik kunnen maken. Aangezien 5G-netwerken gebaseerd zijn op software, vloeien dreigingen voort uit kwetsbare softwarebewerkingen en de gedistribueerde topologie. Een kwaadwillende die controle krijgt over de software waarmee 5G-netwerken worden beheerd, kan vervolgens het netwerk zelf kapen. Upgrades ten aanzien van 5G zijn vergelijkbaar met updates van smartphones en brengen dus kwetsbaarheden met zich mee. Het is zelfs al bewezen dat het mogelijk is om van 5G-kwetsbaarheden te profiteren met goedkope hard- en softwareplatforms.
Kritieke infrastructuren zullen worden geplaagd door meer aanvallen en productieonderbrekingen.
Kritieke infrastructuren worden reële doelwitten voor afpersers. Gezien de destructieve impact ervan, blijft ransomware het favoriete instrument van de kwaadwillende, maar we zullen ook andere cyberaanvallen te zien krijgen: botnets die DDoS-aanvallen (Distributed Denial-of-Service) inzetten tegen OT-netwerken (operationele technologie), aanvallen op productiesystemen die cloudservices gebruiken en aanvallen op supply chains waarbij externe leveranciers door kwaadwillenden worden misbruikt als springplank naar kritieke sectoren.
Verscheidene kwaadwillenden hebben zich op verschillende energievoorzieningen wereldwijd gericht en verkenningen uitgevoerd in een poging om aanmeldingsreferenties van ICS-systemen (industriële controlesystemen) en SCADA-systemen (Supervisory Control And Data Acquisition) te stelen. Behalve op de nutssector verwachten we ook aanvallen op de voedselproductie-, transport- en productiesectoren, waar in toenemende mate wordt gebruikgemaakt van IoT-applicaties en HMI's (Human-Machine Interfaces).
Kwetsbaarheden in containercomponenten zullen de meest beveiligingsproblemen opleveren voor DevOps-teams.
In de containerruimte gaat alles snel: releases vinden snel plaats, architecturen worden voortdurend geïntegreerd en softwareversies worden regelmatig bijgewerkt. Traditionele beveiligingspraktijken zullen dit tempo niet kunnen bijbenen. Het kan voorkomen dat een organisatie voor een applicatie nu honderden containers, verspreid over meerdere virtuele machines op verschillende cloudserviceplatforms, moet beveiligen. Bedrijven moeten voor verschillende onderdelen van de containerarchitectuur rekening houden met hun veiligheid, van containerruntimes (zoals Docker, CRI-O, Containerd en runC) en orchestrators (zoals Kubernetes) tot ontwikkelingsomgevingen (zoals Jenkins).
Serverless platforms introduceren een aanvalsoppervlak voor onjuiste configuraties en kwetsbare codes.
Serverless platforms bieden functie als een service, zodat ontwikkelaars codes kunnen uitvoeren zonder dat de organisatie hoeft te betalen voor hele servers of containers. Verouderde bibliotheken, onjuiste configuraties en bekende en onbekende kwetsbaarheden worden door aanvallers gebruikt als toegangspunten tot serverless applicaties. Meer netwerkzichtbaarheid, verbeterde processen en betere documentatieworkflows zijn essentieel voor het uitvoeren van serverless applicaties. Serverless omgevingen kunnen ook profiteren van het gebruik van DevSecOps, waar beveiliging is geïntegreerd in het DevOps-proces.
Cloudplatforms zullen ten prooi vallen aan code-injectieaanvallen via bibliotheken van derden.
Code-injectieaanvallen, rechtstreeks in de code of via een externe bibliotheek, zullen voornamelijk tegen cloudplatforms worden gebruikt. Deze aanvallen, door middel van cross-site scripting en SQL-injectie, worden uitgevoerd voor afluisterpraktijken en om de controle over gevoelige bestanden en data in de cloud over te nemen en deze zelfs te wijzigen. Aanvallers kunnen ook schadelijke code injecteren in bibliotheken van derden, die vervolgens worden gedownload en uitgevoerd door achteloze gebruikers. Het aantal data-inbreuken met betrekking tot de cloud zal toenemen wanneer software-, infrastructuur- en platform-as-a-service-modellen (SaaS, IaaS, PaaS) voor cloud computing op grote schaal in gebruik worden genomen. Om cloudschendingen te voorkomen, moeten ontwikkelaars grondig onderzoek doen, moeten providers en de betreffende platforms zorgvuldige afwegingen maken en moeten er verbeteringen worden doorgevoerd in het beheer van de cloudbeveiligingsstatus.
In 2020 en daarna zullen aanvallen zorgvuldiger worden gepland en gecoördineerd. Het gebrek aan vaardigheden op het gebied van cyberbeveiliging en de slechte hygiëne op het gebied van veiligheid zullen ook in het nieuwe dreigingslandschap belangrijke factoren zijn. De risico's van schendingen door geavanceerde dreigingen, persistente malware, phishing en zero-day aanvallen kunnen worden beperkt als dreigingsinzichten en bescherming alom beschikbaar zijn. Met bruikbare threat intelligence in beveiligings- en risicobeheerprocessen kunnen organisaties hun omgevingen proactief verdedigen door gaten in de beveiliging te identificeren, zwakke schakels te elimineren en de strategieën van aanvallers te begrijpen. Beslissers en IT-managers die een completer beeld van hun online infrastructuren nodig hebben, kunnen de hulp inroepen van experts, zoals SOC-analisten (SOC), die hun bevindingen kunnen correleren met wereldwijde threat intelligence. Dit resulteert in een betere context die verder reikt dan het endpoint, inclusief e-mail, servers, cloudworkloads en netwerken.
Het voortdurend veranderende landschap vereist een generatieoverschrijdende combinatie van meerlaagse en verbonden verdediging, aangestuurd door beveiligingsmechanismen zoals de volgende:
- Complete zichtbaarheid. Biedt geprioriteerd en geoptimaliseerd onderzoek van dreigingen met tools en expertise die de impact herstellen en risico's beperken.
- Dreigingspreventie met effectieve bestrijding. Beperkt automatisch dreigingen zodra deze zijn gevisualiseerd en geïdentificeerd. Daarnaast wordt gebruikgemaakt van antimalware, machine learning en AI, applicatiebeheer, webreputatie en antispamtechnieken.
- Beheerde detectie en respons. Biedt beveiligingsexpertise waarmee de relaties tussen waarschuwingen en detecties kunnen worden vastgesteld voor de opsporing van dreigingen, uitgebreide analyses en onmiddellijk herstel met behulp van geoptimaliseerde tools voor threat intelligence.
- Gedragsbewaking. Blokkeert proactief geavanceerde malware en technieken, en detecteert afwijkend gedrag en routines in verband met malware.
- Endpointbeveiliging. Beschermt gebruikers door middel van sandboxing, inbreukdetectie en endpointsensormogelijkheden.
- Inbreukdetectie- en -preventie. Ontmoedigt verdacht netwerkverkeer, zoals C&C-communicatie (Command and Control) en de exfiltratie van data.
Lees in ons rapport De nieuwe norm: Trend Micro - Veiligheidsvoorspellingen voor 2020 hoe het dreigingslandschap er in 2020 zal uitzien en hoe gebruikers en organisaties in dit landschap de weg kunnen vinden.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.