Op
welke manier we ook naar deze gegevens kijken, in alle gevallen luidt de
conclusie dat het aantal aanvallen op kleine en middelgrote bedrijven de
afgelopen jaren is toegenomen. Ook dit jaar wordt die trend niet doorbroken, er
zijn de afgelopen maanden nog geen tekenen van sterke afwijkingen te zien. De eerste
grafiek (rechts) toont het totale percentage gegevenslekken. Sinds we in 2006
begonnen zijn met het analyseren van een kleine reeks van
beveiligingsincidenten zien we dat het aantal incidenten de laatste jaren is
gestagneerd en zelfs licht is afgenomen (met uitzondering van de midden en
klein bedrijf). Als we de gegevens uitsplitsen en weergeven als een jaarlijks
percentage van de beveiligingsincidenten (linksonder), blijkt dat de trend de
in 2008 werd ingezet onverminderd aanhoudt.
In de tweede grafiek kunnen we twee trends ontdekken. De
aanvallen lijken zich meer te concentreren op het midden en klein bedrijf waar ook
een grote stijging waar te nemen is. Dit in tegenstelling tot de grote
bedrijven waar het aantal aanvallen sterk aan het afnemen is. (De toename in 2011
voor “Meer dan 100.000” werknemers lijkt het gevolg te zijn van fysieke
aanvallen op kaartlezers die door consumenten worden gebruikt). Een kleine
kanttekening: omdat we naar een percentage van het totale aantal incidenten
kijken, kunnen we er niet zomaar vanuit gaan dat het aantal gegevenslekken binnen
grotere ondernemingen met dezelfde snelheid afneemt als hier wordt weergegeven.
Aangezien we kijken naar een percentage van het totaal, kan een toename van het
aantal incidenten binnen één categorie al snel de indruk wekken dat er sprake
is van een afname binnen de andere categorieën. Als we dieper ingaan op de
resultaten kunnen we concluderen dat het aantal aanvallen op grote
ondernemingen weliswaar afneemt, maar dat is slechts een lichte daling in
verhouding met de relatieve toename van het aantal aanvallen op kleinere bedrijven.
Dit leidt tot een interessante observatie: aanvallers lijken hun grote
doelwitten in te ruilen voor een groter aantal kleine slachtoffers. Met andere
woorden, de trend lijkt erop te duiden dat cybercriminelen minder gegevens per
incident stelen, maar dit compenseren door meer slachtoffers te maken. Bij
kleinere bedrijven valt er immers minder te halen.
Beveiligingsincidenten
Als
aanvallers minder gegevens per aanval stelen, maar hun pijlen op een steeds
groter aantal bedrijven richten, zou je verwachten dat het aantal geautomatiseerde
aanvallen toeneemt. We zien immers steeds meer headlines voorbij komen over Zeus
en andere financieel gemotiveerde malware, maar wanneer we een framework zoals VERIS op de incidenten toepassen, krijgen
we de hierboven afgebeelde uitsplitsing per aanvalscategorie te zien.
In
2011 en daarvoor zagen de (over het algemeen gemakkelijk uitvoerbare) aanvallen
op bedrijven met minder dan 100 werknemers volgens de door ons geanalyseerde
incidenten er grofweg als volgt uit: de aanvallers scannen (automatisch) op
hosts die beheer op afstand mogelijk maakt via RDP (87%) en proberen (met
behulp van speciale software) standaardwachtwoorden of eenvoudig te raden aanmeldingsgegevens
uit (56% van alle incidenten). In sommige gevallen maken ze gebruik van eerder
bemachtigde aanmeldingsgegevens (28%). Zodra de aanvallers zich toegang
tot een systeem hebben verschaft, installeren ze malware (92%) met keylogger-functionaliteit
(48%), de mogelijkheid om automatisch gegevens te verzenden (46%) en/of het
vermogen om een backdoor te openen (35%).
Daarentegen
moeten we ons over meer zaken zorgen over te maken dan alleen de simpele
aanvalsmethoden. Als branche beschikken we namelijk over voldoende technische
mogelijkheden om ons tegen standaardaanvallen te weren. Eerlijkheid gebied ons
te zeggen dat de bedrijven die slachtoffer worden van dit type aanvallen geen
deel uitmaken van het lezerspubliek van het weblog van Krebs, het rapport van Symantec of dit artikel. Met andere woorden, aan
technische problemen ligt vaak een probleem op het gebied van bewustwording ten
grondslag. Om iets aan dit tekort aan kennis te doen, stellen we in ons 2012 DBIR Report een aantal simpele aanbevelingen voor die gemakkelijk
te implementeren zijn voor kleine bedrijven.
We realiseren ons dat de meeste kleine bedrijven geen deel uitmaken van
de doelgroep van onze beveiligingsrapporten. Daarom boden we deze aanbevelingen
aan in de vorm van een uitneembare lijst, in de hoop dat lezers deze onder de
aandacht van de juiste mensen zouden brengen. De twee belangrijkste
aanbevelingen waren: maak gebruik van wachtwoorden die moeilijk te raden zijn en
pas een bepaalde mate van controle toe op de netwerktoegang (firewall) om
directe toegang door aanvallers te voorkomen. Onze aanbevelingen hadden
betrekking op point of sale-systemen en de beveiligingsincidenten die we in dat
verband observeerden. De beste bescherming tegen malware, zoals Zeus, is echter
om algemene computerbezigheden (surfen op internet, e-mailen enzovoort) te
scheiden van financiële activiteiten (internetbankieren). Hiertoe kan gebruik
worden gemaakt van een live-CD (een besturingssysteem dat is opgeslagen op een
zelfstartende cd) zoals Krebs suggereert, of simpelweg van een computer die louter
voor financiële aangelegenheden is bestemd. Maar zoals eerder gezegd is het
bereiken van kleinere bedrijven om hen bewust te maken van het feit dat ze een
steeds populairder doelwit vormen voor cybercriminelen waarschijnlijk de eerste
hindernis die we moeten overwinnen om te voorkomen dat kleine bedrijven financiële
schade als gevolg van dergelijke aanvallen ondervinden.
Kees Plas
Director Security Services Europa, Verizon Terremark