Van eenvoudig virus tot NSA-malware: ken je vijand
De tijden waarin cybercriminelen disketjes met daarop virussen verspreidden, zijn al lang voorbij. Besmette USB-sticks, de moderne variant van die aanvalsvector, bestaan nog wel, maar ze zijn bezwaarlijk het grootste gevaar in IT-land. Sinds de jaren ’80 zijn digitale aanvallen sterk geëvolueerd. De beschermingsmaatregelen evolueerden mee, maar de omarming van de nieuwste beschermingsmethodes blijft vooralsnog achter. Om te begrijpen wat vandaag het grootste gevaar is, moet je weten hoe de nieuwste vormen van cybercriminaliteit in het plaatje passen.
De eerste antivirus
Eward Driehuis, Chief Research Officer bij Securelink, onderscheidt vijf golven van malware, die telkens geleid hebben tot een uniek antwoord van de beveiligingsindustrie. Volgens hem zitten we vandaag in de vijfde golf. Gil Shwed, oprichter en CEO van beveiligingsbedrijf Check Point, deelt die redenering, al spreekt hij over generaties. De indeling is wel dezelfde.
Eind jaren ’80 kwamen de grootste dreigingen van klassieke virussen. Die werden vaak nog via een fysiek medium verspreid, aangezien het internet zoals we dat vandaag kennen nog niet bestond. “Eén van de eerste grote aanvallen vond plaats in Jeruzalem”, herinnert Shwed zich. “Twee van mijn beste vrienden waren verantwoordelijk, ik had er natuurlijk niets mee te maken.” De nood aan bescherming tegen dergelijke virussen zorgde voor de ontwikkeling van de eerste ‘Anti Virus’. Wie precies eerst was, hangt af van je definitie van antivirus. De oprichters van G Data, Andreas Lünig en Kai Figge, lanceerden in 1987 een product dat de Atari ST van virussen moest beschermen.
In datzelfde jaar lanceerde John McAfee zijn eerste versie van de Virusscan, nadat hij het naar hem vernoemde beveiligingsbedrijf uit de grond had gestampt. Verschillende tot vandaag gekende bedrijven zagen in die periode het levenslicht. Denk aan Avira, Avast, Symantec en Sophos. Antivirussoftware evolueerde gaandeweg naar heuristische detectie, waarbij software verschillende virussen kan herkennen aan de hand van enkele regels. Zo werd antivirus slim genoeg om ongekende malware en mutaties van bestaande virussen tegen te houden. Antivirussoftware is vandaag heel goed in zijn job, met een succesvolle detectieratio die voor de meeste oplossingen tussen de 99 en de 100 procent aanleunt. “Vandaag hebben zowat alle bedrijven een antivirusoplossing in huis”, weet Shwed.
Het internet en de firewall
In de jaren ’90 werd het internet populair en klikten zowel consumenten als bedrijven hun pc’s vast aan het netwerk. Plots ging er een hele wereld open voor de cybercriminelen van weleer. Fysieke vectoren om een virus te verspreiden waren helemaal niet meer nodig: computers werden plots toegankelijk via het internet. Virussen die geoptimaliseerd waren om zich via een netwerk voort te planten, vroegen om een gespecialiseerde aanpak. Waar antivirusbescherming malafide code op je systeem detecteert, probeert een firewall kwaadaardige code tegen te houden die zich een weg probeert te banen van het netwerk naar je pc, of omgekeerd. In 1993 lanceerde Shwed met het toen kersverse Check Point de eerste gecommercialiseerde firewalloplossing: Firewall One.
Vandaag is een firewall net zoals een antivirusprogramma een must en dat weten alle bedrijven. Shwed: “Bij een door ons uitgevoerde steekproef bleek dat honderd procent van de ondervraagde bedrijven naast een antivirusoplossing ook een firewall bezitten.” Wie Windows 10 draait en nergens aan komt, heeft automatisch al een firewall en een antivirustool met dank aan Windows Defender. Om slecht beschermd te zijn tegen zowel de eerste als de tweede generatie van cyberdreigingen, moet je met andere woorden al je best doen. In professionelere omgevingen is de firewall dan weer een fysiek toestel dat de verkeersregels voor de trafiek binnen het bedrijfsnetwerk bepaalt, en niet-toegestane verbindingen blokkeert.
Slim analyzer met IPS
“De alomtegenwoordigheid van de juiste beveiliging wordt anders wanneer we naar de derde generatie kijken”, weet de CEO. In het begin van de jaren 2000 begonnen cybercriminelen zich toe te spitsen op kwetsbaarheden in software. Waar een virus zelf malafide code uitvoert, probeert dergelijke malware binnen te dringen via kwetsbaarheden in software van derden. Dergelijke kwetsbaarheden in programmacode laten een aanvaller toe om zichzelf tot administrator op een pc te promoveren, en aan de haal te gaan met allerhande gevoelige gegevens. Deze derde golf van malware brengt een trieste realiteit met zich mee. Zolang er nieuwe software wordt gemaakt, zullen er kwetsbaarheden bestaan. Als een hacker een zogenaamd zero-daylek in een programma vindt, dan heeft hij vrij spel, ondanks de eventuele aanwezigheid van een antivirusprogramma en een firewall.
De oplossing is een nieuw type verdediging: het Intrusion Prevention System (IPS). Een IPS zit achter de firewall en doet veel meer dan policies toepassen op netwerkverkeer. Het systeem gaat trafiek actief analyseren en is in staat actie te ondernemen wanneer zich verdachte zaken voordoen. De IPS kan onder andere verbindingen ongedaan maken en malafide pakketjes detecteren. Dat gebeurt enerzijds met ‘signature’-herkenning, en anderzijds met statistische analyse. De signature-herkenning ken je van antivirusprogramma’s. Gekende aanvallen hebben een herkenbare handtekening, die de IPS kan detecteren, net zoals een antivirusprogramma kwaadaardige code kan herkennen. De statistische analyse vergelijkt netwerktrafiek met een gekende baseline, waarbij afwijkingen een reden zijn om alarm te slaan. Raakt een inbreker toch binnen in het netwerk en begint hij data te stelen, dan zal die actie bijvoorbeeld alarmbellen laten afgaan.
Zonder IPS is het moeilijk om alle exploits tegen te houden, maar toch is de technologie nog bijlange niet zo ingeburgerd als een klassieke firewall en een antivirusprogramma. Shwed schat dat ongeveer 50 procent van de organisaties een IPS heeft om zich te beschermen tegen de uitbuiting van kwetsbaarheden in applicaties. Dat toont aan dat bescherming tegen de derde generatie van malware nog niet ingeburgerd is. Gaan we een generatie verder, dan wordt de beschermingsgraad er niet hoger op.
Een zandbak als redder
Sinds 2010 doen cybercriminelen hun malware steeds betere verkleedkleren aan. Bij zogenaamde polymorphic content zit de malware verstopt in een onschuldig uitziend bestand waarvan de signature steeds verandert. Detectie wordt zo aartsmoeilijk. De beste beschermingsmethode is een digitale zandbak. Dat is een afgesloten ruimte op je pc waar je software kan uitvoeren, zonder dat een eventueel virus uit die ruimte kan ontsnappen. Denk aan een soort gevirtualiseerde computer om risicobestanden veilig te openen. Pas bij het uitvoeren van een besmet bestand wordt de aanwezigheid van malware duidelijk. ‘Sandbox’-bescherming voert ongekende bestanden uit precies om hun gedrag te analyseren voor je systeem besmet is en ransomware bijvoorbeeld al enkele cruciale bestanden heeft versleuteld. Moderne beveiligingspakketten bevatten optionele zandbakomgevingen, maar de technologie is vandaag nog allesbehalve populair. Amper zeven procent van de organisaties maakt er effectief al gebruik van.
Mega-bedreigingen
Volgens de cijfers is 93 procent van de bedrijven dus kwetsbaar voor de vierde generatie van malware en cyberdreigingen. Dat is des te pijnlijker wanneer je weet dat we momenteel een vijfde golf ervaren. Shwed doopt die golf simpelweg ‘Mega’. Die naam heeft betrekking op zowel de omvang als het technische niveau van de meest recente cyberaanvallen. “De recentste aanvallen maken gebruik van technologie die door statelijke actoren ontwikkeld werd”, weet de beveiligingsspecialist. Inlichtingendiensten zoals de NSA ontwikkelden achterpoortjes, hielden ontdekte zero-daylekken achter, en bouwden krachtige hacksoftware. In de handen van de staat is de impact van dergelijke tools voor het gemiddelde bedrijf al bij al beperkt, maar vorig jaar gebeurde het onvermijdelijke: de tools kwamen op straat terecht. “Wanneer door staten ontwikkelde technologie lekt, heeft iedere criminele organisatie plots toegang tot de meest vernietigende aanvalstechnologie op de planeet”, illustreert Shwed.
NSA-technologie
Ver hoef je niet te zoeken om voorbeelden te vinden. De WannaCry- aanval was zo succesvol omdat de ransomware zelf gebouwd was rond gelekte NSA-tech, zoals EternalBlue, dat de sleutel is tot een achterpoort in Windows. Microsoft rolde snel een patch uit voor het probleem, maar aangezien zowel bedrijven als consumenten notoir traag zijn in het implementeren van dergelijke patches vond WannaCry zonder problemen honderdduizenden kwetsbare computers, met alle gevolgen van dien. Herinner je het platgaan van de National Health Service in het Verenigd Koninkrijk, of de Honda-fabriek die stil viel. De impact van een versleutelde computer uitte zich anders voor verschillende bedrijven, maar wie getroffen werd, zag zijn productiviteit automatisch kelderen. WannaCry was nog niet voorbij, of de economische en technologische infrastructuur van Oekraïne werd aangevallen door de Petya- en NotPetya-malware, die eveneens gebruik maakten van NSA-exploits. Hoewel criminelen achter de aanval zich op een specifiek doel richtten, was de schade ook hier wereldwijd voelbaar.
“Dergelijke aanvallen zullen alleen maar toenemen”, weet Driehuis. Hij merkt op hoe iedere nieuwe malwaregolf op termijn leidde tot een nieuw beveiligingsproduct dat specifiek gericht is op het stoppen van de nieuwe types aanval. “De recentste golf is redelijk nieuw”, aldus de onderzoeker. “Beveiligingsbedrijven werken hard aan een sluitend antwoord en zullen dat ook snel vinden, al vrees ik dat het in de nabije toekomst eerst nog erger zal worden voor het beter wordt.”
Allesomvattende verdediging
Om de ‘mega’-aanvallen te blokkeren, heb je immers meer nodig dan een nieuwe verdedigingslinie in je bedrijfsnetwerk. Een verregaande implementatie van real time threat prevention, geïntegreerd in het hele IT-netwerk, biedt soelaas. De theorie is eenvoudig. Dankzij het huidige niveau van cybercriminaliteit kan je er zeker van zijn dat je klassieke verdedigingslinie op een bepaald moment verschalkt wordt. Zelfs gerenommeerde beveiligingsbedrijven, zoals pas nog het Nederlandse Fox-IT, zijn niet immuun voor hackers. Een aanpak die meerdere lagen van bescherming biedt en waarbij ook een snelle detectie van eventuele inbraken centraal staat, heeft een grotere kans van succes. Zo kan één dreiging op verschillende niveaus geblokkeerd worden, wat de kans op succes hoger maakt.
De recent onthulde lekken in processors van zowel Intel, AMD als zelfs ARM verduidelijken. De chips zelf hebben een kwetsbaarheid in de firmware die een slimme hacker met een banaal uitziend programma kan uitbuiten. De kwetsbaarheid moet gedicht worden op het niveau van de processor, en kan dus niet verholpen worden met een eenvoudige update van Windows. Intel-chips zijn het kwetsbaarst en de fabrikant slaagt er niet in om een goede patch uit te brengen. Een firewall, een IPS of een antivirusprogramma zouden slimme malware in dit geval niet detecteren, aangezien eventuele kwaadaardige code niet zomaar te herkennen is. Door onbekende bestanden eerst in een Sandbox-omgeving te draaien die verder in staat is om tot op het niveau van de processor te analyseren wat bepaalde code doet, kan je beveiligingssysteem echter wel vooraf vaststellen of een bepaald bestand de nieuwe kwetsbaarheden uitbuit. Zo ben je alsnog veilig, zelfs als de processors in je workstations en servers niet gepatcht zijn.
Eenvoudig aanbod
De nodige technologie voor een dergelijke alle overkoepelende aanpak bestaat al, maar is vaak erg gefragmenteerd. De uitdaging voor beveiligingsbedrijven is nu om alles in één overzichtelijk aanbod te bundelen, zonder dat de kosten voor KMO of enterprise de lucht in schieten. Kijken we naar de adoptie van bestaande beveiligingsmethodes, dan valt natuurlijk op dat het bestaan van een goede bescherming niet meteen impliceert dat organisaties die ook omarmen. Shwed: “Het gros van de bedrijven is gewapend tegen de tweede en deels de derde generatie van cyberaanvallen, maar meer niet.” Statistisch gezien is de kans dan ook groot dat je een flinke inhaalbeweging te wachten staat wanneer je zo veilig mogelijk wil zijn. Dat kan wel eens dringender zijn dan je misschien denkt. De Europese GDPR-wetgeving verwacht van ieder bedrijf dat het persoonsgegevens op een voldoende veilige manier behandeld. Wie dan enkele generaties achterloopt met zijn bescherming, zal het moeilijk hebben om te verantwoorden dat hij of zij effectief als een goede huisvader heeft gehandeld.
De dreigingen van morgen
Het kat- en muisspel tussen cybercriminelen enerzijds, en beveiligingsexperts anderzijds, zal natuurlijk niet stoppen op de vijfde golf van malware. Het is nu al duidelijk waar de volgende grote veldslag zal plaats vinden: het Internet der Dingen (IoT). Avi Rembaum, VP voor Security Solutions bij Check Point, illustreert op de CPX-conferentie in Barcelona hoe de toekomst van cyberdreigingen er zal uitzien. “Volgens conservatieve schattingen zijn er tegen 2025 80 miljard toestellen verbonden met het internet”, weet hij. “Verregaande automatisering zal ons leven kleuren, maar dat maakt ons opnieuw kwetsbaar voor bedreigingen.”
Rembaum voorspelt dat het IoT beveiligd zal worden door een volledig nieuw securityproduct: nanosecurity. Denk daarbij aan kleine beveiligingsmodules die ingebouwd zitten in IoT-toestellen. Die stukjes veilige code hoeven niet complex te zijn. Als ze gewoon communiceren waar een bepaald toestel mee bezig is, kan een artificiële cloudintelligentie verbonden met duizenden gelijkaardige toestellen snel detecteren wanneer er een hacker aan het prutsen is met een toestel.
Vergezocht is dat niet. Het Mirai-botnet werd in 2016 nog gebruikt om een deel van het internet plat te leggen. Onder andere delen van Reddit, Netflix en Airbnb waren tijdelijk ontoegankelijk. Mirai misbruikte een grove kwetsbaarheid in het loginsysteem van tal van IoT-toestellen, en nam zo de controle van duizenden verbonden IP-camera’s en routers over.
Tijd voor actie
De steeds evoluerende malware heeft een steeds grotere impact. Bovendien zorgen steeds geavanceerdere tools ervoor dat het eenvoudiger dan ooit is om een krachtig virus op de wereld los te laten. Enterprises waren altijd al een doelwit, maar ook de KMO mag zich zorgen maken. “Wie zou ons nu hacken”, is een argument dat we al te vaak horen vanuit kleinere bedrijven. Het antwoord: iedereen. De KMO is doorgaans niet al te best beschermd en heeft veel minder alternatieven om het hoofd boven water te houden wanneer bijvoorbeeld pittige ransomware binnendringt. Bovendien is zo’n besmetting niet nieuwswaardig.
Losgeld betalen wordt zo plots heel aantrekkelijk, en dat is precies waar criminelen op uit zijn. Bovendien illustreerde de recentste cyberaanvallen dat de huidige cyberwapens ondanks hun kracht niet erg doelgericht zijn. Een aanval die het Oekraïense elektriciteitsnetwerk moet treffen, haalt zo ook servers en computers aan de andere kant van de wereld offline. Steeds meer waardevolle data, en een groeiend besef over het belang van die data, maken bovendien dat je meer digitale assets dan ooit te beschermen hebt. Paniek is nergens voor nodig, maar zeker met de GDPR voor de deur start je een grondige analyse van de staat van je beveiliging beter vandaag dan morgen.