Kleine ondernemingen in het vizier van de cybercrimineel

Vorige week publiceerde Bryan Krebs een artikel waarin hij citeerde uit het Symantec Intelligence-rapport van juni en sprak over de toename van het aantal cyberaanvallen op kleine ondernemingen. Zowel Kregs als Symantec bespreken dit onderwerp op zorgvuldige wijze. Bovendien worden hun conclusies worden gesteund door de gegevens die we de afgelopen jaren hebben verzameld. We duiden nu wat dieper in dit onderwerp en onderzoeken welke lessen we kunnen leren uit de aanvallen op kleine tot middelgrote ondernemingen.

Op welke manier we ook naar deze gegevens kijken, in alle gevallen luidt de conclusie dat het aantal aanvallen op kleine en middelgrote bedrijven de afgelopen jaren is toegenomen. Ook dit jaar wordt die trend niet doorbroken, er zijn de afgelopen maanden nog geen tekenen van sterke afwijkingen te zien. De eerste grafiek toont het totale percentage gegevenslekken. Sinds we in 2006 begonnen zijn met het analyseren van een kleine reeks van beveiligingsincidenten zien we dat het aantal incidenten de laatste jaren is gestagneerd en zelfs licht is afgenomen (met uitzondering van de midden en klein bedrijf). Als we de gegevens uitsplitsen en weergeven als een jaarlijks percentage van de beveiligingsincidenten (linksonder), blijkt dat de trend de in 2008 werd ingezet onverminderd aanhoudt.

In de tweede grafiek kunnen we twee trends ontdekken. De aanvallen lijken zich meer te concentreren op het midden en klein bedrijf waar ook een grote stijging waar te nemen is. Dit in tegenstelling tot de grote bedrijven waar het aantal aanvallen sterk aan het afnemen is. (De toename in 2011 voor “Meer dan 100.000” werknemers lijkt het gevolg te zijn van fysieke aanvallen op kaartlezers die door consumenten worden gebruikt). Een kleine kanttekening: omdat we naar een percentage van het totale aantal incidenten kijken, kunnen we er niet zomaar vanuit gaan dat het aantal gegevenslekken binnen grotere ondernemingen met dezelfde snelheid afneemt als hier wordt weergegeven. Aangezien we kijken naar een percentage van het totaal, kan een toename van het aantal incidenten binnen één categorie al snel de indruk wekken dat er sprake is van een afname binnen de andere categorieën. Als we dieper ingaan op de resultaten kunnen we concluderen dat het aantal aanvallen op grote ondernemingen weliswaar afneemt, maar dat is slechts een lichte daling in verhouding met de relatieve toename van het aantal aanvallen op kleinere bedrijven. Dit leidt tot een interessante observatie: aanvallers lijken hun grote doelwitten in te ruilen voor een groter aantal kleine slachtoffers. Met andere woorden, de trend lijkt erop te duiden dat cybercriminelen minder gegevens per incident stelen, maar dit compenseren door meer slachtoffers te maken. Bij kleinere bedrijven valt er immers minder te halen.

Wat voor aanvallen?

Als aanvallers minder gegevens per aanval stelen, maar hun pijlen op een steeds groter aantal bedrijven richten, zou je verwachten dat het aantal geautomatiseerde aanvallen toeneemt. We zien immers steeds meer headlines voorbij komen over Zeus en andere financieel gemotiveerde malware, maar wanneer we een framework zoals VERIS op de incidenten toepassen, krijgen we de hierboven afgebeelde uitsplitsing per aanvalscategorie te zien.

In 2011 en daarvoor zagen de (over het algemeen gemakkelijk uitvoerbare) aanvallen op bedrijven met minder dan 100 werknemers volgens de door ons geanalyseerde incidenten er grofweg als volgt uit: de aanvallers scannen (automatisch) op hosts die beheer op afstand mogelijk maakt via RDP (87%) en proberen (met behulp van speciale software) standaardwachtwoorden of eenvoudig te raden aanmeldingsgegevens uit (56% van alle incidenten). In sommige gevallen maken ze gebruik van eerder bemachtigde aanmeldingsgegevens (28%). Zodra de aanvallers zich toegang tot een systeem hebben verschaft, installeren ze malware (92%) met keylogger-functionaliteit (48%), de mogelijkheid om automatisch gegevens te verzenden (46%) en/of het vermogen om een backdoor te openen (35%).

Daarentegen moeten we ons over meer zaken zorgen over te maken dan alleen de simpele aanvalsmethoden. Als branche beschikken we namelijk over voldoende technische mogelijkheden om ons tegen standaardaanvallen te weren. Eerlijkheid gebied ons te zeggen dat de bedrijven die slachtoffer worden van dit type aanvallen geen deel uitmaken van het lezerspubliek van het weblog van Krebs, het rapport van Symantec of dit artikel. Met andere woorden, aan technische problemen ligt vaak een probleem op het gebied van bewustwording ten grondslag. Om iets aan dit tekort aan kennis te doen, stellen we in ons 2012 DBIR Report een aantal simpele aanbevelingen voor die gemakkelijk te implementeren zijn voor kleine bedrijven.

We realiseren ons dat de meeste kleine bedrijven geen deel uitmaken van de doelgroep van onze beveiligingsrapporten. Daarom boden we deze aanbevelingen aan in de vorm van een uitneembare lijst, in de hoop dat lezers deze onder de aandacht van de juiste mensen zouden brengen. De twee belangrijkste aanbevelingen waren: maak gebruik van wachtwoorden die moeilijk te raden zijn en pas een bepaalde mate van controle toe op de netwerktoegang (firewall) om directe toegang door aanvallers te voorkomen. Onze aanbevelingen hadden betrekking op point of sale-systemen en de beveiligingsincidenten die we in dat verband observeerden. De beste bescherming tegen malware, zoals Zeus, is echter om algemene computerbezigheden (surfen op internet, e-mailen enzovoort) te scheiden van financiële activiteiten (internetbankieren). Hiertoe kan gebruik worden gemaakt van een live-CD (een besturingssysteem dat is opgeslagen op een zelfstartende cd) zoals Krebs suggereert, of simpelweg van een computer die louter voor financiële aangelegenheden is bestemd. Maar zoals eerder gezegd is het bereiken van kleinere bedrijven om hen bewust te maken van het feit dat ze een steeds populairder doelwit vormen voor cybercriminelen waarschijnlijk de eerste hindernis die we moeten overwinnen om te voorkomen dat kleine bedrijven financiële schade als gevolg van dergelijke aanvallen ondervinden.

Deze blogpost is geschreven door: Kees Plas van Verizon Terremark.