De dreigingen van 2017 en de trends van 2018

De cijfers van het Security Operations Center van Fox-IT

De dreigingen van 2017 en de trends van 2018

Elke security expert kent Wanacry en NotPetya, maar wat was Bad Rabbit? En wanneer stak Panda Banker ook alweer de kop op? 2017 was een bewogen cyber jaar. Dat merkten de analisten van het Security Operations Center (SOC) van Fox-IT ook. 24/7 monitoren zij het dataverkeer van Fox-IT’s klanten. Welke aanvallen zagen zij het afgelopen jaar voorbij komen en wat zijn hun verwachtingen van 2018?

De cijfers van 2017

Het afgelopen jaar hebben de analisten 36.026 incidenten onderzocht, een flinke stijging ten opzichte van 2016 toen het SOC 25.406 incidenten onderzocht. De incidenten die zijn onderzocht, zijn heel divers. Het kan gaan om hackers die een systeem proberen aan te vallen via een webportal of hackers die een phising campagne opstarten. We zien niet alleen een stijging in het aantal incidenten, maar ook het gemiddeld aantal incidenten per klant neemt explosief toe.  Zij hadden in 2017 bijna 2,5 keer zoveel incidenten te verwerken ten opzichte van 2016.

  2016 2017
Onderzochte incidenten 25.406 36.026
Geëscaleerde incidenten 1.535 4.482
Gemiddeld aantal incidenten per klant 17,05 40,75

Die stijging is deels te verklaren door de aangepaste werkwijze van hackers. Aanvallers zijn technisch steeds slimmer en ontwikkelen efficiëntere methoden. Aanvallen gebeuren steeds vaker geautomatiseerd. Daarnaast past deze trend in het algemene beeld van de afgelopen jaren dat Cyber security steeds belangrijker wordt. Stijgende digitalisering betekent meer aanvallen.

Externe scan

Niet elk onderzocht incident wordt geëscaleerd naar de klant. Dat komt omdat bepaalde incidenten geen directe dreiging vormen. Een voorbeeld hiervan is een externe scan, die door hackers wordt ingezet om kwetsbaarheden te vinden. Dit doen hackers vaak geautomatiseerd, dus dergelijke scans zien de analisten van het SOC veelvuldig voorbij komen. Pas als een scan daadwerkelijk een kwetsbaarheid heeft gevonden, vormt dat een risico, wat ertoe leidt dat Fox-IT een incident aanmeldt bij de klant. Dit aanmelden van daadwerkelijke risicovolle incidenten is het afgelopen jaar 4.482 keer gebeurd. Ook hier zien we een flinke stijging ten opzichte van het vorige jaar.

Het risico van al die geëscaleerde meldingen varieert, zo zien we veel adware activiteiten die vooral vervelend zijn maar nog niet direct een risico vormen. Al kan adware wel weer gebruikt worden door hackers om een netwerk te infecteren. Sommige incidenten zijn veel gevaarlijker, denk dan bijvoorbeeld aan ransomware activiteiten die er op wijzen dat er hackers actief zijn binnen het netwerk van een klant.

Hack highlights

We zien steeds meer aanvallen die niet direct gericht zijn op een organisatie maar juist op leveranciers van software. Deze zogenaamde ‘Supply chain attacks’ kunnen zich razendsnel verspreiden middels bijvoorbeeld een software update.

Een andere variant die steeds vaker voorbij komt in het SOC is het gebruik van ransomware in combinatie met automatische verspreiding. Zogenoemde ransomware worms. Deze variant van ransomware kan andere pc’s infecteren zonder directe interactie van de hacker.

Een overzicht van 2017: Alle onderzochte incidenten versus de incidenten die zijn gemeld aan klanten.

 

Naast de bekende ransomware-aanvallen Wanacry en NotPetya, was 2017 ook het jaar van:

  • De CCleaner hack. De CCleaner software wordt door veel mensen gebruikt om de snelheid van hun computer te optimalizeren. In September 2017 kwam er een nieuwe update van CCleaner beschikbaar welke besmet bleek te zijn met malware. De besmette software verspreidde zich via de update onder alle gebruikers.
  • Bad Rabbit. Bad Rabbit deed zich via gehackte website voor als een update voor Flash Player. Eenmaal binnen op 1 machine binnen een netwerk verspreidde de malware zich razendsnel door het hergebruiken van de wachtwoorden van de geinfecteerde gebruikers.
  • Zeus Panda banking malware. Deze phishing campagne maakte rondom de feestdagen van 2017 gebruik van neppe PostNL e-mails. Ze richtten zich op klanten die online betalingen deden, om zo consumenten geld afhandig te maken.

Voorspellingen voor 2018

  • Populariteit en waarde van de cryptomarkt zorgt dat hackers zich ook in steeds grotere mate op deze markt storten. Ze richten zich zowel op de crypto exchanges als op de individuele wallets.
  • Cloud technologie wordt steeds populairder, daarmee dus ook interessanter voor hackers. Veel organisaties zijn zonder het te weten kwetsbaar via hun online mailsysteem, waar lang niet iedereen 2 factor authenticatie gebruikt. Denk hierbij bijvoorbeeld aan aanvallen op Office365.
  • De CEO fraude e-mails zijn nog steeds populair; een mail gericht aan bijvoorbeeld aan een finance medewerker waarin de CEO vraagt een bedrag over te maken naar een bepaalde rekening. De aanvaller stuurt deze mail vanuit de CEO (spoofing) maar past het rekeningnummer aan.
  • Aanvallers gebruiken de tools die al beschikbaar zijn op een pc of netwerk. Dat vraagt van organisaties dat ze weten welke tools en gedragingen normaal zijn en welke niet. Hiervoor is het monitoren van netwerken en endpoints steeds belangrijker.
  • De cyber security awareness word steeds hoger. Er komen meer opleidingen en daarmee meer cyber security professionals. Ook de markt past zich steeds meer aan op de cyber security dreigingen, zo verwachten we dat steeds meer organisaties een cyber security verzekering gaan afsluiten. Meer awareness zal ook zorgen voor meer transparantie. De GDPR wetgeving zal daar zeker aan bijdragen.
  • Machine learning wordt steeds relevanter. Organisaties ontvangen vaak zoveel meldingen dat het onmogelijk is om overal zelf onderzoek op te kunnen doen. Machine learning filtert al die informatie tot alleen de relevante meldingen, waardoor analisten alleen de echte highlights hoeven te bekijken. Het geautomatiseerd kunnen filteren zal een steeds grotere rol gaan spelen.

Over het SOC van Fox-IT

In het Security Operations Center van Fox-IT is een team cyberexperts constant op zoek naar dreigingen. Dit doen ze voor de klanten van Fox. Klanten hebben een of meerdere fysieke sensoren in hun netwerk, die ‘afgaan’ op het moment dat er verdacht verkeer wordt gesignaleerd. De sensoren bepalen dat op basis van intelligente regels, welke worden geschreven door security experts en onderzoekers bij Fox-IT. Op het moment dat een sensor bepaald verkeer verdacht vindt, starten onze cyberexperts een onderzoek. Als na onderzoek blijkt dat er echt iets aan de hand is wordt de klant geïnformeerd zodat deze direct actie kan ondernemen.

Wilt u grip op uw informatiebeveiliging? Bekijk onze Managed Security Services pagina om te ontdekken wat Fox-IT’s Security Operations Center voor u kan doen.

Nu bij Fox-IT

Neem contact op

+31 (0) 15 284 79 99

fox@fox-it.com

Delft