Column


Non-malware:

De grootste uitdaging in 2018?

De baan van een CIO of CISO is nog nooit zo lastig geweest als op dit moment. De groei en ontwikkeling van bestaande dreigingen vergen nu al veel aandacht van hun team. En dan hebben we het nog niet eens over nieuwe aanvalsvectoren, zoals aanvallen waarbij geen gebruik meer wordt gemaakt van malware. Deze zogenoemde non-malware-aanvallen vormen een steeds groter probleem voor organisaties.

Door Eric O’Neill

Hackers gebruiken non-malware steeds vaker om niet gedetecteerd te worden en zich zo ongezien lange tijd binnen de omgeving van het ‘doel’ te kunnen bewegen. Met deze aanvallen zijn ze in staat om de controle te krijgen over systemen zonder dat er additionele kwaadaardige bestanden gedownload dienen te worden. Ze misbruiken vertrouwde systeemtools (zoals PowerShell) en applicaties die vanuit het geheugen exploits kunnen draaien, zoals webbrowsers en Office-applicaties.

Dergelijke aanvallen zijn niet te detecteren als je zoekt naar kwaadaardige bestanden binnen je omgeving. Het gros van de beschikbare securitytools op de markt richt zich echter volledig op het tegenhouden van malware. Non-malware-aanvallen glippen derhalve dwars door alle genomen maatregelen heen. Daarnaast stelt een non-malware-aanval de aanvaller in staat om extreem gevaarlijke handelingen te verrichten zoals het stelen van data en credentials en het bespioneren van de IT-omgeving.

Veel meer zware aanvallen
Het aantal non-malware-aanvallen groeide al sterk in 2016. In het vierde kwartaal van 2016 zagen Carbon Black-klanten 33 procent meer zware non-malware-aanvallen dan in het eerste kwartaal van dat jaar. Een non-malware-aanval wordt als zwaar geclassificeerd bij het gebruik van verdachte command lines, het aanleveren van executabele code aan PowerShell en/of het demonstreren van verdacht gedrag of verdachte technieken, zoals het injecteren van code door legitieme processen in andere processen, waar dit zeer zeker niet gebruikelijk is. Wederom een demonstratie van het gevaar en risico dat deze aanvalsvector met zich meedraagt.

Deze aanvalsvector richt zich niet op specifieke industrieën. Alle CIO’s en CISO’s zullen alert moeten zijn op het gevaar van non-malware-aanvallen, onafhankelijk van het type organisatie waar zij voor werken, zonder hierbij de aanvallen waarbij wél gebruik wordt gemaakt van malware uit het oog te verliezen. Zo hebben we ransomware geïdentificeerd als de snelst groeiende vorm van malware binnen alle industrieën, waarbij technologiebedrijven, energie- en utilitybedrijven en de financiële sector het hardst geraakt worden, zeker indien we dit vergelijken met voorgaande jaren.

Illustratief voor dit punt is het feit dat het aantal ransomware-aanvallen specifiek gericht op technologiebedrijven gegroeid is met 218 procent, waar dit 112 procent is voor energie- en utilitybedrijven en 93 procent voor banken en financiële bedrijven. Interessant feit is dat de banking- en finance-industrie in het algemeen niet uitgebreid is aangevallen door hackers, aangezien deze industrie goed is voor ongeveer 3,1 procent van alle ransomware-aanvallen in 2016. De maakindustrie was het voornaamste doelwit: 16 procent van alle ransomware-aanvallen was gericht op deze industrie.

Aandacht voor non-malware
Carbon Black ziet dat het aandeel van non-malware-aanvallen dit jaar is gegroeid naar maar liefst 53 procent. Op basis van onderzoek kunnen we stellen dat een derde van alle organisaties in de komende 90 dagen te maken krijgt met ten minste één non-malware-aanval. Het is kortom duidelijk dat non-malware een groeiende bedreiging vormt.

De toename van het aantal non-malware-aanvallen heeft derhalve de aandacht nodig van CIO’s en CISO’s en hun securityteams. De opkomst van non-malware als een specifieke aanvalsvorm kan zeker betekenen dat dit een van de grootste uitdagingen voor de CIO en CISO wordt in 2018. Zeer zorgvuldige controle en monitoring door securityteams is nu meer dan ooit ontzettend belangrijk. CIO’s en CISO’s moeten de juiste tools in handen hebben of krijgen om te kunnen monitoren op deze geavanceerde bedreigingen, maar ook het personeel trainen om de risico’s voor de organisatie zoveel als mogelijk te beperken. Zonder de juiste tools wordt het erg lastig deze aanvallen te weren.

Carbon Black biedt organisaties bij uitstek de mogelijkheid deze problemen het hoofd te bieden, door gebruik te maken van geavanceerde technieken zoals machine learning en streaming prevention. Door te kijken naar tools, tactieken en procedures die gebruikt worden bij deze aanvallen, kunnen deze in een vroegtijdig stadium worden herkend en gestopt worden voordat er schade is aangericht. Feitelijk leren de oplossing en het securityteam op deze manier van elke aanval. Hierdoor wordt uw verdediging iedere keer robuuster.


Eric O’ Neill is internationaal Security Strategist bij Carbon Black.

Dit artikel is eerder verschenen in Motivator Magazine, najaar 2017.

Lees meer over