Security-teams zitten volop in de voorbereiding op het nieuwe jaar. Daarom blikt Proofpoint terug en doet het een aantal voorspellingen over hoe cybercriminelen hun strategieën in 2021 zullen aanpassen. Maar het bedrijf legt ook uit hoe security-teams in Nederland en België daarop kunnen reageren. In maart 2020 werden organisaties gedwongen om massaal over te gaan naar het werken op afstand. Tegelijkertijd moesten zij de bedrijfscontinuïteit waarborgen en kregen ze te maken met pandemie-gerelateerde cyberdreigingen. Met het oog op 2021 is het belangrijk om te bepalen in hoeverre security-teams hun strategieën moeten aanpassen nu het dreigingslandschap steeds meer verandert.
Hieronder staan de belangrijkste trends die Proofpoint-experts Ryan Kalember, EVP, Cybersecurity Strategy en Andy Rose, Resident CISO, EMEA, verwachten nu we het nieuwe decennium ingaan:
1: Ransomware zal gericht zijn op cloud-opslag (niet alleen OneDrive en SharePoint, maar ook S3 en Azure).
Ransomware blijft CISO's slapeloze nachten bezorgen. Als bewezen verdienmodel voor cybercriminelen was het slechts een kwestie van tijd voordat grote ransomware-criminelen nieuwe methoden ontwikkelden, met name door te dreigen met het lekken van gestolen informatie. In 2021, als gevolg van de snelle overgang naar cloud-diensten (door de COVID-19 pandemie) verwacht Proofpoint dat ransomware-aanvallen ook in de richting van de cloud zullen bewegen. Veel bedrijven hebben een groot deel van hun gevoelige data ondergebracht in externe, cloud-gebaseerde opslagplaatsen. En deze data-opslagplaatsen zijn vaak niet dusdanig goed beveiligd of er ontbreken back-ups zodat aanvallers deze kunnen versleutelen. In 2021 kunnen security-professionals verwachten dat ransomware zich steeds meer richt op cloud-opslag om de impact te maximaliseren en de druk om te betalen te vergroten
2: Malware zal afhankelijk blijven van menselijke interactie (niet van technische kwetsbaarheden) en 'living off the land'-aanvallen.
Het overgrote deel van de cyberaanvallen begint via e-mail. En vrijwel 100% van de malware is om te slagen afhankelijk van de actie van een gebruiker. Aanvallers snappen dat andere manieren om in te breken (zoals via niet-gepatchte VPN-gateways) mogelijk zijn, maar veel moeilijker. Dit komt door het goede werk dat security-professionals in de loop der jaren hebben verricht. Maar ook door een tekort aan nuttige kwetsbaarheden in systemen die met het internet zijn verbonden. Als gevolg daarvan hebben cybercriminelen hun aanvallen gericht op kwetsbare eindgebruikers. Hierbij proberen ze hen ervan te overtuigen om een bepaalde actie uit te voeren zodat het systeem kan worden binnengedrongen.
Verder verwacht Proofpoint dat er geen verandering zal zijn op het gebied van 'fileless malware' voor criminele activiteiten na een geslaagde aanval. In plaats daarvan is de verwachting dat aanvallers LOLBins en LOLScripts ("Living off the land Binaries/Scripts") blijven gebruiken om systemen schade toe te brengen en gegevens te stelen/beschadigen. Het is cruciaal dat bedrijven proberen het gebruik van deze LOLBins op te sporen en te voorkomen. Dit kunnen zij doen door aanvallen te stoppen en er zo voor te zorgen dat aanvallers geen toegang tot systemen krijgen.
3: De groei van BEC neemt af, maar blijft de grootste schadepost
Business Email Compromise (BEC) is nu al een groot probleem, maar zal nog erger worden. BEC-fraude, jaarlijks goed voor miljarden dollars aan schade, is verantwoordelijk voor het merendeel van de schadeclaims van cyberverzekeringen. Het zijn relatief makkelijke aanvallen, dus blijven ze aantrekkelijk voor cybercriminelen. Als gevolg daarvan zullen aanvallers vermoedelijk hun winstpotentieel en succespercentage verhogen door extra moeite te doen om beslag te leggen op een gebruikersaccount en zich voor te doen als een legitieme gebruiker. De FBI heeft eerder al laten weten dat de meeste cybercrime-kosten toe te schrijven zijn aan BEC. Nu BEC-aanvallers hun toolsets uitbreiden om cloud-accounts aan te vallen en zich voor te doen als leveranciers en verkopers van organisaties, zal het een uitdaging zijn om ze tegen te houden.
4: Er zullen meer technieken ontstaan om MFA te omzeilen, die misbruik maken van cloud-rechten en trust-mechanismes (bijv. OAuth, SAML, etc.).
Hoewel multifactor-authenticatie (MFA) over het algemeen wordt gezien als de beste bescherming voor zakelijke systemen, is het geen wondermiddel. Aanvallers hebben ingezien dat MFA een belangrijk obstakel is en hebben mechanismen bedacht om het te omzeilen door gebruik te maken van oudere protocollen (zoals de bypass die onze onderzoekers onlangs hebben gevonden). Of door nieuwe aanvalstypes te ontwikkelen en MFA zo volledig te ontwijken (zoals OAuth-phishing). Dit is een trend die naar verwachting zal toenemen tot 2021, vooral door de meer geavanceerde cybercriminelen.
5: Steeds meer beveiligingstools zullen gebruikmaken van automatisering.
Het tekort aan security-talent is al jaren zorgwekkend. CISO's worstelen om hun team op peil en bij elkaar te houden voor een langere periode. De enige manier waarop security-teams kunnen overleven is door onderdelen van hun werk te automatiseren. Hierbij kan worden gedacht aan administratie rondom joiners/movers/leavers, firewall-beheertaken, het ontwikkelen van metrics, SOC-waarschuwingen en triage, DLP-onderzoek en nog veel meer. Tot nu toe werd voornamelijk geautomatiseerd door extra tools aan te schaffen of als toevoeging op bestaande diensten van leveranciers. Proofpoint verwacht dat dit in 2021 zal veranderen, aangezien automatisering meer een standaardfunctie wordt voor de meeste zakelijke security-tools. En voor veel CISO's kan dit niet snel genoeg gebeuren.
6: Er komt meer budget vrij voor security naarmate het coronavirus onder controle komt, maar personeelsbezetting blijft een uitdaging (ondanks mogelijkheden om flexibel of op afstand te werken).
Voor veel organisaties zijn de middelen tijdens de pandemie beperkt geweest. Dit geldt ook voor de uitgaven op het gebied van security. Proofpoint is optimistisch dat de situatie in 2021 weer normaal wordt en dit komt waarschijnlijk tot uiting in de security-budgetten. Deze keren terug op het verwachte niveau. CISO's blijven waarschijnlijk echter worstelen met het werven van personeel voor hun steeds groter wordende teams. Voornamelijk omdat het salarisprobleem zal blijven bestaan. Als gevolg daarvan zullen veel kleinere, regionale bedrijven het talent dat ze misschien echt nodig hebben niet kunnen betalen. Zelfs nu ze kunnen putten uit de diverse talentenpool van werknemers die op afstand werken.
7: We zullen zien dat steeds meer cybercriminelen met elkaar samenwerken en met elkaar in contact komen om hun krachten te bundelen.
De drie meest gebruikte manieren om winst te maken voor cybercriminelen zijn BEC, Email Account Compromise (EAC) en ransomware. Veel cybercriminelen die gespecialiseerd zijn in BEC en EAC houden zich vaak niet bezig met ransomware, ondanks dat ze hier wel de nodige toegang toe hebben. Zo maken cybercriminelen die zich richten op ransomware vaak geen gebruik van BEC- en EAC-aanvallen. De verwachting is dat dit in 2021 zal veranderen, omdat cybercriminelen steeds meer samenwerken om effectievere aanvallen te ontwikkelen en zo meer winst te maken. We kunnen bijvoorbeeld verwachten dat bedrijven worden uitgebuit door EAC-aanvallen en dat de toegang vervolgens wordt 'doorverkocht' aan een andere groep om ransomware te verspreiden. Of dat EAC-aanvallers zich doorontwikkelen en ransomwaretools die verkrijgbaar zijn, beginnen te gebruiken. Er moet ook rekening worden gehouden met meer geavanceerde BEC- en EAC-aanvallen.
Volgend jaar zal het ongetwijfeld een uitdaging blijven voor security-leiders. Echter, het gebruik van een mensgerichte strategie, die gebruikers beschermt op de belangrijkste kanalen die ze nodig hebben om te kunnen werken, zal helpen om succes te garanderen.
