Beheer

Security
Hacker

Explosieve toename non-malware-aanvallen

Zonder de juiste monitoring zijn non-malware-attacks onzichtbaar voor securityteams

© CC0 Public Domain HypnoArt
11 mei 2017

Het aantal non-malware-aanvallen neemt explosief toe. Inmiddels is al meer dan de helft van de digitale aanvallen een non-malware-attack. En onderzoek leert dat 93 procent van de securityprofessionals non-malware-attacks gevaarlijker vindt dan malware-aanvallen. Hoe komt dit? En wat kun je er als CIO aan doen?

Een non-malware-aanval onderscheidt zich van een malware-aanval doordat er geen gebruik wordt gemaakt van bestanden. Waar malware een systeem infiltreert door kwaadaardige bestanden te plaatsen, draait een non-malware-aanval om het infiltreren via al aanwezige toepassingen en geautoriseerde protocollen.

Een praktisch voorbeeld: een gebruiker klikt via een spambericht naar een website in zijn Firefox-browser. Op deze pagina wordt Flash geladen. Flash activeert PowerShell, een OS-toepassing die op iedere Windows-machine draait, en stuurt hierin opdrachtregels. Via deze code wordt de server geïnfiltreerd en een kwaadaardig PowerShell-script geplaatst waarmee gevoelige data worden gezocht en gestuurd naar de aanvaller. Zonder dat er een bestand is gedownload, worden er zo data gestolen.

Alarmbellen

Het lastige aan het signaleren en stoppen van een non-malware-attack is dat de huidige generatie antivirus niet goed voorbereid is op een dergelijke vorm van cyberbedreiging. Omdat de aanval verloopt via vertrouwde toepassingen gaan er geen alarmbellen af. Traditionele antivirus is namelijk ontworpen om te focussen op de installatie van kwaadaardige software. Voor aanvallen die buiten dat stramien plaatsvinden, heeft hedendaagse antivirussoftware een blinde vlek. Meestal wordt de aanval pas in een laat stadium opgemerkt en vaak is het kwaad dan al geschied.

Ook daarom neemt het aantal non-malware-aanvallen zo enorm toe: het werkt. Zonder de juiste monitoring zijn dergelijke attacks vrijwel onzichtbaar voor securityteams. Non-malware wordt dan ook steeds meer een prioriteit voor securityprofessionals. Drie elementen zijn daarbij belangrijk.

1. Monitoring

Om een non-malware-aanval te stoppen, moet je hem allereerst signaleren. Securityprofessionals en afdelingen doen er dus goed aan om dit proces te verbeteren. Met de juiste security-oplossing zijn ze verzekerd van een zorgvuldige monitoring.

2. Snelheid

Een aanval signaleren is één, snel actie (kunnen) ondernemen is een tweede. Een security-oplossing moet dus snel in actie kunnen komen, zonder dat hier bijvoorbeeld ingewikkelde protocollen voor nodig zijn. Bij een cyberaanval is iedere seconde vertraging immers een seconde te veel.

3. Verbanden leggen

Een security-oplossing moet niet alleen kijken naar incidenten, maar juist focussen op de correlatie tussen verschillende incidenten. Door verbanden te leggen kan zo sneller worden achterhaald of er een poging wordt gedaan tot een cyberaanval. In het eerder genoemde voorbeeld zal de combinatie van het gebruik van een browser, het opstarten van Flash en het activeren van PowerShell ervoor zorgen dat de alarmbellen afgaan en de aanval wordt gestopt voordat de aanvaller zijn doel heeft bereikt.

Reactie toevoegen