Slechts 42 procent van cybersecurity professionals wisselt dreigingsinformatie uit
24 maart 2016 -
Het nieuwe McAfee Labs Threats Report March 2016 bevat de resultaten van een onderzoek onder 500 securityprofessionals naar hun mening over het uitwisselen van dreigingsinformatie (‘cyber threat intelligence’; CTI). Hieronder vindt u de belangrijkste uitkomsten van dit onderrzoek.
Waarde en gebruik – van de 42 procent van de respondenten die aangaven gebruik te maken van gedeelde dreigingsinformatie, zegt 97 procent dat dit bijdraagt aan een betere beveiliging van hun organisatie. 59 procent vindt het gebruik van gedeelde dreigingsinformatie ‘zeer waardevol’ voor hun organisatie, terwijl het volgens 38 procent ‘enigszins waardevol’ is.
Sector-specifieke dreigingsinformatie – bijna alle respondenten (91 procent) gaf toen aan geïnteresseerd te zijn in sector-specifieke dreigingsinformatie. 54 procent was ‘zeer geïnteresseerd’ en 37 procent ‘enigszins geïnteresseerd’. Met name sectoren zoals financiële dienstverlening en vitale infrastructuur kunnen profiteren van dergelijke sector-specifieke dreigingsinformatie. Dit omdat de cyberdreigingen waar deze organisaties aan blootstaan zeer gespecialiseerd zijn, zo blijkt uit observaties door McAfee Labs.
Bereidheid om dreigingsinformatie uit te wisselen – 63 procent van de respondenten liet weten bereid te zijn om niet alleen gebruik te maken van dreigingsinformatie die door anderen wordt gedeeld, maar ook zelf informatie over dreigingen te delen. Voorwaarde is wel dat dit gebeurt via een afgeschermd, veilig platform. Het enthousiasme voor het delen van eigen dreigingsinformatie verschilt echter, van respondenten die aangeven ’zeer bereid’ te zijn om informatie te delen (24 procent), tot een groep die daartoe ‘enigszins bereid’ is (39 procent).
Welke informatie delen? – gevraagd naar wat voor informatie men bereid is te delen met anderen, geven de meesten (72 procent) aan informatie over malware te willen uitwisselen, gevolgd door reputatie-informatie over URLs (58 procent), reputatie-informatie over externe IP-adressen (54 procent), reputatie-informatie over beveiligingscertificaten (43 procent) en reputatie-informatie over bestanden (37 procent).
Obstakels voor het gebruik en delen van dreigingsinformatie – gevraagd naar waarom zij binnen hun organisatie nog geen gebruik maken van Cyber Threat Intelligence, noemt 54 procent het bedrijfsbeleid als de belangrijkste reden. 24 procent van de respondenten die nog geen dreigingsinformatie uitwisselen, is wel geïnteresseerd maar wil eerst weten wat er met deze informatie gebeurt. 21 procent is bezorgd dat gedeelde informatie op de een of andere manier herleid kan worden naar hun organisatie of naar personen binnen de organisatie. Deze uitkomsten wijzen op een gebrek aan kennis over of ervaring met de verschillende opties voor Cyber Threat Intelligence. Ook zou er meer voorlichting moeten komen over de juridische implicaties van het delen van dreigingsinformatie.
"Als we zien hoe vastberaden en slim cybercriminelen zijn, kan het uitwisselen van informatie over dreigingen een belangrijk middel zijn om de verdedigers een voordeel te verschaffen in cybersecurity," zegt Wim van Campen, VP Noord- en Oost-Europa voor Intel Security. "Ons onderzoek wijst echter uit dat daarvoor nog wel de nodige obstakels overwonnen moeten worden, onder andere op het gebied van bedrijfsbeleid, aansprakelijkheidsrisico’s, regelgeving en het gebrek aan kennis over de implementatiemogelijkheden voor CTI."
RAT
Het nieuwe kwartaalrapport van McAfee Labs onderzoekt tevens de Adwind remote administration tool (RAT). Dit is een op Java gebaseerde Trojan. Adwind verspreidt zich over het algemeen via spamcampagnes met besmette e-mail bijlagen, besmette webpagina’s en drive-by downloads. Het rapport laat een toename zien van maar liefst 486 procent in het aantal .jar-bestanden dat McAfee Labs identificeert als Adwind: van 1.388 in Q1 2015 tot 7.295 in Q4 2015.
Overige cijfers over Q4 2015
Nederland in top vier van landen met de meeste botnet control servers – met 4,9 procent van het totaal staat Nederland op de vierde plaats van landen waar de meeste botnet control servers draaien. In Q2 en Q3 stond Nederland op dit gebied nog op een zesde plaats. Veruit bovenaan in Q4 staat de VS (32,4 procent), gevolgd door Duitsland (7,9 procent) en Rusland (5,0 procent).
Hoeveelheid nieuwe ransomware neemt weer sneller toe – na een lichte vertraging halverwege 2015, zag McAfee Labs in Q4 een sterke toename (26 procent) in het aantal nieuwe ransomware-varianten. Open source ransomware code en ransomware-as-a-service maken het steeds makkelijker om aanvallen uit te voeren. De Teslacrypt- en CryptoWall 3-campagnes blijven zich uitbreiden en ransomwarecampagnes blijven lucratief. Een analyse van CryptoWall 3 uit oktober 2015 gaf een indicatie van financiële schaalgrootte van dergelijke campagnes, toen onderzoekers van McAfee Labs de activiteiten van slechts één campagne wisten te koppelen aan 325 miljoen dollar aan betalingen van ‘losgeld’ door slachtoffers.
Scherpe groei mobiele malware – in het vierde kwartaal van 2015 werd maar liefst 72 procent meer nieuwe mobiele malware gedetecteerd dan in Q3. Dit wijst erop dat de auteurs van mobiele malware in staat zijn om sneller nieuwe malware te ontwikkelen.
Markt voor rootkit malware stort in – het aantal nieuwe rootkit-varianten is opnieuw in Q4 sterk afgenomen. Een deel van deze daling – die in Q3 2011 werd ingezet – is volgens McAfee Labs het gevolg van het feit dat steeds meer klanten PC’s met 64-bit Intel-processors gebruiken, in combinatie met een 64-bit versie van Windows. Deze technologieën bevatten functies zoals Kernel Patch Protection en Secure Boot, die betere bescherming bieden tegen rootkit malware.
Stijging hoeveelheid nieuwe malware – in Q4 is, voor het eerst in drie kwartalen, de hoeveelheid nieuwe malware-varianten weer gestegen. Er werden 42 miljoen nieuwe malware-samples gedetecteerd door McAfee Labs, een stijging van tien procent ten opzichte van Q3, waarmee het de op één na sterkste stijging is die tot nu toe door McAfee Labs is waargenomen. Een deel van deze toename is het gevolg van 2,3 miljoen nieuwe varianten van mobiele malware, een miljoen meer dan in Q3.
Afname van kwaadaardige gesigneerde binaries – het aantal nieuwe binaire bestanden dat is voorzien van een beveiligingscertificaat is in ieder kwartaal van 2015 afgenomen. In Q4 werd het laagste niveau bereikt sinds Q2 2013. McAfee Labs denkt dat dit deels het gevolg is van oudere beveiligingscertificaten die inmiddels zijn verlopen of worden ingetrokken. Daarnaast helpen technologieën zoals Smart Screen (onderdeel van Microsoft Internet Explorer maar komt ook naar andere delen van Windows), die additionele tests uitvoeren op de betrouwbaarheid van binaire bestanden. Dit alles maakt het gebruik van beveiligingscertificaten minder aantrekkelijk voor malwareauteurs.
