Explosieve toename non-malware-aanvallen
Een non-malware-aanval onderscheidt zich van een malware-aanval doordat er geen gebruik wordt gemaakt van bestanden. Waar malware een systeem infiltreert door kwaadaardige bestanden te plaatsen, draait een non-malware-aanval om het infiltreren via al aanwezige toepassingen en geautoriseerde protocollen.
Een praktisch voorbeeld: een gebruiker klikt via een spambericht naar een website in zijn Firefox-browser. Op deze pagina wordt Flash geladen. Flash activeert PowerShell, een OS-toepassing die op iedere Windows-machine draait, en stuurt hierin opdrachtregels. Via deze code wordt de server geïnfiltreerd en een kwaadaardig PowerShell-script geplaatst waarmee gevoelige data worden gezocht en gestuurd naar de aanvaller. Zonder dat er een bestand is gedownload, worden er zo data gestolen.
Alarmbellen
Het lastige aan het signaleren en stoppen van een non-malware-attack is dat de huidige generatie antivirus niet goed voorbereid is op een dergelijke vorm van cyberbedreiging. Omdat de aanval verloopt via vertrouwde toepassingen gaan er geen alarmbellen af. Traditionele antivirus is namelijk ontworpen om te focussen op de installatie van kwaadaardige software. Voor aanvallen die buiten dat stramien plaatsvinden, heeft hedendaagse antivirussoftware een blinde vlek. Meestal wordt de aanval pas in een laat stadium opgemerkt en vaak is het kwaad dan al geschied.
Ook daarom neemt het aantal non-malware-aanvallen zo enorm toe: het werkt. Zonder de juiste monitoring zijn dergelijke attacks vrijwel onzichtbaar voor securityteams. Non-malware wordt dan ook steeds meer een prioriteit voor securityprofessionals. Drie elementen zijn daarbij belangrijk.
1. Monitoring
Om een non-malware-aanval te stoppen, moet je hem allereerst signaleren. Securityprofessionals en afdelingen doen er dus goed aan om dit proces te verbeteren. Met de juiste security-oplossing zijn ze verzekerd van een zorgvuldige monitoring.
2. Snelheid
Een aanval signaleren is één, snel actie (kunnen) ondernemen is een tweede. Een security-oplossing moet dus snel in actie kunnen komen, zonder dat hier bijvoorbeeld ingewikkelde protocollen voor nodig zijn. Bij een cyberaanval is iedere seconde vertraging immers een seconde te veel.
3. Verbanden leggen
Een security-oplossing moet niet alleen kijken naar incidenten, maar juist focussen op de correlatie tussen verschillende incidenten. Door verbanden te leggen kan zo sneller worden achterhaald of er een poging wordt gedaan tot een cyberaanval. In het eerder genoemde voorbeeld zal de combinatie van het gebruik van een browser, het opstarten van Flash en het activeren van PowerShell ervoor zorgen dat de alarmbellen afgaan en de aanval wordt gestopt voordat de aanvaller zijn doel heeft bereikt.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee