Malware blijkt steeds doelgerichter en korter van duur zijn, waardoor het steeds lastiger wordt om op te sporen. Dat schrijft IronPort Systems, leverancier van spam-, virus en spywareoplossingen en onderdeel van Cisco, in zijn 2008 Internet Security Trends Rapport. In dit rapport berschrijft IronPort de belangrijkste actuele beveiligingstrends.
Het rapport toont aan dat spam, virussen en malwareaanvallen veel geld kosten. Een gemiddelde computergebruiker spendeert vijf tot tien minuten per dag aan spam. De kosten voor het verwijderen van spam worden geschat op ongeveer 316 euro per computer. Gegevensverlies kost echter nog veel meer geld. Uit het IronPort-rapport blijkt dat van ongeveer zestig miljoen mensen in de afgelopen dertien maanden persoonlijke gegevens op een of andere manier in gevaar zijn gebracht. Daarnaast is wereldwijd circa 12,7 miljard euro besteed aan de gevolgen van securityproblemen en het verlies aan productiviteit. Meer dan zestig procent van de bedrijfsgegevens is opgeslagen op onbeveiligde pc’s of laptops, stelt IronPort. Bovendien heeft 48 procent van de organisaties geen beleid voor het waarschuwen van klanten als hun persoonlijke gegevens in gevaar zijn.
Sociale malware
Moderne malware maakt gebruik van de kenmerken van sociale netwerken en Web 2.0. De huidige malware (zoals de ‘Storm’ Trojan) werkt met elkaar samen, past zich op elkaar aan, is peer-to-peer en is intelligent. De malware blijft buiten zicht, het bevindt zich op pc’s van bedrijven of particulieren voor maanden of zelfs jaren. De nieuwe varianten van Trojanen en malware zullen echter in hoge mate doelgericht en kort van duur zijn, voorspelt IronPort. Hierdoor zijn ze nog lastiger op te sporen. Bedrijven staan daarom onder een enorme druk om de integriteit te verzekeren van gevoelige informatie zoals nummers van credit cards, informatie over bedrijfsinkomsten of nieuwe productplannen. De makers van malware bouwen geraffineerde peer-to-peer netwerken, die zijn ontworpen om deze data binnen te halen. Tegelijkertijd wordt het steeds moeilijker om de malware op te sporen en te stoppen. IT-beveiligingsteams moeten daarom stappen ondernemen. Zo dienen zij het malware-verkeer te meten in hun eigen bedrijfsnetwerk en een uitgebreid beveiligingssysteem in gebruik te nemen die geavanceerde technieken bevat zoals netwerkgebaseerde gevarenopsporing en toegangsbeheer.
Statistieken
De algemene trends voor spam en malware kunnen worden gekarakteriseerd door een groot aantal doelgerichte, onzichtbare en geraffineerde aanvallen. Specifieke bevindingen uit het IronPort-rapport zijn:
- Het volume van spam is met ruim honderd procent verhoogd tot meer dan 120 miljard spamberichten per dag. Dit komt neer op twintig spamberichten per dag per persoon wereldwijd. De metingen van IronPort laten zien dat zakelijke gebruikers tussen de honderd en duizend spamberichten per dag ontvangen.
- Spam is steeds minder gericht op het verkopen van producten en meer op het groeien van spamnetwerken. Voorheen waren spamaanvallen primair gericht op het verkopen van producten zoals geneesmiddelen en hypotheken. De huidige spam bevat een toegenomen aantal links die verwijzen naar websites die malware distribueren. Deze malware is vaak ontworpen om de grootte en schaal van het oorspronkelijk gebruikte botnet verder te vergroten. IronPort’s Threat Operations Center heeft in 2007 een verhoging van 253 procent opgemerkt in deze zogenaamde dirty spam. Dit bewijst nogmaals de trend dat malware-schrijvers zowel e-mail als webtechnologie gebruiken.
- Virussen zijn steeds minder zichtbaar, maar stijgen wel in aantal. Virus-schrijvers hebben zich steeds verder ontwikkeld sinds de voorgaande aanvallen die massaal werden gedistribueerd, zoals ‘Netsky’ en ‘Bagel’. In 2007 bestaan virussen uit meerdere verschijningsvormen en zijn ze verbonden aan de sterke toename van zeer geavanceerde botnets zoals ‘Feebs’ en ‘Storm’. In slechts een week spoorde het IronPort Threat Operation Center meer dan zes varianten van het Feebs-virus op. Deze varianten verspreidden zichzelf exponentieel voordat signatures konden worden aangemaakt.
- De duur van een afzonderlijke aanvalstechniek is substantieel afgenomen. In de voorgaande jaren gebruikten spammers een bepaalde techniek maandenlang, zoals het gebruik van ingesloten illustraties. Meer recente technieken, bijvoorbeeld MP3-spam, gaan slechts drie dagen mee. In 2006 werd bij spam voornamelijk gebruik gemaakt van illustraties. In 2007 ontdekte IronPort meer dan twintig verschillende typen van bijlagen die werden gebruikt in een reeks van kortdurende aanvaltechnieken.
Geen amateurwerk meer
‘Het jaar 2007 heeft voor een ommekeer gezorgd. Net op het moment dat het ontwerpen van malware een hoogtepunt lijkt te hebben bereikt, ontstaan er weer allerlei nieuwe aanvaltechnieken. Sommige hiervan zijn zeer complex en zijn duidelijk niet het werk van beginners. Deze aanvallen kunnen alleen met geavanceerde research en development worden tegengehouden’, zegt Kris van den Bergh, regional manager Benelux van IronPort. ‘Een tijd lang zijn goed werkende beveiligingsmaatregelen ontworpen voor het tegengaan van malware. Maar als gevolg van het succes van die oplossingen zijn veel van de gebruikte verspreidingstechnieken onlangs veranderd. In 2007 heeft veel malware een belangrijke aanpassing ondergaan. Malware wordt steeds vaker verborgen gehouden en de geraffineerdheid hiervan is aanzienlijk verhoogd.’
Het 2008 Internet Security Trends Rapport van IronPort is te vinden op: