Het hoogtepunt van de virusstormen, malwarevloedgolven en soortgelijke voorpagina-ellende ligt alweer een paar jaar achter ons. Anna Kournikova bood ooit passende inspiratie voor een stukje softwarecreativiteit van vaderlandse bodem dat ons een poos bij de les hield en Slammer had de impact van een tsunami. Maar we zien steeds minder van dit soort onderhoudend nieuws. Het aantal SoBig-, NetSky-, Bagle- en MyDoom-variaties neemt ook al niet meer zoveel toe. Die oude tijden zijn kennelijk voorbij, maar waarom? Wat is er aan de hand?
Hebben de creatieven van weleer hun adolescente driften overwonnen en zitten ze massaal midden in de volgende levensfase, tussen zwangerschapsgymnastiek, luiers en flessenwarmers? Zouden onze beveiligingsinspanningen met firewalls en virusscanners gewoon ongekend effect hebben en komt er niets meer door? Of is de lol er misschien gewoon af en zijn er andere uitdagingen voor in de plaats gekomen?
Onze beveiliging is aantoonbaar verbeterd, de afgelopen jaren, maar er blijven toch ruim voldoende slecht beschermde netwerken en systemen over voor een heuse virusepidemie op zijn tijd. De securitypatches vliegen ons ondertussen om de oren. Dus dat is het niet. Wat is het dan wel? Het nieuws is dat de hacker-sector is gaan professionaliseren.
De kleine hacker-ego's van weleer hebben ontdekt dat er met hun talenten geld te verdienen is, veel geld. Het is de sterkste groeisector van de ict geworden. Schattingen lopen uiteen en dienen soms als bangmaker voor commerciële bijbedoelingen, maar zelfs conservatieven spreken van enkele honderden miljoenen*.
De sector kent de rolverdeling van een volwassen sector met schrijvers van malware, handelaren, exploitanten en witwassers, mét ketenaansprakelijkheid. Een inbraakklusje is zo geregeld (onder andere Israel 2006) met de juiste middelen. Het gaat daarbij niet meer om de nieuwswaarde maar om de verdiensten.
Belangrijkste doelwit is alle verhandelbare informatie, die opgeslagen is in jouw databases. Er wordt vooral gehandeld in creditcardgegevens (Kassa vs ING 2008) en andere persooninformatie, die dan wordt gebruikt om de bank te plunderen. Een andere stategie is het aanleggen van botnets voor gebruik als spam-verzenders of voor denial-of-service-chantage.
Het meest vervelende van deze moderne dreigingen voor jouw ict-infrastructuur is nog dat ze de media meestal niet meer halen. Dat komt mede omdat deze aanvallen onder de radar vliegen en dus niet opgemerkt worden zonder bijzondere inspanning. Vaak weet het slachtoffer pas na verloop van tijd dat hij geraakt is en wordt de schade opgemaakt.
Het monitoren van alle activiteiten op de belangrijke systemen en netwerken is ‘essentieel', óók de logs van de intrusion detection-systemen en databases, anders zal je het óók niet merken dat je ‘bezoek hebt. Maar wie heeft daar nu tijd voor of zin in? Of heeft de goede tooling daarvoor in huis?
Het kan interessant zijn monitoringdiensten uit te besteden aan een gespecialiseerde partij, die 7*24*365 werkt met goede mensen en tooling, gecertificeerde processen en scherpe afspraken. Dan vliegt er niet zomaar meer iets onder de radar door.
André Beerten
Solution Manager SOC
GlidePath
* FBI-report over cybercrime op www.ic3.gov/media/2008/080403.aspx
Heel actueel: www.securityfocus.com/brief/887
Eerder verschenen op www.channelweb.nl
