Symantec Internet Security Threat Report meldt toename blended threats, wormen en verheviging aanvallen

Leiden, 15 maart 2004 – Symantec (Nasdaq: SYMC), wereldwijd leider in internetbeveiliging, presenteert vandaag de nieuwste versie van het Internet Security Threat Report, de meest uitgebreide analyse van trends op het gebied van internetbedreigingen. In de zes Security Operations Centers en negen Response Labs van Symantec, monitoren en evalueren analisten beveiligingsdata, om zo een wereldwijd beeld te krijgen van het beveiligingslandschap. De resultaten zijn gebaseerd op anonieme data van klanten van Symantec Managed Security Services, en van gegevens afkomstig van ruim 20.000 wereldwijd aanwezige ‘sensoren’, die het netwerkverkeer in meer dan 180 landen controleren.
 
Het rapport onderzoekt hoe en waarom aanvallen sommige bedrijven zwaarder hebben getroffen dan andere, en hoe huidige trends de toekomstige bedreigingen beïnvloeden. Daarnaast biedt het rapport richtlijnen voor de beveiliging van bedrijven en consumenten. Het is de vijfde keer dat het rapport wordt uitgebracht.
 
In de eerste helft van 2003 stond Nederland op een achtste plaats van landen waar de meeste aanvallen vandaan komen. In de tweede helft van 2003 is Nederland gezakt naar een elfde plaats door opkomende landen als Australië en Taiwan. Net als voorheen waren systemen in de Verenigde Staten de grootste bron van aanvallen; in de tweede helft van 2003 was 58% van alle aanvallen afkomstig van systemen in de VS.
 
Hoofdpunten van het rapport
De stijging van blended threats* en van het aantal ernstige kwetsbaarheden in informatiesystemen, waaronder kwetsbaarheden in Windows-componenten, vormen een belangrijk beveiligingsprobleem voor bedrijven in het komende jaar. In de laatste zes maanden van 2003 waren 54% van de cyberaanvallen blended threats. Deze aanvallen konden meer schade aanrichten dan ooit daarvoor, vanwege hogere verspreidingssnelheden en grotere bandbreedte.
 
Een van de meest ‘succesvolle’ wormen, Blaster, maakte misbruik van een kwetsbaarheid in een component van het Windows besturingssysteem. Bedreigingen die misbruik maken van deze componenten verspreiden zich verder dan wormen die zich op applicatiesoftware richtten. Hierdoor zijn er meer systemen die gevoelig zijn voor de aanval.
 
Het aantal nieuwe kwetsbaarheden dat werd ontdekt, stabiliseerde. Maar de nieuwe kwetsbaarheden die werden ontdekt waren ernstiger wat betreft hun impact, mogelijkheid om op afstand te worden misbruikt, zonder authenticatie en beschikbaarheid. Daarbij komt dat de periode tussen de aankondiging van een kwetsbaarheid en de release van een exploit drastisch afneemt. Deze trends suggereren dat er een gevaar bestaat voor een ‘zero-day’-aanval. Deze bedreiging richt zich op kwetsbaarheden vóór ze worden aangekondigd en voor er patches beschikbaar zijn. Dit maakt het moeilijker om de aanval te bestrijden.

Trends in cyberaanvallen

• In de eerste helft van 2003, heeft slechts één op de zes geanalyseerde bedrijven een ernstige aanval gerapporteerd. In de tweede helft van 2003 rapporteerde de helft van de bedrijven een ernstige aanval. Deze stijging komt voor een groot deel doordat zich ernstiger wormen verspreiden, die de meest voorkomende bron van aanvallen vormen. Bovendien was eenderde van de aanvallen gericht op dezelfde kwetsbaarheid die werd geëxploiteerd door de Blaster-worm.
• Financiële instellingen, dienstverlening, de gezondheidszorg en energiebedrijven werden het hardst getroffen door ernstige aanvallen.
• Aanvallers maken vaker gebruik van ‘backdoors’** die daar zijn achtergelaten door andere aanvallers en wormen. Door gebruik te maken van zo’n backdoor, kunnen aanvallers hun eigen backdoor installeren of het geïnfecteerde systeem laten deelnemen aan een distributed denial of service aanval. (DdoS).

Deze trend zien we nu nog steeds. In januari 2004, verspreidde MyDoom zich met een vergelijkbare snelheid als die van Sobig.F. Geïnfecteerde systemen werden binnengedrongen via een backdoor en er werd een aanval uitgevoerd. Twee nieuwe wormen, Doomjuice en Deadhat, maakten vervolgens gebruik van de backdoor die werd ‘opengelaten’ door MyDoom.
 
Trends in kwetsbaarheden (vulnerabilities)

• In 2003 zijn er iets meer kwetsbaarheden ontdekt dan in 2002, met 2.636 gerapporteerde kwetsbaarheden in 2003, vergeleken met 2.587 in 2002. Dit komt neer op een gemiddelde van 7 kwetsbaarheden per dag.
• Kwetsbaarheden worden als matig of ernstig gecategoriseerd. Het aantal ‘matige’ kwetsbaarheden is gestegen met een gemiddelde van 98 per maand in 2002 naar een gemiddelde van 115 per maand in 2003. Daarbij komt ook dat 70 procent van het aantal kwetsbaarheden dat werd gevonden in 2003 werd gecategoriseerd als eenvoudig uit te buiten, vergeleken met 60 procent in 2002.
• De meerderheid van de kwetsbaarheden waar een exploit code voor nodig was, werd in 2002 en 2003 gecategoriseerd als ernstig, met 175 in 2002 en 213 in 2003. Het percentage kwetsbaarheden waarvoor de exploit code publiekelijk beschikbaar was, steeg met 5 procent. Het percentage kwetsbaarheden waarvoor geen speciale tools nodig waren om ze uit te buiten, steeg met 6 procent in 2003.
• Kwetsbaarheden in Microsoft Internet Explorer aan de client-kant, zijn fors aan het stijgen, van 20 in de eerste helft van 2003, tot 34 in de tweede helft van dat jaar, een stijging van 70 procent. Veel van deze kwetsbaarheden maakten het mogelijk voor aanvallers om systemen te infecteren van client-gebruikers die websites bezochten met kwaadaardige code. De voornaamste bron van zorg met betrekking tot deze trend is de marktdominantie van Internet Explorer.

Trends in kwaadaardige code

• Blended threats waren verantwoordelijk voor enkele van de meest belangrijke cyberaanvallen van het jaar, die zich voordeden in augustus. Toen had het internet te maken met 3 nieuwe wormen van Categorie 4 (op een schaal van 5), in slechts twaalf dagen. Deze wormen, Blaster, Welchia en Sobig.F, infecteerden miljoenen  computers wereldwijd, en richtten voor bijna 2 miljard dollar schade aan, volgens schattingen van Computer Economics.
• In de tweede helft van 2003, werden 2,5 keer meer Win32 virussen en wormen gerapporteerd dan in dezelfde periode in 2002. Van 678 in de eerste helft van 2002, naar 1.702 in de tweede periode van 2003. Hierbij zaten ook de aanvallen Blaster, Welchia, Sobig.F en Dumaru. Bij deze nieuwe bedreigingen zijn ook enkele nieuwe trends zichtbaar. Ten eerste is de tijd tussen de aankondiging en uitbuiting van een kwetsbaarheid afgenomen. Ten tweede maken hackers vaker gebruik van ‘packers’ om kwaadaardige code in te verbergen. ‘Packers’ comprimeren en encoderen Windows executable bestanden, waardoor het moeilijker is om de kwaadaardige code in deze bestanden te detecteren.
• Binnen de top tien kwaadaardige code, is het aantal mass-mailer wormen dat een eigen mail engine heeft met 61 procent toegenomen in de tweede helft van 2003 ten opzichte van de eerste helft. Doordat e-mails zich zelf versturen, zonder gebruik te maken van het e-mailsysteem van de gebruiker, zijn er weinig tekenen zichtbaar van een infectie. Antivirusprogramma’s die gebruikmaken van zogeheten heuristische detectie***, kunnen dit soort aanvallen tegenhouden.
• In de tweede helft van 2003 zijn het aantal bedreigingen op het gebied van privacy en vertrouwelijkheid het snelst gegroeid. Het aantal bedreigingen in de top tien kwaadaardige code is met 519 procent gestegen vergeleken met de eerste helft van het jaar. Terwijl bedreigingen voorheen de vertrouwelijkheid ondermijnden door willekeurige documenten te exporteren, richten nieuwe virussen en blended threats zich ook op wachtwoorden, decryptie-sleutels en vastgelegde toetsaanslagen.

Aanbevolen richtlijnen
Symantec adviseert gebruikers en systeembeheerder de volgende richtlijnen te volgen om hun informatie beter te beschermen:

• Diensten die niet gebruikt worden uitschakelen en verwijderen.
• Patch levels regelmatig updaten, vooral op host computers met openbare services die via de firewall toegankelijk zijn, zoals HTTP, FTP, mail en DNS services.
• Virusdefinities up tot date houden. Door de nieuwste virusdefinities te installeren, zijn bedrijven en consumenten beschermd tegen de meest recente bekende virussen.
• Een wachtwoordbeleid invoeren en zorgen dat dit beleid wordt nageleefd.
• E-mail servers zodanig configureren dat berichten met virusgevoelige bijlagen onmiddellijk worden geblokkeerd of verwijderd. Virusgevoelige bijlagen dragen meestal extensies zoals .vbs, .bat, .exe, .pif and .scr.
• Besmette computers zo snel mogelijk isoleren om verdere besmetting in de organisatie te voorkomen. Voer een forensische analyse uit en herstel computers alleen met behulp van betrouwbare media.
• Werknemers op het hart drukken om geen onverwachte bijlagen te openen. Draai ook geen programma’s die van het internet zijn gedownload zonder eerst een virusscan uit te voeren.
• Ervoor zorgen dat er procedures en actieplannen bestaan in het geval van besmetting.
• De beveiliging regelmatig op doeltreffendheid testen.

---

* Een blended threat is een bedreiging die gebruikmaakt van meerdere methoden en technieken om aan te vallen en zich te vermenigvuldigen.

** Een backdoor is een programma dat via de gaten van een beveiligingssysteem toegang krijgt tot een computer of een netwerk.

*** Het detecteren van virussen door te kijken naar bepaalde instructievolgordes of procedures. Dit is een veel geavanceerder manier van virussen scannen dan het signature scannen.

---

Over Symantec's Internet Security Threat Report
De trends in cyberaanvallen zijn gebaseerd op de analyses van Symantec DeepSight Threat Management System en Symantec Managed Security Services. Symantec DeepSight Threat Management System analyseert aanvalsstatistieken die in real-time verzameld worden door meer dan 20.000 geregistreerde sensoren in meer 180 landen wereldwijd. De vulnerability trends zijn gebaseerd op statistische gegevens van Symantec’s uitgebreide Security Response vulnerability database, met meer dan 8.000 gedocumenteerde vulnerabilities. De kwaadaardige code trends zijn gebaseerd op empirische gegevens en deskundige analyses die aan Symantec’s uitgebreide expert databases werden onttrokken.
 
Over Symantec
Symantec, wereldwijd marktleider in internetbeveiliging, biedt consumenten, bedrijven en service providers een brede reeks softwareoplossingen en appliances voor content- en netwerkbeveiliging. Symantec is op de zakelijke markt actief met virusbescherming, firewall en virtual private network (VPN), vulnerability management, intrusion detection, internetcontent- en e-mailfiltering, remote management en security services. Op de consumentenmarkt is Symantec vooral bekend van producten die onder de naam Norton worden aangeboden. Het hoofdkantoor is gevestigd in Cupertino, Californië en het bedrijf heeft vestigingen in 38 landen. Het Nederlandse kantoor Sales & Marketing is gevestigd in Leiden. De aandelen worden verhandeld op het Nasdaq National Market System onder het symbool SYMC. Meer informatie over Symantec en haar producten is te vinden op de website: www.symantec.nl.
 
Voor meer informatie, een mondelinge toelichting door een internetbeveiligingsspecialist van Symantec, of een kopie van het rapport kunt u contact opnemen met:

Mascha Monasso, Symantec, tel. +31 (0)71 408 3188 , e-mail: mmonasso@symantec.com of
Winnie Silvertand, Whizpr, tel. +31 (0)317 410 483, e-mail: winnie(at)whizpr.nl