Samenvatting
- Slechts 42% van ondervraagde securityprofessionals maakt gebruik van gedeelde dreigingsinformatie (Cyber Threat Intelligence; CTI).
- Volgens de respondenten zijn de grootste obstakels voor het uitwisselen van dreigingsinformatie het bedrijfsbeleid (54%), industrieregulering (24%) en gebrek aan inzicht over hoe deze informatie gebruikt wordt (24%).
- Met 4,9% van het totaal staat Nederland op de 4e plaats van landen waar de meeste botnet control servers draaien.
- In Q4 2015 is de hoeveelheid nieuwe ransomware met ruim een kwart (26%) toegenomen.
- De hoeveelheid nieuwe mobiele malware is in Q4 2015 met maar liefst 72% toegenomen ten opzichte van Q3.
Schiphol-Rijk, 22 maart 2016 – Het nieuwe
McAfee Labs Threats Report March 2016 bevat de resultaten van een onderzoek onder 500 securityprofessionals naar hun mening over het uitwisselen van dreigingsinformatie (‘cyber threat intelligence’; CTI). Verder biedt het rapport inzicht in het gedrag van de Adwind remote administration tool (RAT) en de nieuwste groeicijfers van ransomware, mobiele malware en de totale hoeveelheid malware in het vierde kwartaal van 2015.
Intel Security heeft 500 securityprofessionals in verschillende industriesectoren uit de VS, Europa en Azië gevraagd naar hun mening over CTI, de waarde van het uitwisselen van dreigingsinformatie voor organisaties en obstakels voor de inzet van CTI binnen organisaties. Hier enkele van de belangrijkste uitkomsten:
- Waarde en gebruik – van de 42% van de respondenten die aangaven gebruik te maken van gedeelde dreigingsinformatie, zegt 97% dat dit bijdraagt aan een betere beveiliging van hun organisatie. 59% vindt het gebruik van gedeelde dreigingsinformatie ‘zeer waardevol’ voor hun organisatie, terwijl het volgens 38% ‘enigszins waardevol’ is.
- Sector-specifieke dreigingsinformatie – bijna alle respondenten (91%) gaf toen aan geïnteresseerd te zijn in sector-specifieke dreigingsinformatie. 54% was ‘zeer geïnteresseerd’ en 37% ‘enigszins geïnteresseerd’. Met name sectoren zoals financiële dienstverlening en vitale infrastructuur kunnen profiteren van dergelijke sector-specifieke dreigingsinformatie. Dit omdat de cyberdreigingen waar deze organisaties aan blootstaan zeer gespecialiseerd zijn, zo blijkt uit observaties door McAfee Labs.
- Bereidheid om dreigingsinformatie uit te wisselen – 63% van de respondenten liet weten bereid te zijn om niet alleen gebruik te maken van dreigingsinformatie die door anderen wordt gedeeld, maar ook zelf informatie over dreigingen te delen. Voorwaarde is wel dat dit gebeurt via een afgeschermd, veilig platform. Het enthousiasme voor het delen van eigen dreigingsinformatie verschilt echter, van respondenten die aangeven ’zeer bereid’ te zijn om informatie te delen (24%), tot een groep die daartoe ‘enigszins bereid’ is (39%).
- Welke informatie delen? – gevraagd naar wat voor informatie men bereid is te delen met anderen, geven de meesten (72%) aan informatie over malware te willen uitwisselen, gevolgd door reputatie-informatie over URLs (58%), reputatie-informatie over externe IP-adressen (54%), reputatie-informatie over beveiligingscertificaten (43%) en reputatie-informatie over bestanden (37%).
- Obstakels voor het gebruik en delen van dreigingsinformatie – gevraagd naar waarom zij binnen hun organisatie nog geen gebruik maken van Cyber Threat Intelligence, noemt 54% het bedrijfsbeleid als de belangrijkste reden. 24% van de respondenten die nog geen dreigingsinformatie uitwisselen, is wel geïnteresseerd maar wil eerst weten wat er met deze informatie gebeurt. 21% is bezorgd dat gedeelde informatie op de een of andere manier herleid kan worden naar hun organisatie of naar personen binnen de organisatie. Deze uitkomsten wijzen op een gebrek aan kennis over of ervaring met de verschillende opties voor Cyber Threat Intelligence. Ook zou er meer voorlichting moeten komen over de juridische implicaties van het delen van dreigingsinformatie.
“Als we zien hoe vastberaden en slim cybercriminelen zijn, kan het uitwisselen van informatie over dreigingen een belangrijk middel zijn om de verdedigers een voordeel te verschaffen in cybersecurity”, zegt Wim van Campen, VP Noord- en Oost-Europa voor Intel Security. “Ons onderzoek wijst echter uit dat daarvoor nog wel de nodige obstakels overwonnen moeten worden, onder andere op het gebied van bedrijfsbeleid, aansprakelijkheidsrisico’s, regelgeving en het gebrek aan kennis over de implementatiemogelijkheden voor CTI.”
Het nieuwe kwartaalrapport van McAfee Labs onderzoekt tevens de Adwind remote administration tool (RAT). Dit is een op Java gebaseerde Trojan. Adwind verspreidt zich over het algemeen via spamcampagnes met besmette e-mail bijlagen, besmette webpagina’s en drive-by downloads. Het rapport laat een toename zien van maar liefst 486% in het aantal .jar-bestanden dat McAfee Labs identificeert als Adwind: van 1.388 in Q1 2015 tot 7.295 in Q4 2015.
Overige cijfers over Q4 2015
- Nederland in top-4 van landen met de meeste botnet control servers – met 4,9% van het totaal staat Nederland op de 4e plaats van landen waar de meeste botnet control servers draaien. In Q2 en Q3 stond Nederland op dit gebied nog op een zesde plaats. Veruit bovenaan in Q4 staat de VS (32,4%), gevolgd door Duitsland (7,9%) en Rusland (5,0%).
- Hoeveelheid nieuwe ransomware neemt weer sneller toe – na een lichte vertraging halverwege 2015, zag McAfee Labs in Q4 een sterke toename (26%) in het aantal nieuwe ransomware-varianten. Open source ransomware code en ransomware-as-a-service maken het steeds makkelijker om aanvallen uit te voeren. De Teslacrypt- en CryptoWall 3-campagnes blijven zich uitbreiden en ransomwarecampagnes blijven lucratief. Een analyse van CryptoWall 3 uit oktober 2015 gaf een indicatie van financiële schaalgrootte van dergelijke campagnes, toen onderzoekers van McAfee Labs de activiteiten van slechts één campagne wisten te koppelen aan $325 miljoen aan betalingen van ‘losgeld’ door slachtoffers.
- Scherpe groei mobiele malware – in het vierde kwartaal van 2015 werd maar liefst 72% meer nieuwe mobiele malware gedetecteerd dan in Q3. Dit wijst erop dat de auteurs van mobiele malware in staat zijn om sneller nieuwe malware te ontwikkelen.
- Markt voor rootkit malware stort in – het aantal nieuwe rootkit-varianten is opnieuw in Q4 sterk afgenomen. Een deel van deze daling – die in Q3 2011 werd ingezet – is volgens McAfee Labs het gevolg van het feit dat steeds meer klanten PC’s met 64-bit Intel-processors gebruiken, in combinatie met een 64-bit versie van Windows. Deze technologieën bevatten functies zoals Kernel Patch Protection en Secure Boot, die betere bescherming bieden tegen rootkit malware.
- Stijging hoeveelheid nieuwe malware – in Q4 is, voor het eerst in drie kwartalen, de hoeveelheid nieuwe malware-varianten weer gestegen. Er werden 42 miljoen nieuwe malware-samples gedetecteerd door McAfee Labs, een stijging van 10% ten opzichte van Q3, waarmee het de op één na sterkste stijging is die tot nu toe door McAfee Labs is waargenomen. Een deel van deze toename is het gevolg van 2,3 miljoen nieuwe varianten van mobiele malware, 1 miljoen meer dan in Q3.
- Afname van kwaadaardige gesigneerde binaries – het aantal nieuwe binaire bestanden dat is voorzien van een beveiligingscertificaat is in ieder kwartaal van 2015 afgenomen. In Q4 werd het laagste niveau bereikt sinds Q2 2013. McAfee Labs denkt dat dit deels het gevolg is van oudere beveiligingscertificaten die inmiddels zijn verlopen of worden ingetrokken. Daarnaast helpen technologieën zoals Smart Screen (onderdeel van Microsoft Internet Explorer maar komt ook naar andere delen van Windows), die additionele tests uitvoeren op de betrouwbaarheid van binaire bestanden. Dit alles maakt het gebruik van beveiligingscertificaten minder aantrekkelijk voor malwareauteurs.
Download voor meer informatie over deze onderwerpen en andere cijfers over cyberdreigingen het volledige rapport:
http://www.mcafee.com/March2016ThreatsReport.
Over McAfee Labs
McAfee Labs is de onderzoeksdivisie van Intel Security en is een van ’s werelds meest vooraanstaande bronnen van onderzoek en informatie op het gebied van cyberdreigingen en beveiliging. Het team van McAfee Labs analyseert in real-time informatie van miljoenen sensors in de belangrijkste aanvalskanalen: bestanden, het web, berichtenverkeer en het netwerk. Zo wordt dreigingsinformatie verzameld die vervolgens in real-time wordt aangeboden om beschermingsmaatregelen te versterken en risico’s terug te dringen.
Over Intel Security
McAfee is nu onderdeel van Intel Security. Met zijn Security Connected-strategie, innovatieve benadering van beveiliging die door hardware wordt ondersteund en Global Threat Intelligence, focust Intel Security zich op het ontwikkelen van proactieve, bewezen beveiligingsoplossingen en -diensten die systemen, netwerken en mobiele toestellen van bedrijven en eindgebruikers over de hele wereld beschermen. Intel Security combineert de ervaring en expertise van McAfee met de innovatiekracht en bewezen prestaties van Intel om van beveiliging een essentieel onderdeel van iedere architectuur en ieder automatiseringsplatform te maken. Het is de missie van Intel Security om iedereen het vertrouwen te schenken om veilig te leven en te werken in een digitale wereld. Kijk voor meer informatie op
www.intelsecurity.com.
Geen computersysteem kan 100% beveiligd zijn.
Contactpersonen voor de pers
MCS PR, Intel Security Persdesk
e-mail
intelsecurity@mcspr.nl
tel. 023 - 562 8208.
OPMERKING: Intel en het Intel logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. McAfee, McAfee LiveSafe en het McAfee logo zijn gedeponeerde handelsmerken van McAfee Inc. of zijn dochterondernemingen in de Verenigde Staten en/of andere landen.* Alle andere gedeponeerde en niet-gedeponeerde handelsmerken in dit document zijn het eigendom van hun respectieve eigenaren.
© 2015 Intel Corporation