Interview met Florian Malecki van SonicWall over trends in beveiliging

SonicWall brengt elk jaar een uitgebreid threadrapport uit waarin het terugblikt op het afgelopen jaar. Ook dit jaar is er weer zo’n rapport. Naar aanleiding van de uitkomst van dit onderzoek interviewden wij Florian Malecki van SonicWall.

SonicWall is een beveiligingsbedrijf dat  al sinds 1991 bestaat en tussen 2012 en 2016 eigendom was van de bekende pc-fabrikant Dell. Sommige IT’ers zullen het bedrijf voornamelijk kennen vanuit de Dell-periode, anderen zijn al langer bekend met de producten van SonicWall. Sinds eind vorig jaar is het bedrijf weer volledig zelfstandig en zoekt het wat meer de publiciteit, vandaar ook dat wij de mogelijkheid hadden Florian Malecki te interviewen, de internationale product marketing director van SonicWall.

Het feit dat SonicWall recent door Dell is verkocht aan een groep investeerders vraagt natuurlijk ook om wat duiding. Voor de overname van EMC – dat twee keer zo groot was als Dell – moest er flink wat geld opgehaald worden. De Dell Software-divisie waar SonicWall onder viel ging dan ook in de verkoop. SonicWall werd uiteindelijk los verkocht.

SonicWall heeft besloten weer volledig terug te keren naar een partnermodel, waarbij de klant de producten niet direct zelf af kan nemen bij SonicWall maar dit alleen kan doen via resellers en partners. Voorheen konden klanten direct via Dell de producten van SonicWall aankopen. Dat is overigens niet veranderd, want Dell is nu partner en reseller geworden. Klanten kunnen dus nog steeds via Dell de producten van SonicWall kopen, alleen zal er dan geen Dell-logo meer op de producten zitten, maar alleen dat van SonicWall. Daarmee heeft SonicWall volgens Malecki een belangrijk verkoopkanaal behouden.

Binnen het bedrijf zijn de veranderingen niet zo heel groot, veel afdelingen zoals sales en productdevelopment waren binnen Dell ook al zelfstandig. Qua focus en strategie gaat het bedrijf op dezelfde voet door, voor zijn firewall-oplossingen blijft het focussen op MKB-klanten van 0 tot 10.000 seats. Het heeft vooral veel klanten in het onderwijs, gezondheidszorg en retail. Grootste verschil is waarschijnlijk dat het bedrijf nu ook naar buiten kan treden als SonicWall en dat doet het met zijn Threadrapport over 2016.

Threadrapport

IT’ers die onze website een beetje volgen zullen zelf ook wel de trends van 2016 kunnen benoemen. Het is uiteraard niet zo dat SonicWall ineens hele andere dingen heeft gemeten dan andere beveiligingsbedrijven, maar in sommige gevallen kan het zaken wel beter duiden.

In de korte samenvatting van SonicWall komt naar voren dat de hoeveelheid malware gericht op Point of Sale is gedaald met 93 procent. Het gaat daarbij om malware die gericht is op het buitmaken van betaalgegevens.  Verder gaat het natuurlijk heel veel over ransomware (een stijging van 16.700 procent) de onveiligheid van het Internet of Things en natuurlijk de toegenomen encryptie.

SonicWall Global Response Intelligence Defense (GRID) Threat Network

SonicWall verzamelt net als alle andere beveiligingsbedrijven data om analyses op los te laten om daarmee klanten nog beter te kunnen beschermen. Elk bedrijf heeft daar zijn eigen naam voor, bij SonicWall hebben ze gekozen voor SonicWall Global Response Intelligence Defense Threat Network oftewel GRID.

Het GRID van SonicWall ontvangt dagelijks data van meer dan een miljoen firewalls en van miljoenen endpoints. Al die data wordt geanalyseerd om potentiële dreigingen vast te stellen en te blokkeren. Over het afgelopen jaar heeft SonicWall geconstateerd dat er minder malware aanvallen hebben plaatsgevonden dan het jaar daarvoor, maar de malware-aanvallen zijn wel weer succesvoller, voornamelijk met ransomware.

SonicWall stelt dat het voor de beveiligingsindustrie een succesvol jaar is geweest, maar tegelijk moet het vaststellen dat het dat ook is geweest voor de cybercriminelen. Beide partijen hebben ongelooflijk veel innovatie laten zijn. Daarmee blijft het een kat-en-muis-spel.

Opkomst en succes van ransomware

SonicWall laat in zijn rapport weten dat er begin 2016 een grote slag is geslagen toen een groep van 50 Russische hackers werd gearresteerd. Kort daarna zag het bedrijf hoe drie grote exploit-kits verdwenen, als eerste Angler maar daarna verdwenen ook Nuclear en Neutrino. Inmiddels wordt aangenomen dat de cybercriminelen achter Angler tot de groep van 50 gearresteerde Russische hackers behoorden.

Daarna was het even rustig, maar in maart 2016 brak ransomware in rap tempo door. In februari blokkeerde SonicWall 282.000 ransomware-aanvallen, maar in maart waren dit er al 30 miljoen. Ransomware was succesvol en cybercriminelen besloten het kunstje in rap tempo te herhalen.

Malecki stelt dat ransomware zo succesvol is geweest het afgelopen jaar omdat bedrijven er niet goed op voorbereid waren. Bij veel bedrijven zijn de backup-procedures nog steeds niet goed ingeregeld en dat maakt ransomware zo succesvol. Als je backups hebt kan je namelijk altijd je data herstellen. Helaas zijn er genoeg bedrijven die te maken hebben gehad met ransomware en die nu jaren aan data zijn kwijtgeraakt.

Voor cybercriminelen is ransomware een zeer effectief middel met relatief weinig risico. Het is enorm moeilijk om cybercriminelen op te sporen en zeker doordat betalingen tegenwoordig anoniem kunnen worden gedaan in Bitcoins blijven de criminelen buiten ontraceerbaar. Een bankoverval levert waarschijnlijk net zoveel op, maar de risico’s zijn vele malen groter. Hoeveel geld er is verdiend aan ransomware is moeilijk te schatten, maar er zijn duizenden bedrijven die tienduizenden euro’s hebben betaald in de hoop hun data terug te krijgen. Soms met succes, soms zonder succes.

Op de vraag aan Malecki of bedrijven moeten betalen als ze zijn getroffen door ransomware durft hij geen concreet antwoord te geven, behalve “backups, backups, backups”. Dat is de belangrijkste oplossing voor malware. Heb je heel gevoelige data verloren die echt essentieel is, dan snapt Malecki de beslissing van een bedrijf om te betalen, ondanks dat je totaal geen zekerheid hebt dat je je data ook terugkrijgt. Ook dan ben je er echter nog niet per definitie vanaf. Ook als je je data wel terug krijgt, ben je nog steeds besmet met malware en kan het op elk moment weer misgaan. Uiteindelijk moet je de malware uit je systemen zien te krijgen.

Verder laat hij weten dat in 2016 er niet specifiek één branche was waar ransomware meer voorkwam, maar in de tweede helft van 2016 kwamen er wel steeds meer meldingen uit de zorgsector, waar data van patiënten waren versleuteld door ransomware.

Internet of Things

Een ander groot probleem in 2016 was eigenlijk een schot voor de boeg, een hele grote waarschuwing. Duizenden Internet of Things-apparaten werden ingezet voor de grootste DDOS-aanval uit de geschiedenis. Hiervoor werden IP-camera’s, wearables, slimme voertuigen, terminals en andere apparaten met connectiviteit ingezet. De grootste overeenkomst tussen deze apparaten was de waardeloze beveiliging. Vaak beschikten de apparaten over standaard wachtwoorden die via Telnet waren te misbruiken. Hierdoor werd een gigantische DDOS-aanval uitgevoerd op de DNS-servers van DynDNS, waardoor veel grote websites onderuit gingen.

Alles bij elkaar was het eigenlijk nog maar een waarschuwing, want het Internet of Things staat nog in de kinderschoenen en de komende jaren komen er nog vele honderdduizenden apparaten bij. De beveiliging van deze apparaten is dus heel belangrijk en de bedrijven die deze apparaten maken moeten hier echt beter hun best voor gaan doen. Wellicht dat hier ook een stukje wetgeving bij moet komen kijken.

Malecki stelt dat Identity en Access management hier ook een grote rol in kan spelen. Er zijn genoeg spelers in de markt die bedrijven kunnen helpen om de beveiliging beter op orde te krijgen. Bij elke verbinding moet gewoon duidelijk worden afgewogen of de verbinding legitiem is en moet er authenticatie plaatsvinden. Daarnaast is netwerkbeveiliging natuurlijk enorm belangrijk, daarvoor heb je een slimme firewall nodig die op alle levels data kan onderscheppen (malware), filteren, scannen en middels een sandbox kan testen.

Encryptie en Firewalls

Daarmee komen we ook bij het laatste punt van het rapport, encryptie. SSL is in opkomst en veel lezers denken waarschijnlijk dat dat heel goed is. Hoe meer data er versleuteld zijn hoe beter. Dat klopt ook wel, maar het betekent ook dat cybercriminelen hun data kunnen versleutelen en detectie net even wat moeilijker wordt.

Het afgelopen jaar is het gebruik van SSL-verbindingen explosief gestegen. In totaal was 62 procent van al het internetverkeer versleuteld. Het jaar daarvoor was dat nog maar 28 procent. De reden dat dit zo snel stijgt is omdat steeds meer bedrijven clouddiensten gebruiken en die gebruiken standaard SSL. Daarnaast heeft Google beloofd om websites met SSL hoger te ranken in de zoekresultaten, waardoor veel websites zijn overgegaan op SSL.

Doordat steeds meer data zijn versleuteld, is het moeilijker om te detecteren wat voor data er door een Firewall heen gaat. Dit kan ook malware zijn bijvoorbeeld. Steeds meer firewalls beschikken daardoor over geavanceerde mogelijkheden om deep packet inspection uit te voeren op SSL-verbindingen. Dit gebeurt in een fractie van een seconde, maar is wel nodig om netwerken te beveiligen. Veel firewalls van een paar jaar oud beschikken echter nog niet over deze mogelijkheden en dat is een volgend beveiligingsrisico, want op dit moment kan ruim 60 procent van het internetverkeer dus niet meer gecontroleerd worden. Een nieuwe firewall kan daarom anno 2017 nog weleens een zeer waardevolle investering zijn.