Minder dan 19 minuten heeft een webbeheerder de tijd te reageren op een aanval van Russische krakers op zijnhaar netwerk. Als het langer duurt dan hebben aanvallers de mogelijkheid de beveiliging te ontregelen en kunnen ze zo veel gegevens stelen als ze willen. De Russische krakers blijken de snelste en de gevaarlijkste te zijn. Opgelet dus.
Dat is de les die het Amerikaanse webbeveiligingsbedrijf Crowdstrike de webbeheerders en andere webgebruikers ons wil leren. De webbeveiligers wilden weten hoeveel tijd het duurt om in een netwerk in te breken, waarbij ze vooral keken naar de prestaties van staatsondersteunde krakers. De resultaten, als ze kloppen, zijn onthutsend. In 19 minuten blijken de aanvallers in een netwerk in te kunnen breken en daar stelen wat van hun gading is, aldus CrowdStrike.
De CrowdStrike-medewerkers bestudeerden 30 000 webaanvallen in 2018 en constateerden een aantal ontwikkelingen. De digitale inbrekers beginnen vaak met het besmetten van computers in het netwerk met kwaadaardige progjes waarmee ze de machines gijzelen en vervolgens ‘losgeld’ eisen.
In het algemeen zijn belangrijke doelwitten van webaanvallen de media, technologische bedrijven en onderwijsinstellingen. Ook constateerden de onderzoekers dat de kraakgroepen steeds vaker samenwerken en steeds verfijndere trucs gebruiken. Aanvallers uit China, Iran en Rusland blijken een voorkeur te hebben voor telecombedrijven, hoogstwaarschijnlijk om te spioneren.
Russen
Russische krakers vormen volgens CrowdStrike de grootste bedreiging. Een belangrijk facet bij webaanvallen is wat kan worden aangeduid als ontsnappingstijd (breakout time en anglais). Dat is de tijd die ligt tussen de besmetting van de eerste en de volgende computer in een netwerk. Het moeilijkste voor de krakers is het vinden van de juiste toegang.
Computers zijn in het algemeen beschermd tegen aanvallen via het web, maar minder of niet tegen aanvallen van binnenuit. Als de krakers eenmaal zo’n toegangspunt gevonden hebben dan is de rest een eitje. Zoals gesteld duurt dat bij Russische krakers minder dan 19 minuten. In die tijd moet de netwerkbeheerder zijnhaar verdediging in Minder dan 19 minuten heeft een webbeheerder de tijd te reageren op een aanval van Russische krakers op zijnhaar netwerk. Als het langer duurt dan hebben aanvallers de mogelijkheid de beveiliging te ontregelen en kunnen ze zo veel gegevens stelen als ze willen.
Iedere aanval en elke kraakgroep is verschillend. De berekende tijden zijn een gemiddelde. Na de Russen komen de Noord-Koreanen. Die doen er gemiddeld twee uur en 20 minuten over. Dat lijkt lang, maar dat biedt een webbeheerder toch maar weinig tijd om te reageren. De Chinese krakers waren nog weer trager. Bij hun is de ontsnappingstijd vier uur, de Iraniërs geven de beheerder een ontsnappingstijd van vijf uur en negen minuten.
De laatste categorie die CrowdStrike ziet wordt gevormd door de webboeven die op wereldschaal opereren. De criminele krakers doen er gemiddeld negen uur en 42 minuten over om een netwerk binnen te dringen, maar volgens het rapport zijn sommige webboeven in staat dat veel sneller te doen.
De reactiesnelheid is van wezenlijk belang bij het tegengaan van een webaanval. Het heeft er alle schijn van dat webaanvallen een ‘normaal’ verschijnsel worden. Staatsondersteunde krakers hebben er geen probleem mee om om dissidenten, regionale tegenstanders of vreemde mogendheden op de korrel te nemen en worden daar ook steeds beter in.
Bron: Futura-Sciences