Onderzoek: internet veel veiliger dan gedacht
Zowel media als beveiligingsbedrijven komen regelmatig met alarmerende berichten en rapporten die waarschuwen voor cybercrime, datalekken en grote hoeveelheden nieuwe malware en stellen dat de situatie steeds erger wordt. In werkelijkheid is het internet veel veiliger dan veel mensen denken, zo stellen onderzoekers van de Global Commission on Internet Governance.
De onderzoekers beweren dat de veiligheid op internet veel beter is dan het beeld dat media en beveiligingsbedrijven schetsen. Huidige gevallen over cybercrime geven vaak altijd absolute aantallen weer of procentuele toenames op jaarbasis. Het gaat dan bijvoorbeeld om duizenden nieuwe malware-exemplaren die voor Android worden ontdekt of dat de hoeveelheid malware ten opzichte van vorig jaar met 50% is toegenomen.
Normaliseren
Om een nauwkeuriger beeld over de veiligheid op internet te krijgen moeten cybercrimecijfers worden vermeld in verhouding tot de groei van internet. Net zoals moorden bijvoorbeeld per 1.000 mensen per jaar worden weergegeven. De onderzoekers besloten dit zelf toe te passen, waarbij gegevens over botnets, malware en datalekken ten opzichte van het aantal internetgebruikers werden weergegeven. Door de cijfers op deze manier te normaliseren komt er een heel ander beeld naar voren, namelijk dat de absolute aantallen altijd een slechter beeld weergeven dan met genormaliseerde getallen het geval is.
De absolute getallen leiden ook tot misvattingen. Zo zeggen de absolute getallen dat het steeds erger wordt, terwijl de genormaliseerde cijfers juist laten zien dat internet eigenlijk juist veiliger wordt. In het geval beide cijfers aantonen dat het beter gaat, laten de genormaliseerde cijfers zien dat dit sneller gebeurt. En als uit beide cijfers blijkt dat dingen op internet erger worden, dan laten de genormaliseerde cijfers zien dat dit veel trager gebeurt dan bij de absolute cijfers. "Al met al is internet veel veiliger dan over het algemeen wordt aangenomen", aldus de onderzoekers.
In totaal werden dertien cijfers, zoals het aantal botnets, datalekken en kosten voor organisaties, genormaliseerd. In zes gevallen laten de absolute getallen zien dat het slechter gaat, terwijl de genormaliseerde cijfers juist laten zien dat het beter wordt. Bij zes andere tests bleek dat beide getallen aangaven dat het beter wordt, maar laten de genormaliseerde cijfers zien dat dit sneller gebeurt. In een geval was er bij beide methodes een verslechtering te zien, maar vond die bij de genormaliseerde cijfers veel trager plaats.
Verkeerd beeld
De onderzoekers stellen in hun conclusie dan ook dat mensen op dit moment een verkeerd beeld van de veiligheid van internet hebben. Om een beter beeld te krijgen pleiten ze ervoor dat cijfers over cybercrime worden genormaliseerd zodat ook de groei van internet en het groeiende belang van internet wordt meegenomen. Dan blijkt juist dat de huidige beveiligingsmaatregelen die worden genomen voldoende zijn om de groei van het aantal aanvallen te beperken.
"Aangezien de signalen van onveiligheid op internet in de meeste gevallen niet snel erger worden, houdt de snelle groei van internet in dat de algehele veiligheid van cyberspace in veel gevallen verbetert. Het huidige cyber securitybeleid, in plaats van dat het ineffectief is, lijkt de situatie dan ook behoorlijk te helpen." De onderzoekers roepen anti-virusbedrijven dan ook op om hun cijfers voortaan genormaliseerd weer te geven.
Daarnaast stellen de onderzoekers dat er meer data is vereist om een beter beeld te krijgen. "Het ironische van cyber security-onderzoek is dat we in een tijdperk van big data leven, maar dat er eigenlijk zeer weinig data over cyber securitytrends publiek beschikbaar is."
nou ja,alsof dat ooit zou lukken.
nou ja,alsof dat ooit zou lukken.
Leugens en statistiek horen overduidelijk bij elkaar.
Dan Big Data ...
Vroeger hadden de inlichtingendiensten te weinig info, tegenwoordig hebben ze zo veel gegevens dat ze niet weten waar ze moeten beginnen. Zelfde met Big Data. Zet een vuilnisbelt vol briefjes voor een onderzoeker en vraag aan hem wat hij ziet. Het antwoordt zal lachwekkend zijn.
Big Data heeft alleen nut als je weet waar je naar zoekt.
Zoek je gele briefjes dan kun je die vinden, zolang je geen idee hebt waar je naar zoekt is het gewoon een vuilnisbelt meer niet.
Wat gemakshalve vergeten wordt als je naar cybercrime kijkt in relatie tot de groei van het internet, is dat die groei bestaat uit IoT (zonder toename van het aantal gebruikers) en derde wereldlanden waar opleidingsniveaus lager zijn en er voor bestaande cybercriminelen slechts kale kippen bijkomen.
Ik weet niet of er sprake is van een toename van cybercrime gericht tegen "westerlingen", maar een afname geloof ik niet.
Volgens mij zegt niemand dat apparaten brakker/onveiliger zijn dan vroeger. Wel zegt men dat het totaal aantal brakke apparaten toeneemt, en dat nieuwe apparaten (IoT en dergelijke) relatief onveilig zijn. Dat staat hier niet ter discussie.
Tenslotte is er secundaire onveiligheidsproblematiek, zoals DDoS-aanvallen via botnets. De problemen die DDoS via een botnet oplevert, hangen af van de absolute omvang van dat botnet, niet van het percentage van alle computers dat erin zit.
Ook is de vraag in hoeverre het sterk toegenomen gebruik van tablets en mobiele telefoons is mee genomen in de resultaten van dit onderzoek. Alsook de ontwikkeling dat malware in toenemende mate zich bedient van stenografische technieken, peer2peer en andere technieken die de detectie bemoeilijken. Zolang men geen onderbouwde uitspraken doet over dergelijke ontwikkelingen is het erg moeilijk om de cijfers en analyses op hun waarde in te schatten.
My two cents...
nou ja,alsof dat ooit zou lukken.
nou ja,alsof dat ooit zou lukken.
Op basis van de feiten trek je een vreemde conclusie. De veiligheid van internet heeft niets te maken met het verschil tussen Linux en Windows. Als Windows hierdoor veiliger wordt, wat moet dat dan wel niet voor Linux betekenen? Niet te kraken? Waanzinnig veilig?
• Het aantal nieuwe zero day vulnerabilities per internernetgebruikers/email-gebruikers/websites per jaar
• Het aantal nieuwe browser vulnerabilities per internernetgebruikers/email-gebruikers/websites per jaar
Dat zouden goede maatstaven zijn als een kwetsbaarheid maar één of een constant aantal internetgebruikers/emai-gebruikers/websites zou raken. Maar als die aantallen groeien zijn er ook meer gebruikers/websites kwetsbaar voor hetzelfde lek. De relatieve getallen zijn hier dus betekenisloos, lijkt me, het zijn wel degelijk de absolute aantallen die ertoe doen.
Er is veel meer controle/spionage/aftappen/loggen op het Internet door overheden/bedrijfsleven om bovengronds dingen te doen die NIET ?? door de beugel kunnen. Het wordt trouwens steeds moeilijker om ondergronds (in het verborgene) dingen te doen wegens het veelvuldige aftappen van de overheid..
Voorbeelden genoeg op het Internet over grappen die verkeerd aflopen waar de overheid het doelwit was.
Het is de vraag of het wel veiliger is geworden, schijn veiliger ? totalitair controle zodat niemand meer iets doet of naast de pot pist ?
Precies, als je tijdens een risico analyse voor een proces uitkomt dat kans x (potentiele)schade laag of van een dermate acceptabel niveau is dan ga je geen grote hoeveelheden geld uitgeven aan, nutteloze, maatregelen. Geldt ook als de potentiele schade hoog kan oplopen maar de kans erop zeer laag is, maatregelen nemen kosten dan alleen maar geld en je lost er weinig mee op zolang je maar een goede baseline hebt. Maar in het huidige angst beleid van onze overheid, (of moet ik de VS overheid zeggen?) lijkt het alsof we morgen allemaal alles gaan verliezen door cybercriminelen en terroristen. En dat beeld wordt vooral geschapen doordat er een miljarden industrie achter zit die geen inkomsten willen derven als het blijkt dat ze zich met zaken bezig houden die weinig toegevoegde waarde hebben. Wat een belangrijkste schakel in de beveiliging is dat men een goede basis moet hebben die gebaseerd moet zijn op een realistische risico inschatting en die ook regelmatig wordt onderhouden waarbij ook iedere te nemen maatregel terug vertaald moet kunnen worden naar het risico waarvoor de maatregel wordt genomen. Is daar een onbalans in dat zit er iets fout in de aanname of de motivatie van de betrokkenen.
Het risico op cybercrime en terreur bestaat zeker, maar hoe realistisch alle maatregelen zijn die daarvoor worden genomen valt te betwijfelen. Al helemaal als je gaat kijken welke schade de maatregelen zelf al aanrichten aan bijvoorbeeld de persoonlijke levenssfeer en de privacy in het algemeen. Indien een maatregel meer schade aanricht dan het oplost moet je je toch even achter de oren krabben of je het dan wel goed begrepen hebt, of, als dat bewust de bedoeling is, moet je je afvragen of je daardoor zelf niet beter bent dan de terrorist of cybercrimineel die je met dergelijke maatregelen wilt bestrijden. Terreur is immers het onderdrukken van de mens en deze ernstige beperkingen opleggen in wat deze mag zeggen, wat deze mag doen en waar deze wil gaan staan. In ons landje 'genieten' we nog van enige vrijheid maar voor hoelang nog want al ons gedrag wordt vrijwel 24x7 vastgelegd en gemonitord. Hoe (on) veilig is dat en hoe hoog was ook alweer het risico waarvoor we onze vrijheid aan het inleveren zijn?
De doelgroep van het rapport lijken me politici en beleidsmakers op hoog niveau te zijn.
Welke adviezen zijn er te vinden:
- Het zwakke punt zijn de personen (social hack engineering) en
OSS krijgt aandacht (niet het zelfde als gratis- andere discussie).
- Overheidsintstanties zoals de NSA zouden gevonden zero day exploits meteen moeten melden... (zie kanttekeningen)
- Spam and pishing en webbases aanvallen internationaal aan te pakken
- Een kosten verdeling voor de cyberaanpak uhhh een heffing?
- Grote private bedrijven kunnen wel voor zichzelf opkomen, hebben geld zat. Kan wel echter ik mis het aanspreken bij falen Daarmee is de schadepost voor ze onevenredig klein. Dat zou volgend jaar, EU mogelijk anders kunnen worden.
Kleine bedrijven (SME's) zouden extra bescherming geboden moeten worden.
Ik las recent dat UK met zo iets komt.
- Tool leveranciers (end-point security) zouden genuanceerdere berichtgeving moeten doen (minder fud gericht).
Nou wel dus en wat blijkt... De informatie is gebaseerd op totaal verkeerde interpretaties en uitgangspunten. Uit CERT informatie van veel verschillende certs blijkt dat 95 tot 98 % van de bedrijven elk jaar weer tientallen PC's hebben die C&C communicatie laten zien. Het feit dat het aantal malware domeinen daalt kan verklaart worden uit ontwikkelingen zoals p2p omdat dit ook in het voordeel is van de CaaS clubs. Frappant is ook dat de 0days een duidelijke stijging vertonen. Iets wat ook logisch is gezien de sterk toegenomen professionalisering van CaaS.
Feit is dat veel organisaties de werkelijke gevolgen van een malware besmetting helemaal niet onderzoeken. Dus de werkelijke kosten van een malware besmetting zijn domweg helemaal niet bekend. Want de werkelijke impact is vrijwel nooit onderzocht. Men verschoont de PC zoals je een baby zijn luier verschoont en dat is het. Er zijn nog heel weinig organisaties die met behulp van QFlow of Netflow het interne netwerk bewaken. Uit dergelijke data is vaak snel te zien of een device besmet is (afwijkend gedrag) en welke andere laterale acties er zijn geweest.
Het is dus weer een pretentieuze club met dure titels en namen die in wel gekozen bewoordingen ongetwijfeld leuke subsidies binnen haalt binnen het old boys netwerk... Maar inhoudelijk is het duidelijk dat de interpretatie van de cijfers nog wel tot enige discussie zal leiden bij de echte experts. Want laten we wel wezen... De onderbouwing die ik gelezen heb in het document is op zijn minst gekleurd te noemen met de vele verwijzingen naar semi commercieel materiaal van Kasperksi en Symantec... Zoals ze zelf al aangeven is er weinig data beschikbaar en wat er is is vaak niet erg betrouwbaar...
Wat interessant is is om je te realiseren dat de grote acties in toenemende mate door(en voor) overheden en intelligence clubs worden uitgevoerd. Daar is het motto: Een succesvolle actie is een niet gedetecteerde actie!
My two cents...
Waarbij in mijn voorbeeld de impact vaststaat. De impact van een botnet niet. Dus met aantallen heb je slechts een deel van een beeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
