Europa heeft meer internetaanvallen vanuit de eigen landen te verduren dan elke andere regio. De overgrote meerderheid van de Europese cyberaanvallen kwam van IP-adressen in Nederland, gevolgd door de VS, China, Rusland en Frankrijk.
Dit blijkt uit onderzoek. Vooral het aanvalsverkeer tussen 1 december 2018 en 1 maart 2019 werd daarin bekeken.
Nederland aanvoerder
Europese systemen liggen onder vuur vanuit de hele wereld. De bronnen ervan zijn vergelijkbaar met Australië en Canada, maar verschillend van de VS. De VS krijgt veel minder aanvallen vanuit Europa te verduren dan Europa zelf.
Nederland voert de ranglijst aan van aanvallende landen. De top tien bestaat verder uit VS, China, Rusland, Frankrijk, Iran, Vietnam, Canada, India, en Indonesië. Nederland was verantwoordelijk voor 1,5 keer zoveel aanvallen als de VS en Canada samen, en 6 keer zoveel als Indonesië.
Aanvalsnetwerken
Het Nederlandse HostPalace Web Solutions (ASN 133229) lanceerde de meeste aanvallen, gevolgd door het Franse Online SAS (ASN 12876), en het Nederlandse NForce Entertainment (ASN 43350). De drie web hosting providers komen regelmatig terug in de ’threat actor networks’-lijsten van F5 Labs.
72 procent van alle gelogde ASN’s zijn internet service providers. 28 procent zijn web hosting providers. De 50 belangrijkste aangevallen IP-adressen.
Poort 5060
In Europa wordt met name poort 5060 aangevallen, gebruikt door het Sessions Initiation Protocol (SIP) voor Voice over IP (VoIP) zoals telefonie en videoconferencing. Deze poort is ook het doelwit geweest bij hoogwaardige events zoals de summits tussen Trump en Kim Jung Un en Vladimir Putin.
De tweede populaire poort is de Microsoft Server Message Block (SMB) poort 445, gevolgd door 2222 die gebruikt wordt als niet-standaard Secure Shell (SSH) poort. Veel van de aanvallen op poorten die SSH ondersteunen, worden ook door middel van brute force aangevallen.
De onderzoekers adviseren organisaties continue kwetsbaarheidstesten te draaien om te ontdekken welke systemen open staan en via welke poorten. Als deze in verband staan met de populaire aanvalspoorten moeten ze met prioriteit worden afgeschermd. Dit kan bijvoorbeeld door middel van firewall-technologie of kwetsbaarheidmanagement.
Verkeer van web-applicaties op poort 80 moet afgeschermd worden door een web applicatie firewall, continu gescand worden op kwetsbaarheden en prioriteit krijgen met bijvoorbeeld patching en bug-reparatie.
