Waar starten de meeste cyberaanvallen?

In de afgelopen vijf jaar is het aantal meldingen van cyberincidenten bij het NCSC verdrievoudigd, een trend die zich door lijkt te zetten. Om beter te kunnen reageren op deze cyberincidenten is het belangrijk om te weten hoe aanvallers toegang krijgen tot een netwerk. Het bepalen van de ‘root point of compromise’ – de methode die aanvallers gebruiken om voor het eerst toegang te krijgen tot het netwerk – kan de aangevallen organisatie helpen om inzicht te krijgen waar de zwakke plekken zitten in de securityarchitectuur. Daarnaast helpt het de hele cyberindustrie om trends te herkennen, cybersecurity te verbeteren en om voorspellingen te doen over de volgende stappen van aanvallers.

Externe dreigingen het grootste gevaar

Uit een recent rapport van Arctic Wolf blijkt dat de meeste aanvallen worden veroorzaakt door blootstelling aan externe dreigingen. Van alle aanvallen vindt 72% zijn oorsprong buiten de eigen organisatie. Deze aanvallen kunnen opgedeeld worden in 3 verschillende categorieën:

1. Software exploits: 45%
2. Overname van remote access: 24%
3. Misconfiguratie: 3%

Opvallend is dat vrijwel alle incidenten door software exploits voorkomen hadden kunnen worden door tijdig te patchen of door een andere manier om kwetsbaarheden te beheren (vulnerability management). Dit komt omdat vrijwel alle inbreuken werden veroorzaakt door bekende kwetsbaarheden, zoals ProxyShell of Log4Shell. Dat is nog opvallender wanneer we ons bedenken dat vier van de vijf kwetsbaarheden die in 2022 door aanvallers werden misbruikt al in 2021 waren ontdekt. Organisaties hadden dus maanden de tijd om deze kwetsbaarheden te verhelpen, maar hebben dit blijkbaar niet (goed) gedaan.

Naast falend beleid voor patch management, staan organisaties ook te veel gebruikers toe via remote access. Remote access leidt tot een verhoogd risico, omdat het een soort digitale gang in de organisatie creëert met allemaal deuren die makkelijk geopend kunnen worden door aanvallers.

Vanuit het gegeven dat externe dreigingen het grootste gevaar zijn, is op te maken dat een groot aantal organisaties cybersecurity niet proactief aanpakt, terwijl dit wel belangrijk is voor een goede beveiligingsstrategie. Daarnaast blijkt uit het rapport dat gebruikershandelingen weliswaar tot incidenten kunnen leiden, maar dat verreweg de meeste aanvallen het gevolg zijn van kwetsbaarheden, misconfiguraties of gebrekkig toegangsbeheer. Cybersecurity vereist een holistische aanpak waarbij organisaties zich richten op elk mogelijk toegangspunt en zowel proactieve als reactieve strategieën toepassen.

Gebruikershandelingen vormen nog steeds een risico

Hoewel blootstelling aan externe dreigingen leidt tot de meeste inbreuken, kunnen handelingen door gebruikers ook problemen veroorzaken. Voorbeelden hiervan zijn social engineering aanvallen, slecht omgaan met inloggegevens of gebruikers die op schadelijke links klikken of die schadelijke bestanden downloaden.

Uit het onderzoek blijkt verder dat 28% van de incidenten (m.u.v. Business Email Compromise - BEC -aanvallen) veroorzaakt werden door gebruikershandelingen. Die 28% kan verder worden uitgesplitst in de volgende vier categorieën:

1. Phishing e-mails: 12%
2. Gecompromitteerde logingegevens: 7%
3. Social engineering (met uitzondering van phishing e-mails): 4%
4. Overig: 5%

Door medewerkers een goede cybersecurity awareness training te laten volgen en door gebruik te maken van monitoring software dat verdachte activiteiten kan detecteren - zoals een ongebruikelijke login - zouden veel incidenten in deze categorieën voorkomen kunnen worden.

Ontwikkel een holistische cybersecuritystrategie die voldoet aan het NIST-framework

Om het risico op een cyberincident te verminderen, moeten organisaties een holistische cybersecuritystrategie hanteren. Dit houdt in dat elk mogelijk toegangspunt beveiligd moet worden. De strategie moet zich richten op zowel proactieve als reactieve maatregelen en moet rekening houden met het feit dat de organisatie en ook de securityrisico’s zich blijven ontwikkelen.

Iedere organisatie heeft in feite een aangepaste cybersecuritystrategie nodig, maar elke strategie zou moeten voldoen aan de richtlijnen van het NIST-framework. Een paar specifieke maatregelen uit dit framework zijn:

• Implementeer een programma voor het beheren van kwetsbaarheden en risico’s, om te helpen bij het identificeren, beoordelen en patchen van kwetsbaarheden vóórdat aanvallers deze kunnen misbruiken.
• Implementeer een detectie en response oplossing die de volledige digitale omgeving constant monitort en die helpt om incidenten te detecteren en snel te reageren.
• Implementeer een cybersecurity awareness training zodat medewerkers goed voorbereid zijn op bijvoorbeeld social engineering aanvallen en phishing e-mails.
• Zorg ervoor dat er incident response plan klaarligt en dat er een deskundige partner is die kan helpen tijdens een cyberincident en bij eventueel herstel na een incident.

Zoals de data uit het rapport aantoont, vinden er nog steeds veel inbreuken plaats die te voorkomen waren. Wees daarom goed voorbereid zodat een eerste inbreuk niet leidt tot een grootschalige aanval.

Door: Ian McShane (foto), VP of Strategy, Arctic Wolf