43% van het aantal datalekken wordt veroorzaakt door aanvallen op webapplicaties. Het is voor hoofd data-analist en co-auteur van het onlangs gepresenteerde 2020 Data Breach Investigations Report (DBIR), Gabriel Bassett, de meest opvallende uitkomst van het jaarlijkse onderzoek naar datalekken door Verizon. “Aanvallers follow suit”, concludeert hij.
We doen met zijn allen steeds meer zaken online, bedrijfskritische werkprocessen worden naar de cloud verplaatst, het is dus logisch dat ook cybercriminelen steeds meer hun weg vinden naar de cloud”, legt Bassett uit. Wat volgens hem opvalt, is dat cybercriminelen voor dergelijke aanvallen geen kwetsbaarheden in webapplicaties nodig hebben. In meer dan 80% van de aanvallen werd namelijk gebruikgemaakt van gestolen of ‘brute forced’ inloggegevens. “Kwetsbaar – heden zijn vaak al gepatcht,” geeft hij aan.
Belangrijke waarschuwing
De onderzoekers stellen in het rapport dat het niet zozeer cloudsecurity is die faalt. Nee, ze zien de toename van dit soort datalekken veel meer als een illustratie van het feit dat cybercriminelen steeds weer de snelste en gemakkelijkste route naar hun slachtoffers weten te vinden. Een belangrijke waarschuwing, zeker in het licht van de toename van het aantal thuiswerkers als gevolg van de coronacrisis. En let wel, dit rapport gaat nog over de periode vóór corona wereldwijd toesloeg. “Naarmate het werken op afstand toeneemt vanwege de wereldwijde pandemie, wordt endto-end-beveiliging van de cloud naar de laptop van de werknemer van cruciaal belang”, zegt Tami Erwin, CEO van Verizon Business bij de presentatie van het 2020 DBIR eind mei jl. “We dringen er bij alle bedrijven op aan om niet alleen hun systemen tegen aanvallen te beschermen, maar ook hun werknemers te blijven voorlichten. Phishingmethoden worden namelijk steeds geavanceerder en schadelijker.”
Phishing blijft populair
Phishing is en blijft volgens het onderzoek een vruchtbare aanvalsmethode voor cybercriminelen. De meest voorkomende oorzaken (meer dan 67%) van alle datalekken zijn diefstal van inloggegevens, fouten en social engineeringaanvallen, zoals phishing. Maar er is goed nieuws: de ‘click rates’ waren nog nooit zo laag! Uit phishingtesten blijkt volgens Bassett namelijk dat nog maar 3,4% van de ontvangers klikt op een foute link. Wel is er wat hem betreft nog ruimte voor verbetering als het gaat om het melden van phishing: “Op dit vlak zien we in phishingtesten een stijgende lijn, maar niet zo’n snelle stijging als je zou wensen.” Veruit de meest voorkomende phishingmethode is nepmail. Slachtoffers van phishing worden in 96% van de gevallen benaderd via een e-mail die afkomstig lijkt te zijn van een CEO of een andere leidinggevende. In de mails wordt volgens de onderzoekers steeds vaker direct gevraagd om een bedrag over te maken. De stap om bepaalde persoonsgegevens op te vragen wordt overgeslagen. “Why waste time with monetizing data?”, lijkt het devies.
Geld, geld, geld
Money, money, money, is dé drijfveer van cybercriminelen. 86% van de datalekken was gericht op financieel gewin, zo blijkt uit het DBIR. In 2019 was dit nog 71%. Misschien wel de belangrijkste conclusie die je uit het rapport kunt trekken: de wereld van cybercrime draait nog altijd om geld. Bassett: “Ben je als organisatie dus bewust van wat je aan interessante ‘waar’ in huis hebt.” De financiële drijfveer is sowieso de belangrijkste trend die je volgens hem kunt afleiden uit de DBIR-rapporten van de laatste jaren. “Attackers try to make a buck”, is de formulering die hij gebruikt. “En spionage komt dus veel minder voor dan je wellicht zou denken als je kranten, films en tv-series moet geloven.”
Dat veel aanvallers uit zijn op een ‘easy buck’ blijkt volgens Bassett bijvoorbeeld ook uit het feit dat het aantal gevallen van ransomware nog steeds toeneemt. Als er malware wordt aangetroffen gaat het in 27% van de gevallen om ransomware, tegenover 24% een jaar geleden. “Aanvallers hoeven als het om ransomware gaat niet eens over enige kennis op het gebied van IT of security te beschikken”, geeft hij aan. “Ransomware-as-a-service is alom beschikbaar: superefficiënt, want directly moneytisable”. Een groot probleem dat nog altijd groter wordt, zo waarschuwen de onderzoekers.
Be prepared to be imperfect
Een wijdverspreid misverstand dat door het onderzoek wordt ontkracht, is dat cyberaanvallen vaker van binnenuit dan van buitenaf plaatsvinden. Uit het onderzoek blijkt namelijk dat 70% van de datalekken wordt veroorzaakt door mensen van buitenaf. Grotendeels georganiseerde criminele groeperingen. Zij zitten achter 55% van alle datalekken. Opvallend is wel dat de DBIR-onderzoekers een groot aantal datalekken hebben gevonden die terug te leiden zijn tot fouten van interne medewerkers. 881 tegenover 424 in het rapport van vorig jaar. “Errors definitely win the award for best supporting action this year”, zo lezen we. Dit heeft volgens Bassett echter veel meer te maken met het feit dat fouten eerder en vaker worden gemeld, dan dat medewerkers méér fouten maken. Daarbij stelt hij ‘is er bij het merendeel van de interne fouten géén kwade opzet in het spel’. Hij adviseert organisaties dan ook medewerkers zo goed mogelijk te faciliteren en hen te helpen hun werk te doen in een omgeving die het maken van fouten toestaat. “Be prepared to be imperfect”, stelt hij. Dit door een omgeving te creëren waarin het toegeven van fouten de norm is en niet de uitzondering, omdat iemand ervoor wordt afgestraft. “Niemand is perfect. Bereid je dus voor op fouten, los ze vervolgens op, voorkom ze en ga samen verder. Don’t overreact otherwise you get stuck in a blame game”, waarschuwt hij.
Asset management
Een tweede belangrijke security tip die Bassett organisaties wil geven, heeft te maken met gedegen asset management. Hij noemt het ‘the key issue to manage vulnerabilities’. Want, hoewel patching als het gaat om bekende kwetsbaarheden lijkt te werken – minder dan 5% van de datalekken wordt veroorzaakt door het misbruik van zo’n kwetsbaarheid, zo blijkt uit het onderzoek – kunnen grote problemen binnen organisaties door een gebrek aan gedegen asset management verborgen blijven. De crux zit volgens Bassett binnen veel organisaties in het ontbreken van een continu up-to-date inzicht in alle IT-assets. Wanneer een (klein) deel van de assets niet bekend is, de zogenoemde shadow IT, worden deze nooit gepatcht, en vormen ze dus de zwakke schakel. Niet alleen voor nieuwe kwetsbaarheden, maar juist ook voor oude. “Find the forgotten assets and provide the basics”, benadrukt hij.
‘Defender’s advantage’
Gevraagd naar een overall advies voor organisaties kan Bassett kort zijn. “We hebben allemaal te maken met dezelfde issues. Dus focus op de basis, ‘the obvious stuff’: basic firewalls, basic antivirus en patching. En gebruik het gebrek aan verandering dat we zien in de wereld van cybercrime in je voordeel. Dit door te kijken naar het soort aanvallen en aanvalstactieken die het meest voorkomen. Zo kun je als potentieel slachtoffer een ‘defender’s advantage’ creëren.” Een laatste hartenkreet van Bassett is: “Collect your own breaches”, oftewel: “Deel informatie over incidenten en lekken binnen een branche en/of regio met elkaar. Alleen zo kom je samen tot een steeds beter antwoord op cybercrime.”
Dit artikel verscheen eerder in IB Magazine #4 2020 www.pvib.nl