8 januari 2013 -
Veel beveiligingsexperts voorspellen dat zakelijke beveiligingsincidenten in 2013 in het teken zullen staan van kwetsbaarheden in clouds, aanvallen op mobiele apparaten en grootschalige cyberoorlog. De onderzoekers achter het Verizon Data Breach Investigations Report komen echter tot een totaal andere conclusie.
Volgens hen bestaat er in 2013 een veel grotere kans op authenticatie-gerelateerde aanvallen en storingen, bedrijfsspionage, ‘hactivisme’, misbruik van kwetsbaarheden in web applicaties en social engineering.
De bevindingen van de onderzoekers van het RISK (Research Intelligence Solutions Knowledge)-team van Verizon zijn gebaseerd op gegevens die een periode van acht jaar en duizenden onderzochte beveiligingsincidenten beslaan. Hun conclusies zijn te vinden in het Data Breach Investigations Report van 2012, dat eerder werd uitgebracht.
Geen grootschalige cyberoorlog
"Veel beveiligingsexperts baseren hun voorspellingen op anekdotes en meningen. De onderzoekers van Verizon maken hiervoor echter gebruik van empirisch bewijsmateriaal. Hun doel is om bedrijven te helpen om een onderscheid te maken tussen hoofdzaak en bijzaak. Op deze manier kunnen ze de juiste maatregelen treffen om de belangrijkste bedreigingen voor 2013 voor te zijn," zegt Wade Baker, hoofdauteur van het Data Breach Investigations Report. "Eerst en vooral geloven we niet dat er in 2013 een grootschalige cyberoorlog zal plaatsvinden, hoewel een dergelijk fenomeen niet bij voorbaat is uitgesloten", aldus Baker. "Beveiligingsincidenten zullen het komende jaar met grotere waarschijnlijkheid in het teken staan van langzaam opgebouwde, onopvallende aanvallen."
Dreigingen voor 2013
Volgens het RISK-team van Verizon is in 2013 de kans op de volgende bedreigingen het grootst:
• Authenticatie-gerelateerde aanvallen en storingen staan met een waarschijnlijkheidspercentage van 90 procent bovenaan de lijst. Dit gaat onder meer om makkelijk te raden gebruikersnamen en wachtwoorden en gestolen aanmeldingsgegevens. Deze aanvallen geven in de meeste gevallen aanzet tot beveiligingsincidenten. "Negen van de tien keer maken cybercriminelen misbruik van gebruikersidentiteiten en authenticatiesystemen. Bedrijven kunnen daarom niet zonder een solide proces voor het genereren, beheren en bewaken van gebruikersaccounts en aanmeldingsgegevens voor al hun systemen, apparaten en netwerken," aldus Baker.
• Misbruik van kwetsbaarheden in internetapplicaties zal in de meeste gevallen zijn gericht op grotere ondernemingen en overheidsinstellingen; kleine en middelgrote bedrijven hebben hier minder van te vrezen. Volgens de gegevens die door het RISK-team zijn verzameld, bedraagt de kans op dergelijke aanvallen maar liefst 75%. "Gezien dit hoge waarschijnlijkheidspercentage kunnen bedrijven zich niet permitteren om deze risico’s voor lief te nemen. In 2013 zullen ze veilige bedrijfsapplicaties ontwikkelen en hun beveiliging voortdurend moeten evalueren. Ondernemingen die dat niet doen, vragen duidelijk om problemen," legt Baker uit.
• Het komende jaar zal er ook veel sprake zijn van social engineering, een aanvalstechniek die zich op mensen in plaats van computers richt. Criminelen maken daarbij gebruik van slimme — soms ook onbeholpen — misleidingstrucs om zich toegang tot bedrijfsgegevens te verschaffen. "Voor grotere ondernemingen en overheidsinstellingen is de kans op aanvallen op basis van sociale tactieken zoals phishing drie keer zo hoog", geeft Baker aan. "Het is onmogelijk om alle menselijke fouten en zwakheden uit een organisatie te bannen. Maar met de nodige waakzaamheid en een goede voorlichting van het personeel is het mogelijk om dit soort trucs een halt toe te roepen."
Volgens Baker zal er in 2013 opnieuw sprake zijn van doelgerichte aanvallen die in het teken staan van bedrijfsspionage en hacktivisme — het inbreken in computersystemen omwille van politieke redenen of een maatschappelijk doel. Daarom "is het van cruciaal belang om waakzaam te zijn op dit front."
Technische storingen
Het RISK-team verwacht niet dat de technische storingen of foutieve configuraties van de clouds van organisaties aan beveiligingsincidenten ten grondslag zullen liggen. Providers die onvoldoende of onjuiste voorzorgsmaatregelen treffen, kunnen de kans op incidenten echter wel onbedoeld vergroten.
Mobiele apparatuur
Wat mobiele apparatuur betreft zijn de onderzoekers van Verizon van mening dat er in 2013 aanmerkelijk vaker sprake zal zijn van verlies of diefstal van mobiele toestellen met onversleutelde gegevens dan van hacks en malware.
Het RISK-team verwacht verder dat cybercriminelen zich meer bezig zullen houden met aanvallen op mobiele apparaten vanwege de groeiende populariteit van mobiele betalingen onder bedrijven en consumenten. "De kans is groot dat er in 2013 op dit gebied een doorbraak zal plaatsvinden. Onze onderzoekers denken echter dat aanvallen op grote ondernemingen via mobiele apparatuur na 2013 in aantal zullen afnemen", aldus Baker.
Grote ondernemingen zijn vaak geneigd om prat te gaan op hun beveiligingsstrategie en
-programma’s. De kans dat zij zelfstandig beveiligingsincidenten detecteren, is in werkelijkheid echter veel lager dan dat ze daarvan op de hoogte worden gesteld door de politie. "En als ze deze incidenten wel ontdekken," vervolgt Baker, "is de kans groot dat ze dit per ongeluk doen." Hij concludeert: "We willen duidelijk stellen dat al deze bedreigingen in 2013 risico’s zullen blijven opleveren voor bedrijven. Onze boodschap is echter dat deze risico’s volgens onze historische onderzoeksgegevens teveel worden gehypt. De kans dat zij bijdragen tot nieuwe beveiligingsincidenten, is veel kleiner dan normaliter wordt aangenomen."
