Wat is de werkelijke schade na een securitydoorbraak?
2 februari 2017 -
Volgens het Cisco 2017 Annual Cybersecurity Report (ACR) heeft meer dan een derde van de organisaties die in 2016 te maken heeft gehad met een securitydoorbraak, aanzienlijke schade geleden.
Deze organisaties hebben een verlies gezien van meer dan twintig procent van hun omzet, van hun klantenbestand en van hun zakelijke kansen. 90 procent van deze organisaties werkt na de aanval aan een verbetering van hun verdediging tegen dreigingen en processen. Zij doen dat door het scheiden van IT- en securityfuncties (38 procent), meer bewustzijnstrainingen voor werknemers (38 procent) en het implementeren van technieken die de risico’s verkleinen (37 procent). Voor het rapport zijn bijna 3.000 chief security officers (CSO’s) en security operations-teamleiders uit dertien landen ondervraagd.
Belangrijkste securityuitdagingen
Het wereldwijde rapport, dat dit jaar voor de tiende maal verschijnt, geeft aan wat de belangrijkste securityuitdagingen zijn. Daarnaast gaat het rapport in op de mogelijkheden die securityteams hebben om zich te verdedigen tegen de aanhoudende evolutie van cybercrime en de steeds veranderende aanvalsmethoden. Voor de CSO’s die hun security willen verbeteren zijn te weinig budget, gebrek aan compatibiliteit en een tekort aan getrainde securitymedewerkers de belangrijkste hindernissen. Ook hebben securityafdelingen te maken met een toenemende complexiteit van hun omgeving. Twee derde van de organisaties gebruikt zes tot zelfs meer dan 50 securityproducten, wat de kans op gaten in de security sterk vergroot.
Klassieke aanvalsmethoden
Cybercriminelen proberen deze gaten steeds vaker te benutten met ‘klassieke’ aanvalsmethoden, zoals adware en e-mail spam. De hoeveelheid spam is weer op het niveau van 2010, aldus het rapport. Bijna twee derde van het e-mailvolume bestaat uit spam en acht tot tien procent daarvan is kwaadaardig. De cijfers wijzen uit dat het spamvolume wereldwijd toeneemt en dat de spam vaak wordt verspreid door grote botnets.
Time to detection
Gezien deze aanvallen is het belangrijk om te kunnen vaststellen of de securityaanpak effectief is. Cisco houdt bij hoe snel dreigingen ontdekt worden (‘time to detection’) nadat ze zijn binnengedrongen. Snelle ontdekking van een dreiging is belangrijk om de bewegingsruimte van de aanvallers zoveel mogelijk te beperken en de schade te minimaliseren.
Schade van cyberdreigingen in zakelijke termen
Het 2017 ACR-rapport laat de financiële impact zien van aanvallen op bedrijven, van MKB tot enterprise. Bij meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, is deze doorbraak in de openbaarheid gekomen. Operationele en financiële systemen werden het meest getroffen, verder werd de merkreputatie aangetast en liepen klanten weg.
22 procent van de getroffen organisaties verloor klanten – 40 procent verloor zelfs meer dan twintig procent.
29 procent verloor omzet – bij twee op de vijf bedrijven was dat meer dan twintig procent.
23 procent zag zakelijke kansen verdampen na een geslaagde aanval, 42 procent van hen verloor meer dan twintig procent.
Hackers hanteren nieuwe ‘businessmodellen’
In 2016 werd hacken steeds meer een ‘zakelijke activiteit’. Snelle technologische veranderingen, aangejaagd door digitalisering, bieden ook cybercriminelen nieuwe kansen. Hoewel aanvallers gebruik blijven maken van vertrouwde technieken, maken zij ook gebruik van nieuwe methoden die de ‘middle management’-structuur weerspiegelen van het bedrijf waar zij het op gemunt hebben.
Nieuwe aanvalsmethoden zijn gemodelleerd naar een bedrijfshiërarchie: bepaalde malvertising-campagnes hebben gebruik gemaakt van ‘tussenpersonen’ (of ‘gates’) die als middle managers kwaadaardige activiteiten maskeren. Hierdoor kunnen aanvallers sneller bewegen, hun bewegingsvrijheid behouden en ontdekking ontlopen.
Cloudmogelijkheden kunnen een risico vormen: 27 procent van door werknemers geïntroduceerde cloudapplicaties van derden – bedoeld om nieuwe zakelijke kansen te benutten en om de efficiency te verbeteren - vallen in de categorie ‘hoog risico’.
Ouderwetse adware, software die zonder toestemming van de gebruiker advertenties downloadt, blijft succesvol. Driekwart van de onderzochte organisaties heeft hier mee te maken gehad.
Een lichtpuntje is dat het gebruik van grote exploit kits zoals Angler, Nuclear en Neutrino is afgenomen doordat de eigenaren werden aangepakt. Kleinere spelers vullen echter het gat snel op.
Beveilig de business, blijf waakzaam
Volgens het 2017 ACR-rapport wordt slechts 56 procent van alle securitymeldingen onderzocht. Van de legitieme meldingen wordt minder dan de helft aangepakt. Verdedigers hebben weliswaar vertrouwen in hun tools, maar moeten vechten tegen complexiteit en gebrek aan mankracht. Hier kunnen aanvallers hun voordeel mee doen. Cisco raadt aan de volgende stappen te zetten om risico’s te minimaliseren en dreigingen te voorkomen, te detecteren en weg te nemen:
Zorg dat security een zakelijke prioriteit is. De top van het bedrijf moet het belang van security uitdragen en als een prioriteit financieren.
Breng operationele effectiviteit in kaart: evalueer securityaanpak, patchprocessen, toegang tot het netwerk, applicaties, functionaliteiten en data.
Test de effectiviteit van security: stel duidelijke meetcriteria op. Gebruik deze om de securityaanpak te valideren en te verbeteren.
Kies voor een geïntegreerde benadering van de verdediging: zet integratie en automatisering hoog op de lijst om de zichtbaarheid te verbeteren, de onderlinge samenwerking te stroomlijnen, de tijd tot ontdekking te verkorten en aanvallen te stoppen. Securityteams kunnen zich vervolgens richten op het onderzoeken en tegengaan van werkelijke dreigingen.
