Aanvalstechnieken van cybercriminelen worden sluwer en lucratiever
17 april 2023 -
Aanvalstechnieken van cybercriminelen worden sluwer en lucratiever. Bedrijven van elke omvang, overheidsinstellingen en onderwijsorganisaties weten dat zij zich tegen nieuwe cyberdreigingen moeten beschermen. Maar kunnen en doen zij dat ook? Volgens Paul Smit, medeoprichter en CTO bij ForeNova Technologies, is er nog veel werk te verzetten.
Smit vertelt dat ForeNova Technologies in het najaar van 2022 Cybersecurity Insiders een onderzoek heeft laten uitvoeren naar de snelheid waarop bedrijven op cyberaanvallen reageren en met welke technologieën ze dat doen. Hiervoor werden gesprekken gehouden met 236 IT-experts in Canada en de Verenigde Staten. De conclusie: bedrijven zijn weliswaar op de hoogte van de gevaren, maar hebben vaak te veel tijd nodig voor detectie en incidentrespons. "Veel respondenten zien het maken en herstellen van back-ups als een van de meest efficiënte beveiligingsmaatregelen," licht Smit toe. "Dit roept de vraag op of security-managers menen dat de zaak al verloren is of in de schijnzekerheid verkeren dat cyberaanvallen hun organisatie niet kunnen deren."
Hierbij merkt Smit op dat alle respondenten het over één punt met elkaar eens zijn: "De al dan niet potentiële slachtoffers maken zich geen illusies over de vindingrijkheid en daadkracht van cybercriminelen. Minstens 32 procent van alle ondervraagde bedrijven is slachtoffer geworden van pogingen tot digitale afpersing."
Detectie is een uitdaging
Uit het onderzoek blijkt dat de meeste cyberaanvallen vaak te laat worden gedetecteerd door IT-afdeling. Cybercriminelen hebben vaak dan al 10 procent van de data bemachtigd. Dat is naar zeggen bij 81 procent van alle respondenten het geval. "In eerste instantie lijkt dit weinig, maar als het om gevoelige informatie gaat is dat genoeg om het voortbestaan van een bedrijf in gevaar te brengen," vertelt Smit. Hij wijst op een nog alarmerender feit: "Een op de tien respondenten gaf aan dat ze indringers pas opmerkten toen die al toegang hadden tot tussen de 76 tot 100 procent van alle data."
Gevraagd naar de snelheid waarmee hun IT-afdeling malware weet te detecteren zei slechts iets meer dan een vijfde van de respondenten dat dit vrijwel in real time gebeurt. Bij 22 procent vindt dit binnen enkele minuten plaats. "Als ransomware direct begint met het versleutelen of naar buiten smokkelen van data kan het dan al te laat zijn," benadrukt Smit. Bij 34 procent van alle respondenten duurt het echter een paar uur of een hele werkdag voordat de IT-afdeling een succesvolle aanval opmerkt. Bij vijf procent van de respondenten vergt dit zelfs enkele dagen. "Het zorgwekkende is dat een op de tien bedrijven niet weet wanneer ze cyberaanvallen zouden detecteren of dat ze daar zelfs maar toe in staat zijn," waarschuwt Smit.
Malware detectie
Volgens Smit kwamen de respondenten bij de vraag naar de manier waarop malware normaliter wordt gedetecteerd met opvallende antwoorden. "Volgens de meeste respondenten (83 procent) droeg endpointbeveiliging in de vorm van een anti-malware- of antivirusoplossing het meeste bij aan de detectie van cyberdreigingen. Op de tweede en derde plaats kwamen e-mail- en web gateways (55 procent) en intrusion-detection-systemen (49 procent). Daarop volgde monitoring van het netwerkverkeer met 42 procent," licht Smit toe. "Deze laatste maatregel lijkt naar verhouding met de andere te worden onderschat. Toch moeten er vraagtekens worden gesteld bij de conclusie dat de eerstgenoemde maatregelen het sterkst bijdragen aan succesvolle beveiliging. Endpointbescherming komt goed van pas bij eenvoudige cyberaanvallen. Opportunistische aanvallen kunnen bijvoorbeeld in de kiem worden gesmoord met behulp van antivirusfunctionaliteit. En ondanks de terechte aandacht voor advance persistent threats (APT’s) zijn opportunistische aanvallen in de meerderheid als het om cyberoorlogvoering gaat." Ze worden vaak gebruikt als eerste stap in complexe aanvallen. "Cybercriminelen die met geautomatiseerde scans informatie verzamelen om vervolgens het netwerk af te zoeken op waardevolle data en systemen laten zich alleen niet door een dergelijke oplossing weerhouden. Endpointbeveiliging komt in dat geval al snel te laat."
Een reddingsvest met een lek: "Back-ups en endpointbeveiliging alleen zijn niet genoeg
Smit vertelt dat, hoewel endpointbeveiliging zonder meer onmisbaar is, veel respondenten het een te belangrijke rol toekennen. Andere bedrijven lijken weer te sterk afhankelijk te zijn van back-ups. 87 procent ziet het maken en herstellen van back-ups als de effectiefste bescherming tegen cyberaanvallen. "Daaruit spreekt een misplaatst vertrouwen in back-ups," vertelt Smit. "Het herstellen van data en systemen kan op het eerste gezicht eenvoudig lijken, maar de praktijk ziet er heel anders uit. Want het opnieuw in de lucht krijgen van systemen en opnieuw invoeren van data na complexe aanvallen kan enorm veel tijd in beslag nemen. En hoe langer de downtime voortduurt, hoe groter het omzetverlies."
Maar de risico’s houden daarmee niet op. Professionele cybercriminelen versleutelen of wissen tegenwoordig back-ups alvorens data in gijzeling te houden en losgeld te vragen. Organisaties die niet over een back-up beschikken op een locatie die niet met het netwerk is verbonden lopen gevaar en wanen zich onterecht veilig. Hetzelfde geldt voor gebruikers die niet controleren of hun back-ups naar behoren werken. Smit benadrukt dat het aantal bedrijven die niet in staat zijn om data uit back-ups te herstellen niet moet worden onderschat. "Afpersers van de tweede generatie dreigen met het openbaar maken van data. Geen back-up die daartegen helpt," aldus Smit. "Wie back-ups en endpointbeveiliging als het zwaartepunt van de beveiliging of als vangnet tegen complexe cyberaanvallen ziet, geeft professionele cybercriminelen te veel speelruimte," stelt Smit. "Het anticiperen en tijdig blokkeren van nieuwe aanvallen vraagt om extra beveiligingsmaatregelen. Dan valt onder meer te denken aan monitoring van het netwerkverkeer en het analyseren van het gedrag van gebruikers en endpoints. Met forensische analyses van het dataverkeer kunnen organisaties kwetsbaarheden identificeren om te voorkomen dat hackers daar opnieuw misbruik van maken." Smit wijst erop dat alleen organisaties die in staat zijn om de eerste tekenen van aanvallen te herkennen endpoints op tijd kunnen beschermen of van het netwerk af kunnen zonderen. "Om bescherming te bieden tegen werkelijk gevaarlijke cybercriminelen die gebruikmaken van onbekende aanvalstechnieken of bekende technieken op nieuwe manieren maskeren, heb je naast endpoint detection & response en network detection & response ook de hulp van externe IT-experts nodig."
