Microsoft Digital Defense Report 2022
Inzichten uit biljoenen dagelijkse beveiligingssignalen
Uniek gezichtspunt
Het doel van het Microsoft Digital Defense Report, nu in zijn derde jaar (voorheen het Microsoft Security Intelligence Report genaamd, met meer dan 22 gearchiveerde rapporten), is licht te werpen op het ontwikkelende digitale bedreigingslandschap in vier belangrijke focusgebieden – cybercriminaliteit, nation-state bedreigingen, apparaten en infrastructuur, en cyberbeïnvloedingsoperaties – en tegelijkertijd inzicht in en richtlijnen voor het verbeteren van cyberweerbaarheid te geven.
Microsoft heeft miljarden klanten over de hele wereld, waardoor we beveiligingsgegevens uit een breed en uiteenlopend spectrum van organisaties en consumenten kunnen verzamelen. Dit rapport is gebaseerd op onze uitgebreide en diepgaande signaalintelligentie uit heel Microsoft, waaronder de cloud, eindpunten en de intelligente rand. Dit unieke gezichtspunt geeft ons een zeer betrouwbaar beeld van het bedreigingslandschap en de huidige staat van cyberbeveiliging, waaronder indicatoren die ons helpen te voorspellen wat aanvallers als volgende zullen doen. We zien transparantie en informatiedeling als essentieel om onze klanten te helpen cyberweerbaarder te worden en om het ecosysteem te beschermen.
In deze samenvatting op hoog niveau van het rapport leer je over de staat van cybercriminaliteit, hoe IoT-apparaten (Internet of Things) een steeds populairder doelwit worden, nieuwe nation-state tactieken en de opkomst van cyberhuurlingen, cyberbeïnvloedingsoperaties, en met name hoe je in deze tijden weerbaar kunt blijven.
- 43 biljoen signalen per dag, gesynthetiseerd met behulp van geavanceerde gegevensanalyse en AI-algoritmen om digitale bedreigingen en criminele cyberactiviteit te begrijpen en ertegen te helpen beschermen.
- Meer dan 8.500 technici, onderzoekers, datawetenschappers, cyberbeveiligingsdeskundigen, bedreigingszoekers, geopolitieke analisten, rechercheurs en hulpverleners uit 77 landen
- Meer dan 15.000 partners in ons beveiligingsecosysteem die de cyberweerbaarheid voor onze klanten vergroten
Cybercriminaliteit blijft toenemen, door een drastische toename van zowel willekeurige als doelgerichte aanvallen. We hebben steeds uiteenlopendere bedreigingen in het digitale landschap gezien met ontwikkelingen in cyberaanvalsmethoden en criminele infrastructuur die wordt gebruikt om de bewegingsoorlog aan te vullen tijdens de Russische invasie in Oekraïne.
Ransomware-aanvallen vormen een verhoogd gevaar voor alle individuen nu kritieke infrastructuur, bedrijven van elke omvang en nationale en lokale overheden het doelwit zijn van criminelen die het groeiende ecosysteem van cybercriminelen benutten. Naarmate ransomware-aanvallen omvangrijker zijn geworden, is hun effect uiteenlopender geworden. Voor duurzame en succesvolle bescherming tegen deze bedreiging moet er een whole-of-government strategie worden uitgevoerd in nauwe samenwerking met de particuliere sector.
Na analyse van onze reactie- en herstelactiviteiten vonden we consistent zwakke identiteitscontroles, ineffectieve beveiligingsactiviteiten en onvolledige gegevensbeschermingsstrategieën onder de getroffen organisaties.
Dit jaar was er een aanzienlijke toename in lukrake phishing en referentiediefstal om informatie te verkrijgen die wordt verkocht en gebruikt in doelgerichte aanvallen zoals ransomware, gegevensexfiltratie en -afpersing, en Business Email Compromise.
Cybercrime-as-a-Service (CaaS) is een groeiende en ontwikkelende bedreiging voor klanten over de hele wereld. De Digital Crimes Unit (DCU) van Microsoft zag voortdurende groei van het CaaS-ecosysteem met een toenemend aantal online services die cybermisdaden faciliteren, waaronder Business Email Compromise (BEC) en door mensen beheerde ransomware. CaaS-verkopers bieden steeds vaker gecompromitteerde referenties te koop aan, en we zien meer CaaS-services en -producten met verbeterde functies om detectie te vermijden.
Aanvallers vinden nieuwe manieren om technieken te implementeren en hun operationele infrastructuur te hosten, zoals het compromitteren van bedrijven om phishing-campagnes of malware te hosten of hun rekenkracht te gebruiken voor het mijnen van cryptovaluta. IoT-apparaten (Internet of Things) zijn een steeds populairder doelwit aan het worden voor cybercriminelen die wijdverspreide botnets gebruiken. Wanneer routers niet gepatcht zijn en rechtstreeks aan het internet worden blootgesteld, kunnen bedreigingsactoren ze misbruiken om toegang tot netwerken te krijgen, schadelijke aanvallen uit te voeren en zelfs hun activiteiten te ondersteunen.
Het afgelopen jaar nam hacktivisme toe, waarbij particuliere burgers cyberaanvallen uitvoeren om sociale of politieke doelen te bevorderen. Er werden duizenden individuen ingezet om aanvallen te lanceren als onderdeel van de oorlog tussen Rusland en Oekraïne. Hoewel we nog moeten zien of deze trend zal aanhouden, moet de technologische branche de handen ineenslaan om met een uitgebreid antwoord op deze nieuwe bedreiging te komen.
Het versnellen van digitale transformatie heeft het cyberbeveiligingsrisico voor kritieke infrastructuur en cyber-fysieke systemen vergroot. Terwijl organisaties de vooruitgang in computermogelijkheden benutten en entiteiten digitaliseren om te groeien, neemt het aanvalsoppervlak van de digitale wereld enorm toe.
De snelle ingebruikname van IoT-oplossingen heeft het aantal aanvalsvectoren en het blootstellingsrisico van organisaties verhoogd. Deze migratie gaat sneller dan de meeste organisaties kunnen bijbenen terwijl Malware-as-a-Service is verschoven naar grootschalige activiteiten tegen civiele infrastructuur en bedrijfsnetwerken.
We hebben een groter aantal bedreigingen waargenomen die apparaten in elk deel van de organisatie exploiteren, van traditionele IT-apparatuur tot OT-controllers (Operationele Technologie) of eenvoudige IoT-sensors. We hebben aanvallen op elektriciteitsnetten gezien, ransomware-aanvallen die OT-activiteiten verstoren, en IoT-routers die worden benut voor meer persistentie. Tegelijkertijd zijn beveiligingsproblemen in firmware – software die is ingesloten in de hardware of printplaat van een apparaat – steeds vaker het doelwit van vernietigende aanvallen.
Om deze en andere bedreigingen tegen te gaan, ontwikkelen overheden overal ter wereld beleid om cyberbeveiligingsrisico's voor kritieke infrastructuren te beheren. Veel overheden stellen ook beleid op om IoT- en OT-apparaatbeveiliging te verbeteren. De groeiende wereldwijde golf van beleidsinitiatieven creëert een enorme mogelijkheid om cyberbeveiliging te verbeteren, maar biedt ook uitdagingen voor belanghebbenden in het hele ecosysteem. Aangezien beleidsactiviteit in regio's, sectoren, technologieën en bedrijfsrisicobeheergebieden tegelijkertijd wordt nagestreefd, is er kans op overlapping en inconsistentie in bereik, vereisten en complexiteit van vereisten. Organisaties in de openbare en particuliere sector moeten de kans grijpen om cyberbeveiliging te verbeteren met extra aandacht en inspanningen voor consistentie.
- 68% van respondenten gelooft dat de ingebruikname van IoT/OT kritiek is voor hun strategische digitale transformatie
- 60% erkent dat IoT-/OT-beveiliging een van de minst beveiligde aspecten van hun infrastructuur is
In het afgelopen jaar was er onder nation-state cyberbedreigingsgroepen een verschuiving van het exploiteren van de softwaretoeleveringsketen naar het exploiteren van de IT-servicestoeleveringsketen, gericht op cloudoplossingen en leveranciers van beheerde services om downstream klanten in de overheids-, beleids- en kritieke-infrastructuursector te bereiken.
Terwijl organisaties hun cyberbeveiligingspostuur versterken, hebben nation-state actoren gereageerd door nieuwe en unieke tactieken te volgen om aanvallen te doen en detectie te vermijden. De identificatie en exploitatie van zero-day beveiligingsproblemen is een belangrijke tactiek bij deze inspanning. Het aantal zero-day beveiligingsproblemen dat het afgelopen jaar openbaar bekend is gemaakt, is gelijk aan dat van het voorgaande jaar, wat het hoogste ooit was. Veel organisaties gaan ervan uit dat de kans kleiner is dat ze slachtoffer van zero-day exploitatie-aanvallen worden als beheer van beveiligingsproblemen integraal is aan hun netwerkbeveiliging. De commoditisering van exploitaties zorgt er echter voor dat ze veel sneller aankomen. Zero-day exploitaties worden vaak ontdekt door andere actoren en in een korte tijd wijd en zijd hergebruikt, waardoor niet-gepatchte systemen risico lopen.
We hebben een toenemend aantal offensieve actoren in de particuliere sector gezien, oftewel cyberhuurlingen, die tools, technieken en services ontwikkelen en verkopen aan klanten – vaak overheden – om toegang te krijgen tot netwerken, computers, telefoons en met internet verbonden apparaten. Hoewel deze entiteiten een activum voor nation-state actoren zijn, brengen ze vaak dissidenten, mensenrechtenactivisten, journalisten, voorstanders van een civiele samenleving, en andere particuliere burgers in gevaar. Deze cyberhuurlingen bieden geavanceerde Surveillance-as-a-Service mogelijkheden die veel van de nation-states niet in hun eentje hadden kunnen ontwikkelen.
Democratie heeft betrouwbare informatie nodig om te kunnen opbloeien. Een belangrijk focusgebied voor Microsoft is de beïnvloedingsoperaties die door nation-states worden ontwikkeld en gehandhaafd. Deze campagnes schaden het vertrouwen, verhogen de polarisatie en bedreigen democratische processen.
We zien met name dat bepaalde autoritaire regimes samenwerken om het ecosysteem van informatie te vervuilen in hun gemeenschappelijke voordeel. Campagnes die de oorsprong van het COVID-19-virus probeerden te verhullen, zijn daar een voorbeeld van. Sinds het begin van de pandemie kwam Russische, Iraanse en Chinese COVID-19-propaganda extra vaak in het nieuws om deze centrale thema's te versterken.
Jaarlijkse toename van 900% in de verspreiding van deepfakes sinds 2019
We betreden ook een gouden tijdperk voor het maken en manipuleren van media met AI, aangestuurd door de toename van tools en services voor het kunstmatig maken van zeer realistische synthetische afbeeldingen, video's, audio en teksten en de mogelijkheid om snel inhoud te verspreiden die is geoptimaliseerd voor specifieke doelgroepen. Een nog verraderlijkere bedreiging op de lange termijn is ons begrip van wat waar is als we niet langer kunnen vertrouwen wat we zien en horen.
De snel veranderende aard van het informatie-ecosysteem, gecombineerd met nation-state beïnvloedingsoperaties – waaronder de samenvoeging van traditionele cyberaanvallen met beïnvloedingsoperaties en inmenging in democratische verkiezingen – vereist een whole-of-society benadering. Meer coördinatie en informatiedeling tussen overheden, de particuliere sector en de civiele samenleving is nodig voor hogere transparantie van deze beïnvloedingscampagnes en om ze bloot te stellen en te verstoren.
Er is een toenemend gevoel van urgentie om te reageren op de toenemende bedreigingen in het digitale ecosysteem. De geopolitieke motivaties van bedreigingsactoren hebben aangetoond dat nation-states hun gebruik van offensieve cyberoperaties hebben geëscaleerd om overheden te destabiliseren en wereldwijde handelsoperaties te beïnvloeden. Naarmate deze bedreigingen toenemen en zich ontwikkelen, is het cruciaal om cyberweerbaarheid in de structuur van de organisatie te bouwen.
Zoals we hebben gezien, zijn veel cyberaanvallen succesvol omdat beveiligingshygiëne op basisniveau niet wordt nageleefd. De minimale normen die elke organisatie moet implementeren, zijn:
De normaalverdeling van cyberweerbaarheid: Beveiligingshygiëne op basisniveau beschermt nog steeds tegen 98% van de aanvallen. Krijg meer informatie over deze afbeelding op pagina 109 van het 2022 Microsoft Digital Defense Report
- Uitdrukkelijk verifiëren: Zorg ervoor dat gebruikers en apparaten correct werken voordat ze toegang krijgen tot resources.
- Toegang met minimale machtigingen gebruiken: Sta alleen de machtiging toe die nodig is voor een bepaalde resource, en niets meer.
- Uitgaan van inbreuk: Ga ervan uit dat de beveiliging is omzeild en dat systemen mogelijk gecompromitteerd zijn. Dit betekent dat de omgeving continu moet worden gecontroleerd op mogelijke aanvallen.
Moderne antimalware gebruiken:
Implementeer software die kan helpen aanvallen te detecteren en automatisch te blokkeren en inzicht in de beveiligingsactiviteiten kan geven. Het bekijken van inzichten van bedreigingsdetectiesystemen is essentieel om snel en goed te kunnen reageren op bedreigingen.
Up-to-date blijven:
Niet-gepatchte en verouderde systemen zijn een belangrijke oorzaak waardoor organisaties door een aanval worden getroffen. Zorg dat alle systemen up-to-date zijn, inclusief de firmware, het besturingssysteem en de toepassingen.
Gegevens beveiligen:
Het is essentieel dat je weet welke gegevens belangrijk zijn, waar die zijn opgeslagen en of de juiste systemen zijn geïmplementeerd, zodat je de juiste bescherming kunt kiezen.
Bron: Microsoft Digital Defense Report, november 2022