De anatomie van een moderne kwetsbaarheid voor aanvallen

Voor de meeste organisaties is e-mail een essentieel onderdeel van hun dagelijkse bedrijfsvoering. Helaas blijft e-mail een belangrijke bedreigingsvector. Bij 35% van de ransomware-incidenten in 2022 was er e-mail bij betrokken⁴ Aanvallers voeren meer e-mailaanvallen uit dan ooit tevoren: in 2022 steeg het percentage phishing-aanvallen met 61% vergeleken met 2021^.5

Aanvallers gebruiken nu vaak legitieme bronnen om phishing-aanvallen uit te voeren. Hierdoor wordt het nog moeilijker voor gebruikers om onderscheid te maken tussen echte en schadelijke e-mails zodat de kans groter wordt dat er een bedreiging door heen glipt. Phishing-aanvallen waarbij om toestemming wordt gevraagd, zijn een voorbeeld van deze trend. Bedreigingsactoren gebruiken dan legitieme cloudserviceproviders om gebruikers te verleiden toestemming te geven om toegang tot vertrouwelijke gegevens te krijgen.

Zonder de mogelijkheid om e-mailsignalen te correleren aan bredere incidenten om aanvallen te visualiseren, kan het lang duren om een bedreigingsactor te detecteren die toegang heeft verkregen via e-mail. En dan kan het te laat zijn om de schade te voorkomen. Een aanvaller heeft gemiddeld slechts 72 minuten nodig om toegang te krijgen tot de privégegevens van een organisatie.⁶ Dit kan leiden tot grote verliezen voor de onderneming. Business email compromise (BEC) kost naar schatting USD 2,4 miljard aan gecorrigeerde verliezen in 2021.⁷

In de hedendaagse wereld waarin de cloud een belangrijke rol speelt, is het beveiligen van toegang belangrijker dan ooit. Krijg daarom optimaal inzicht in de identiteiten in je organisatie, inclusief machtigingen van je gebruikersaccounts, workload-identiteiten en hun potentiële kwetsbaarheden — met name omdat aanvallen in frequentie en creativiteit toenemen.

Het aantal wachtwoordaanvallen is gestegen naar ongeveer 921 aanvallen per seconde in 2022, een toename van 74% ten opzichte van 2021.⁸ Bij Microsoft hebben we ook geconstateerd dat bedreigingsactoren creatiever worden in het omzeilen van MFA (multi-factor authentication) door technieken te gebruiken als adversary-in-the-middle-phishing-aanvallen en misbruik van tokens om toegang tot de gegevens van organisaties te krijgen. Bedreigingsactoren kunnen met phishing-kits nu nog gemakkelijker aanmeldingsgegevens stelen. Microsoft’s Digital Crimes Unit heeft geconstateerd dat phishing-kits in het afgelopen jaar geavanceerder zijn geworden en dat ze gemakkelijker beschikbaar zijn. Eén verkoper bood zelfs phishing-kits voor slechts USD 6 per dag aan.⁹

Het beheren van de kwetsbaarheid voor aanvallen bij identiteiten houdt niet alleen het beveiligen van gebruikersaccounts in, ook moeten de cloudtoegang en workload-identiteiten worden beveiligd. Gecompromitteerde aanmeldingsgegevens kunnen een krachtig middel voor bedreigingsactoren zijn om grote schade aan de cloudinfrastructuur van een organisatie aan te richten.

Alleen al het aantal apparaten in de hedendaagse hybride omgeving vormt een uitdaging als het gaat om het beveiligen van eindpunten. Wat niet is veranderd is dat het beveiligen van eindpunten, met name onbeheerde apparaten, van groot belang is voor een sterke beveiligingspostuur, omdat slechts één gecompromitteerd eindpunt bedreigingsactoren al toegang tot de organisatie verschaft.

Dat organisaties beleid voor BYOD-apparaten (Bring Your Own Device) hebben omarmd, heeft geleid tot veel onbeheerde apparaten. Daarom is de kwetsbaarheid voor aanvallen op eindpunten nu groter en zichtbaarder. Een onderneming heeft gemiddeld 3500 verbonden apparaten die niet zijn beveiligd door een EDR-agent (endpoint detection and response).¹¹

Onbeheerde apparaten ( die deel uitmaken van het 'schaduw-IT'- landschap) zijn vooral aantrekkelijk voor bedreigingsactoren omdat beveiligingsteams hierin geen inzicht hebben wat nodig is om ze te beveiligen. Bij Microsoft hebben we geconstateerd dat gebruikers 71% meer kans lopen te worden geïnfecteerd op een onbeheerd apparaat.¹² Aangezien ze verbinding maken met bedrijfsnetwerken, zijn onbeheerde apparaten ook een mogelijkheid voor aanvallers om uitgebreidere aanvallen op servers en andere infrastructuur uit te voeren.

Onbeheerde servers zijn ook mogelijke vectoren voor eindpuntaanvallen. In 2021 heeft Microsoft Beveiliging een aanval waargenomen waarbij een bedreigingsactor gebruikmaakte van een niet-gepatchte server om door mappen te gaan en daarbij een wachtwoordmap ontdekte die toegang tot aanmeldingsgegevens voor accounts bood.

Een van de meest vergeten aanvalsvectoren voor eindpunten is IoT (Internet of Things). Hierbij gaat het om miljarden apparaten, groot en klein. IoT-beveiliging heeft betrekking op fysieke apparaten die gekoppeld zijn aan en gegevens uitwisselen met het netwerk, zoals routers, printers, camera's en andere soortgelijke apparaten. Hieronder kunnen ook vallen operationele apparaten en sensoren (operationele technologie ofwel OT), zoals slimme apparatuur op productielijnen.

Terwijl het aantal IoT-apparaten toeneemt, neemt ook het aantal kwetsbaarheden toe. IDC voorspelt dat er in 2025 in ondernemings- en consumentenomgevingen 41 miljard IoT-apparaten aanwezig zullen zijn.¹⁵ Omdat veel organisaties routers en netwerken beter bestand maken tegen inbreuken door bedreigingsactoren, zijn IoT-apparaten een gemakkelijker en aantrekkelijker doel. We zien vaak dat bedreigingsactoren kwetsbaarheden gebruiken om IoT-apparaten te veranderen in proxy's, waarbij ze een apparaat dat risico loopt, gebruiken om het netwerk binnen te komen. Als een bedreigingsactor toegang tot een IoT-apparaat heeft gekregen, kan deze netwerkverkeer zien voor andere onbeveiligde assets, lateraal verplaatsen om andere delen van de infrastructuur te infiltreren of verkenning uitvoeren om grootschalige aanvallen op gevoelige apparatuur en apparaten uit te voeren. In één onderzoek liet 35% van de beveiligingsprofessionals weten dat in de afgelopen twee jaar een IoT-apparaat was gebruikt om een uitgebreidere aanval op hun organisatie uit te voeren.¹⁶

Helaas is IoT vaak een black box voor organisaties wat betreft zichtbaarheid en hebben veel organisaties niet de juiste beveiligingsmaatregelen geïmplementeerd voor IoT-apparaten. 60% van de beveiligingsprofessionals noemde de beveiliging van IoT en OT een van de minst beveiligde aspecten van hun IT- en OT-infrastructuur.¹⁷

Tegenwoordig omvat de externe kwetsbaarheid voor aanvallen van een organisatie meerdere clouds, complexe digitale toeleveringsketens en een groot aantal ecosystemen van derden. Het internet is nu onderdeel van het netwerk en ook al is het internet enorm groot, beveiligingsteams moeten de aanwezigheid van hun organisatie op het internet op dezelfde manier beveiligen als alles achter hun firewalls. En nu meer organisaties de principes van Zero Trust gebruiken, is de bescherming van zowel interne als externe kwetsbaarheid voor aanvallen een uitdaging op internetschaal geworden.

De wereldwijde kwetsbaarheid voor aanvallen neemt toe met het internet en wordt elke dag nog groter. Bij Microsoft hebben we deze toename voor veel typen bedreigingen, zoals phishing-aanvallen, gezien. In 2021 richtte Microsoft’s Digital Crimes Unit zich op de verwijdering van meer dan 96.000 unieke phishing-URL's en 7700 phishing-kits, wat leidde tot de identificatie en sluiting van meer dan 2200 schadelijke e-mailaccounts die werden gebruikt om gestolen klantaanmeldingsgegevens te verzamelen.²⁴

De externe kwetsbaarheid gaat veel verder dan de eigen assets van een organisatie. Deze omvat vaak leveranciers, partners, niet-beheerde persoonlijke apparaten van werknemers die verbonden zijn met bedrijfsnetwerken of -assets en nieuw verworven organisaties. Het is daarom van groot belang zich bewust te zijn van externe verbindingen en blootstelling om mogelijke bedreigingen te voorkomen. Een Ponemon-rapport uit 2020 toonde aan dat in de afgelopen twee jaar 53% van de organisaties met ten minste één gegevensinbreuk te maken had gehad, die werd veroorzaakt door een derde partij en waarvan het herstel gemiddeld USD 7,5 miljoen kostte.²⁵

Omdat de infrastructuur achter cyberaanvallen toeneemt, is het verkrijgen van zichtbaarheid in de bedreigingsinfrastructuur en het inventariseren van voor het internet zichtbare assets urgenter dan ooit. We hebben gemerkt dat organisaties vaak moeite hebben om goed te bepalen wat de omvang van hun externe zichtbaarheid is. Dit kan tot significante blinde vlekken leiden. Deze blinde vlekken kunnen dramatische gevolgen hebben. In 2021 had 61% van de bedrijven te maken met een ransomware-aanval die leidde tot minimaal een gedeeltelijke verstoring van de bedrijfsvoering.²⁶

Bij Microsoft raden we klanten vaak aan hun organisatie als buitenstaander te bekijken bij het evalueren van de beveiligingspostuur. Naast VAPT (Vulnerability Assessment and Penetration Testing) is het belangrijk beter inzicht te krijgen in je externe kwetsbaarheid voor aanvallen zodat je kwetsbaarheden in je gehele omgeving en het uitgebreide ecosysteem kunt identificeren. Als je een aanvaller zou zijn die probeert binnen te komen, hoe zou je dit doen? Inzicht in de volledige kwetsbaarheid voor aanvallen van je organisatie is van essentieel belang voor de beveiliging.

Hoe kan Microsoft helpen

Het hedendaagse dreigingslandschap verandert constant en organisaties moeten een beveiligingsstrategie hebben die hun in staat stelt dit bij te houden. Toegenomen organisatorische complexiteit en zichtbaarheid, samen met het hoge aantal bedreigingen en de lage drempel om deel uit te maken van de cybercriminaliteit, maken het urgenter dan ooit om de kwetsbaarheid voor aanvallen bij elke verbinding in en tussen onderdelen te beveiligen.

Beveiligingsteams hebben krachtige bedreigingsinformatie nodig om zich te beschermen tegen de hedendaagse talrijke en nieuw opkomende bedreigingen. Bij de juiste bedreigingsinformatie worden signalen van verschillende plaatsen gecorreleerd. Hierdoor wordt er tijdige en relevante context voor het huidige aanvalsgedrag en trends geboden zodat beveiligingsteams met succes beveiligingsproblemen kunnen identificeren, waarschuwingen kunnen prioriteren en aanvallen kunnen tegengaan. En als er een inbreuk plaatsvindt, is bedreigingsinformatie kritiek om verdere schade te voorkomen en de beveiliging te verbeteren zodat een dergelijke aanval niet opnieuw kan plaatsvinden. Eenvoudig gezegd, organisaties die meer bedreigingsinformatie gebruiken zullen veiliger en succesvoller zijn.

Microsoft heeft een zeer goed beeld van het zich ontwikkelende bedreigingslandschap, met een dagelijkse analyse van 65 biljoen signalen. Door deze signalen in realtime te correleren met kwetsbaarheden voor aanvallen, biedt de bedreigingsinformatie die in Microsoft Beveiliging-oplossingen is ingebouwd inzicht in de steeds groter wordende ransomware- en bedreigingsomgeving, zodat je meer aanvallen kunt zien en stoppen. En met geavanceerde AI-mogelijkheden, zoals Microsoft Copilot voor beveiliging, kun je nieuwe bedreigingen voorblijven en je organisatie op machinesnelheid beschermen, waardoor je beveiligingsteam de middelen krijgt om complexiteit te vereenvoudigen, te ondervangen wat anderen missen en alles te beveiligen.