Trace Id is missing

De anatomie van een externe kwetsbaarheid voor aanvallen

De anatomie van een externe kwetsbaarheid voor aanvallen begrijpen

Vijf elementen die organisaties moeten monitoren

De wereld van cyberbeveiliging wordt steeds complexer nu organisaties zich verplaatsen naar de cloud en gedecentraliseerd werk. Tegenwoordig spant de externe kwetsbaarheid voor aanvallen zich uit naar meerdere clouds, complexe digitale toeleveringsketens en een groot aantal ecosystemen van derden. Door de omvang van de wereldwijde veiligheidsproblemen momenteel, is onze perceptie van de uitgebreide veiligheid radicaal veranderd.

Het internet maakt nu deel uit van het netwerk. Ondanks hun enorme formaat moeten, beveiligingsteams de aanwezigheid van hun organisatie op het internet op dezelfde manier beveiligen als alles achter hun firewalls. Nu meer organisaties de principes van Zero Trust gebruiken, is de bescherming van zowel interne als externe kwetsbaarheid voor aanvallen een uitdaging op internetschaal geworden. Dit maakt het steeds belangrijker voor organisaties om inzicht te krijgen in hun totale kwetsbaarheid voor aanvallen.

Microsoft heeft RiskIQ in 2021 overgenomen om organisaties te helpen de beveiliging van hun hele digitale onderneming te beoordelen. Met behulp van de  RiskIQ Internet Intelligence Graph, kunnen organisaties bedreigingen ontdekken en onderzoeken in de componenten, verbindingen, services, IP-verbonden apparaten en infrastructuur die hun aanvalsoppervlak vormen om een robuuste, uitbreidbare verdediging te creëren.

Voor beveiligingsteams kan alleen al de diepte en breedte van wat ze moeten beschermen ontmoedigend lijken. Maar één manier om de omvang van de kwetsbaarheid voor aanvallen van hun organisatie te relativeren, is door het internet te bekijken vanuit het oogpunt van een aanvaller. Dit artikel benadrukt vijf gebieden die helpen om de uitdagingen van effectief beheer van externe kwetsbaarheden voor aanvallen beter te begrijpen.

De globale externe kwetsbaarheid voor aanvallen neemt toe met het internet

En het neemt elke dag toe. In 2020 heeft de hoeveelheid gegevens op het internet de 40 zettabytes bereikt, oftewel 40 biljoen gigabytes.1 RiskIQ constateerde dat er elke minuut 117.298 hosts en 613 domeinen2 worden toegevoegd aan de vele verweven draden die de ingewikkelde globale externe kwetsbaarheid voor aanvallen vormen. Elk hiervan bevat een set elementen, zoals de onderliggende besturingssystemen, frameworks, applicaties van derden, plugins en tracking code. Met elk van deze snel groeiende sites die deze onderdelen bevatten, neemt de reikwijdte van de globale externe kwetsbaarheid voor aanvallen exponentieel toe.

De globale externe kwetsbaarheid voor aanvallen neemt met de minuut toe

  • hosts die elke minuut worden aangemaakt.
  • domeinen die elke minuut worden aangemaakt.
  • 375 nieuwe domeinen per minuut.2

Zowel legitieme organisaties als bedreigingsactoren dragen bij aan deze groei, wat betekent dat cyberbedreigingen op schaal toenemen met de rest van het internet. Zowel verfijnde geavanceerde aanhoudende bedreiging (APT's) als kleine cybercriminelen vormen een bedreiging voor de veiligheid van bedrijven en hebben het gemunt op hun gegevens, merk, intellectueel eigendom, systemen en mensen.

In het eerste kwartaal van 2021 ontdekte CISCO 611.877 unieke phishing-websites,3 met 32 domein-inbreuken en 375 nieuwe bedreigingen per minuut.2 Deze bedreigingen richten zich op werknemers en klanten van organisaties met malafide middelen, die hen willen misleiden om op kwaadaardige koppelingen te klikken en te phishen voor gevoelige gegevens, wat allemaal het vertrouwen van merken en consumenten kan aantasten.

De toename van kwetsbaarheden door extern personeel

De snelle groei van bedrijfsmiddelen die aan het internet zijn blootgesteld heeft het spectrum van bedreigingen en kwetsbaarheden waar de gemiddelde organisatie mee te maken heeft drastisch verbreed. Met de komst van COVID-19 kwam de digitale groei opnieuw in een stroomversnelling, doordat bijna elke organisatie zijn digitale voetafdruk uitbreidde om ruimte te bieden aan extern, zeer flexibel personeel en bedrijfsmodel. Het resultaat: aanvallers hebben nu veel meer toegangspunten om te testen of aan te vallen.

Het gebruik van technologieën voor externe toegang zoals RDP (Remote Desktop Protocol) en VPN (Virtual Private Network) schoot omhoog met respectievelijk 41 procent en 33 procent,4 toen het grootste deel van de wereld een thuiswerkbeleid aannam. De wereldwijde markt voor software voor extern bureaublad bedroeg in 2019 1,53 miljard dollar en zal in 2027 zijn opgelopen tot 4,69 miljard dollar.5

Tientallen nieuwe kwetsbaarheden in software en apparaten voor externe toegang hebben aanvallers houvast gegeven die ze nooit eerder hadden. RiskIQ heeft veel kwetsbaarheden aan het licht gebracht van de populairste apparaten voor externe toegang en randapparatuur, en de enorme stroom kwetsbaarheden is niet afgenomen. In totaal werden er in 2021 18.378 kwetsbaarheden gemeld.6

Een nieuw kwetsbaarheidslandschap

  • Toename in het gebruik van RDP.
  • Toename in het gebruik van VPN.
  • Kwetsbaarheden gerapporteerd in 2021.

Met de opkomst van aanvallen op wereldwijde schaal, uitgevoerd door meerdere bedreigingsgroepen en gericht op digitale ondernemingen, moeten beveiligingsteams kwetsbaarheden verminderen voor zichzelf, derden, partners, gecontroleerde en ongecontroleerde apps en diensten binnen en tussen relaties in de digitale toeleveringsketen.

Digitale toeleveringsketens, M&A, en schaduw-IT creëren een verborgen kwetsbaarheid voor aanvallen

De meeste cyberaanvallen beginnen op kilometers afstand van het netwerk; webapplicaties vormen de vectorcategorie die het meest wordt gebruikt bij inbraken door hackers. Helaas hebben de meeste organisaties geen volledig overzicht van hun internetmiddelen en hoe deze middelen zijn aangesloten op de globale kwetsbaarheid voor aanvallen. Drie belangrijke factoren die bijdragen aan dit gebrek aan zichtbaarheid zijn schaduw-IT, fusies en overnames (M&A) en digitale toeleveringsketens.

Afhankelijkheden met risico

  • verlopen services per minuut.2
  • van de deals bevat cyberbeveiliging due diligence.7
  • van de organisaties heeft minstens één keer te maken gehad met een datalek veroorzaakt door een derde partij.8

Schaduw-IT

 

Wanneer IT de bedrijfsbehoeften niet kan bijhouden, zoekt het bedrijf elders ondersteuning voor het ontwikkelen en implementeren van nieuwe webmiddelen. Het beveiligingsteam tast vaak in het duister wat betreft deze schaduw-IT activiteiten en kan daardoor de gecreëerde middelen niet binnen het bereik van hun beveiligingsprogramma brengen. Onbeheerde en zwevende bedrijfsmiddelen kunnen na verloop van tijd een bedreiging vormen voor de kwetsbaarheid voor aanvallen van een organisatie.

Deze snelle verspreiding van digitale activa buiten de firewall is nu de norm. Nieuwe klanten van RiskIQ vinden meestal ongeveer 30 procent meer bedrijfsmiddelen dan ze dachten dat ze hadden en RiskIQ detecteert elke minuut 15 verlopen services (vatbaar voor subdomein overname) en 143 open poorten.2

Fusies en overnames

 

Dagelijkse activiteiten en cruciale bedrijfsinitiatieven zoals M&A, strategische partnerschappen en uitbesteding creëren en vergroten de externe kwetsbaarheid voor aanvallen. Vandaag de dag bevat minder dan 10 procent van alle deals wereldwijd due diligence op het gebied van cyberbeveiliging.

Er zijn diverse veelvoorkomende redenen waarom organisaties geen volledig beeld krijgen van potentiële cyberrisico's tijdens het due diligence proces. De eerste is de enorme omvang van de digitale aanwezigheid van het bedrijf dat ze overnemen. Het is niet ongewoon dat een grote organisatie duizenden of zelfs tienduizenden actieve websites en andere openbaar toegankelijke bedrijfsmiddelen heeft. Hoewel IT- en beveiligingsteams van het over te nemen bedrijf een inventarislijst van websites zullen hebben, is dat bijna altijd maar een deel van wat er is. Hoe meer gedecentraliseerd de IT-activiteiten van een organisatie zijn, hoe groter het verschil.

Toeleveringsketens

 

De onderneming is steeds meer afhankelijk van de digitale allianties die de moderne toeleveringsketen vormen. Hoewel deze afhankelijkheid essentieel is voor het functioneren in de 21e eeuw, creëert het ook een onoverzichtelijk, gelaagd en zeer gecompliceerd web van relaties met derden, waarvan vele buiten het bereik van beveiligings- en risicoteams vallen, om proactief te beschermen en verdedigen. Als gevolg hiervan is het snel identificeren van kwetsbare digitale bedrijfsmiddelen die een risico vormen een enorme uitdaging.

Door een gebrek aan inzicht in en zichtbaarheid van deze afhankelijkheden zijn aanvallen door derden een van de meest frequente en effectieve vectoren voor bedreigingsactoren geworden. Een aanzienlijk deel van de aanvallen komt nu via de digitale toeleveringsketen. Nu geeft 70 procent van de IT-professionals aan in matige tot hoge mate afhankelijk te zijn van externe entiteiten, waaronder derde, vierde of vijfde partijen.9 Daarnaast heeft 53 procent van de organisaties minstens één keer te maken gehad met een datalek veroorzaakt door een derde partij.10

Terwijl grootschalige aanvallen op de toeleveringsketen steeds vaker voorkomen, hebben organisaties dagelijks te maken met kleinere aanvallen. Digitale creditcard skimming malware zoals Magecart treft e-commerce plugins van derden. In februari 2022 ontdekte RiskIQ meer dan 300 domeinen die waren getroffen door Magecart digitale creditcard skimming malware.11

Elk jaar investeren bedrijven meer in mobiele apparaten omdat de levensstijl van de gemiddelde consument steeds mobieler wordt. Amerikanen besteden nu meer tijd aan hun mobiel dan aan live tv en de sociale afstand zorgde ervoor dat ze meer van hun fysieke behoeften mobiel deden, zoals winkelen en onderwijs. App Annie laat zien dat de mobiele uitgaven zijn gegroeid tot maar liefst USD 170 miljard in 2021, een jaarlijkse groei van 19 procent.12

Deze behoefte aan mobiele oplossingen zorgt voor een enorme toename van mobiele apps. Gebruikers hebben 218 miljard apps gedownload in 2020. RiskIQ constateert dat het aantal beschikbare mobiele apps in 2020 met 33 procent zal toenemen en dat er elke minuut 23 nieuwe apps zullen verschijnen.2

App stores zijn een toenemende kwetsbaarheid voor aanvallen

  • groei in mobiele apps.
  • mobiele apps verschijnen elke minuut.
  • app geblokkeerd om de vijf minuten.2

Voor organisaties zorgen deze apps voor bedrijfsresultaten. Dit kan echter een dubbelzijdig zwaard zijn. Apps vormen een aanzienlijk deel van de totale kwetsbaarheid voor aanvallen van een onderneming buiten de firewall, waar beveiligingsteams vaak te kampen hebben met een kritiek gebrek aan zichtbaarheid. Bedreigingsactoren profiteren van dit gebrek aan overzicht door "malafide apps" te maken die bekende merken nabootsen of op een andere manier doen alsof ze iets zijn wat ze niet zijn, met als doel klanten te misleiden zodat ze deze apps downloaden. Zodra een nietsvermoedende gebruiker deze schadelijke apps downloadt, kunnen dreigingsactoren ongehinderd naar gevoelige informatie phishen of malware uploaden naar apparaten. RiskIQ blokkeert elke vijf minuten een schadelijke mobiele app.

Deze malafide apps verschijnen soms in officiële stores en doorbreken zelfs de robuuste verdediging van deze grote app stores. Er zijn echter honderden minder betrouwbare app stores die een duistere mobiele onderwereld vormen buiten de relatieve veiligheid van gereputeerde stores. Apps in deze stores zijn veel minder gereguleerd dan in officiële app stores, en sommige worden zo overspoeld met kwaadaardige apps dat ze het veilige aanbod overtreffen.

De globale kwetsbaarheid voor aanvallen is ook een deel van de kwetsbaarheid van een organisatie

De huidige kwetsbaarheid voor aanvallen van het internet is drastisch veranderd in een dynamisch, allesomvattend en volledig verweven ecosysteem waar we allemaal deel van uitmaken. Als je actief bent op het internet, sta je in contact met iedereen, ook met degenen die je kwaad willen doen. Daarom is het volgen van de infrastructuur van bedreigingen net zo belangrijk als het volgen van je eigen infrastructuur.

De globale kwetsbaarheid voor aanvallen is een deel van de kwetsbaarheid van een organisatie

  • nieuwe malware ontdekt elke dag.2
  • toename in malware-varianten.13
  • Cobalt Strike server elke 49 minuten.2

Verschillende bedreigingsgroepen zullen infrastructuur recyclen en delen, IP's, domeinen en certificaten, en open-source tools gebruiken, zoals malware, phishkits en C2-componenten om eenvoudige toewijzing te voorkomen, door ze aan te passen en te verbeteren om aan hun unieke behoeften te voldoen.

Elke dag worden er meer dan 560.000 nieuwe malware ontdekt en het aantal phishingkits dat wordt geadverteerd op ondergrondse cybercrime-marktplaatsen is tussen 2018 en 2019 verdubbeld. In 2020 steeg het aantal gedetecteerde malwarevarianten met 74 procent.14 RiskIQ detecteert nu elke 49 minuten een Cobalt Strike C2-server.

Oorspronkelijk was de beveiligingsstrategie van de meeste organisaties een defense-in-depth benadering die begon bij de perimeter en zich terugplooide naar de bedrijfsmiddelen die beschermd moesten worden. Er zijn echter verschillen tussen dat soort strategieën en de kwetsbaarheid voor aanvallen, zoals dat in dit rapport wordt gepresenteerd. In de huidige wereld van digitale betrokkenheid bevinden gebruikers zich buiten de perimeter, net als een toenemend aantal blootgestelde digitale bedrijfsmiddelen en veel kwaadaardige actoren. Het toepassen van Zero Trust-principes op alle bedrijfsmiddelen kan helpen bij het beveiligen van de huidige beroepsbevolking door mensen, apparaten, applicaties en gegevens te beschermen, ongeacht hun locatie of de omvang van de bedreigingen. Microsoft Beveiliging biedt een reeks gerichte evaluatiehulpprogramma's om je te helpen het Zero Trust-ontwikkelingsmodel van je organisatie te beoordelen.

Verwante artikelen

Een minuut cyberbedreigingen

Iedere seconde telt tijdens een cyberaanval. Om de schaal en omvang van de wereldwijde cybercriminaliteit te illustreren, hebben we een jaar aan cyberbeveiligingsonderzoek samengevat in één 60-seconden overzicht.

Ransomware as a Service

Het nieuwste bedrijfsmodel van cybercriminaliteit, door mensen uitgevoerde aanvallen, moedigt criminelen met uiteenlopende vaardigheden aan.

Groeiend IoT en het risico voor OT

Het toenemende IoT brengt OT in gevaar, met een scala aan potentiële kwetsbaarheden en blootstelling aan bedreigingsactoren. Ontdek hoe je je organisatie beschermd houdt.