Wat krijg je als je een team security professionals hun ervaringen en inzichten laat bundelen? Een boeiend overzicht van de recentste trends in het cyberlandschap. En ook een uitstekend startpunt voor een leerrijk gesprek en interessante takeaways, zoals op de onlangs door Beltug georganiseerde Round Table.

Advertentie

Het Verizon Threat Research Advisory Center (VTRAC) houdt dag in dag uit de eigen netwerken en die van klanten in de gaten, en gaat op zoek naar malware-trends, onregelmatigheden aan de endpoints en in het netwerk en andere wetenswaardigheden. De resultaten hiervan worden jaarlijks gebundeld in het Data Breach Investigations Report (DBIR).

De editie 2019 was hierop geen uitzondering, wel integendeel. Met de ruim 40.000 security incidenten en 2.013 data breaches verzameld uit 86 landen wereldwijd is dit rapport relevanter dan ooit. Dankzij het diepgravende onderzoekswerk van het VTRAC-team enerzijds en de openhartigheid van de deelnemede ondernemingen anderzijds biedt dit rapport inzichten die je moeilijk elders kan vinden. Een overzicht van de belangrijkste conclusies lees je hieronder.

1. BEC (Business Email compromise) kost je ongeveer een tweedehandswagen

In het DBIR rapport worden ook cijfers van derden opgenomen. Om te berekenen hoeveel verschillende soorten data-misbruik een bedrijf hebben gekost, werd een beroep gedaan op het FBI IC3, waar slachtoffers een klacht kunnen neerleggen over een inbreuk en het geschatte verlies. Volgens hun gebundelde gegevens is de mediaan voor het gederfde bedrag bij een Business Email Compromise (waarbij de mailgegevens van een werknemer of werkgever worden misbruikt om bedrijfsgeld te laten overschrijven naar de bankrekening van de inbrekers) 25.000 US dollar, “het equivalent van een tweedehandswagen”, volgens het DBIR. Het slechte nieuws hierbij is dat het maximumbedrag 100 miljoen US dollar bedraagt. Het goede nieuws dan weer: in de helft van de gevallen konden de bedrijven 99% van het bedrag recupereren of bevriezen, en slechts 9% zag niets van zijn geld terug. Cybermisdaad rapporteren loont, zoveel is duidelijk.

2. Korte aanvallen lonen het vaakst

Een aanval komt zelden alleen. Meestal wordt een eerste stap in een aanvalstraject gevolgd door één of meerdere andere. Een geslaagde social hack wordt bijvoorbeeld meestal gevolgd door een andere vorm van misbruik, vaak het plaatsen van malware om het beoogde doel te bereiken. Maar wellicht de meest opvallende vaststelling uit het DBIR-rapport: de meeste succesvolle aanvallen bestaan slechts uit een beperkt aantal stappen. De winst mag dan meestal lager zijn, de investering is dat ook en de kans op mislukken daalt per stap minder om het doel te bereiken. De mythe dat bedrijven vooral APT’s (Advanced Peristent Threats) moeten vrezen, klopt dus enkel voor de mogelijke impact maar zeker niet voor de waarschijnlijkheid dat je hierdoor wordt getroffen.

Ook niet onbelangrijk: de eerste stap in een geslaagde data breach is, na hacking, nog altijd een fout in de infrastructuur of beveiliging bij de klant.

3. Snel benut, laat ontdekt

Weinig verrassend, maar toch vermeldenswaard: de tijd tussen een geslaagde data-breach en het benutten hiervan door de aanvallers bedraagt gemiddeld enkele minuten, tussen een geslaagde aanval en het ontdekken hiervan door het getroffen bedrijf verlopen eerder maanden. Het lijkt sterk op een spel met slechts één mogelijke winnaar, maar Stefan Englbrecht van het VTRAC nuanceert: “meestal duurt het zo lang eer een malware wordt ontdekt omdat die één keer ongemerkt is gepasseerd en nadien weken of maanden ongebruikt kan liggen wachten op een volgende actie. Het is zeldzaam dat die malware maandenlang onheil aanricht ”

4. Andere opvallende cijfers

– 69% van de aanvallen komt van externe aanvallers, bij 34% is een interne partij betrokken

– de 9 aanvalspatronen die in 2014 werden geïdentificeerd coveren nog steeds 98,5% van de security-incidenten en 88% van de bevestigde data breaches.

– Steeds minder aanvallen komen vanuit de georganiseerde misdaad (van bijna 80% in 2015 naar minder dan 40% nu). De eigen systeemadministratoren zijn steeds vaker de bron van het cyberkwaad (van 2 à 3% in 2015 naar zowat 15% in 2019), al is dat meestal eerder per vergissing dan met kwaad opzet

– 18% van wie klikte op test phishing links, deed dat vanop een mobiel toestel. Mobiele gebruikers blijken vatbaarder voor phishing, mogelijk door het gebrek aan context op het kleine scherm.

– hoewel erg gehypet door de media, is crypto-mining maar in 2% van de incidenten betrokken.

Beltug Round Table

De cijfers uit dit rapport houden vele bedrijven bezig: ze bewijzen de ernst van de cyberbedreigingen die elk bedrijf belagen, en het belang van de juiste investeringen om deze gevaren en de bijhorende risico’s in te perken. “5 van de 10 prioriteiten die onze leden voor het komende jaar hebben geïdentificeerd, hebben met security te maken”, aldus Ann Guinee, Communication Manager bij Beltug, op de Round Table die ze samen met Verizon rond dit rapport organiseerden. En de aanwezige security officers konden dit alleen maar beamen.

De voorgestelde remedies? Security uitbesteden aan een managed security services provider is de vaakst gehoorde reddingsboei: daar vind je nog een behoorlijk aantal experts en de juiste tools om het netwerkverkeer te monitoren met een betaalbaar budget. Maar ook devsecops (ontwikkelen van toepassingen met security ingebouwd vanaf het design) en de aanwezigheid van security officers in elke business line (de zogeheten BISO’s, Business Information security Officers) kunnen bijdragen tot een betere security, weet Emmanuel Baeyens, Security Executive Advisor bij Verizon: “zo zal security geleidelijk uitgroeien van cost center tot integraal onderdeel van de organisatie”.

Advertentie