Cyberaanvallen eerder ontdekt op servers en netwerken dan op endpoints

Cybercriminelen worden eerder ontdekt op bedrijfsservers en -netwerken, dan op endpoints en mobiele apparaten. Dit blijkt uit het wereldwijde onderzoek ‘7 Uncomfortable Truths of Endpoint Security’ van securityspecialist Sophos onder 3.100 IT-beleidsmakers in twaalf landen.

Uit het onderzoek blijkt dat 37 procent van de belangrijkste aanvallen op bedrijfsservers plaatsvonden en eenzelfde percentage op netwerken. Een kleine 17 procent werd op endpoints ontdekt en nog eens 10 procent van de cyberaanvallen richtte zich op mobiele apparaten. Ruim twintig procent van de respondenten die slachtoffer werden van een cyberaanval, geeft aan niet te weten hoe de aanvallers toegang kregen. Ook heeft ruim 17 procent geen idee hoelang er al sprake was van bedreigingen, alvorens deze werden ontdekt. 

Chester Wisniewski, principal research scientist bij Sophos, benadrukt dat servers niet alleen financiële data opslaan, maar ook data van werknemers en andere gevoelige documenten. Sinds vorig jaar geldt de strenge GDPR-wetgeving, waardoor beveiligingsniveaus voor servers inmiddels historisch hoog zijn.

Endpoint niet negeren

Volgens Wisniewski is het dan ook logisch dat IT-managers zich richten op het beschermen van bedrijfskritieke servers om aanvallers ervan te weerhouden netwerken binnen te dringen. IT-managers kunnen endpoints zijn inziens evenwel niet negeren, omdat de meeste cyberaanvallen juist daar beginnen. Aan de andere kant verbaast hij zich over het aantal IT-managers dat aangeeft niet te kunnen vaststellen hoe en wanneer bedreigingen het systeem binnenkomen. Endpoint Detection and Response (EDR) biedt in deze een oplossing, zo stelt Wisniewski, gezien het bedreigingen en digitale voetafdrukken van criminelen binnen een netwerk blootlegt.

“Wanneer IT-managers de oorsprong van een aanval niet herkennen, kunnen ze risico’s niet minimaliseren of aanvalsketens onderbreken. EDR helpt IT-managers bij het identificeren van risico’s almede het opzetten van een plan aan beide uiteinden. Wanneer IT meer gericht is op opsporing, kan EDR sneller vinden, blokkeren en verhelpen. Wanneer IT nog steeds een securitybasis aan het opbouwen is, is EDR een integraal onderdeel dat de broodnodige threat intelligence oplevert.”

Uit het onderzoek blijkt dat bedrijven gemiddeld 48 dagen per jaar spenderen aan het onderzoeken van één of meer beveiligingsincidenten. IT-managers zouden dan ook de identificatie van verdachte gebeurtenissen (27 procent), alert management (18 procent) en het prioriteren van verdachte gebeurtenissen (13 procent) als de drie belangrijkste functies zien, die ze nodig hebben van EDR-oplossingen. 

Patronen blokkeren

Wisniewski is van mening dat als IT-managers diepgaande maatregelen nemen met EDR, incidenten sneller onderzocht kunnen worden. Zo zouden de meeste ‘spray and pray’-cyberaanvallen binnen enkele seconden op endpoints kunnen worden gestopt, zonder alarm te slaan. Hij is van mening dat volhardende aanvallers, inclusief doelgerichte ransomware zoals SamSam, de tijd nemen die ze nodig achten om een systeem te infiltreren. Dit doen ze bijvoorbeeld door zwakke wachtwoorden te vinden op systemen, die op afstand kunnen worden beoordeeld.

“Zodra cybercriminelen weten dat bepaalde soorten aanvallen werken, gebruiken ze deze meestal opnieuw binnen organisaties. Het aan het licht brengen en blokkeren van patronen kan bijdragen aan het terugdringen van het aantal dagen dat IT-managers besteden aan het onderzoeken van potentiële incidenten”, besluit Wisniewski.

Gerelateerd: Forse toename aantal ransomware-aanvallen in België