Het is een bekend feit dat hackers van vandaag de dag niet hoeven te hacken om IT-omgevingen te infiltreren. In plaats daarvan is misleiding de troef van de cyberaanvaller. Uit onderzoek blijkt opnieuw dat de cyberhygiëne van organisaties ondermaats is en de leidende oorzaak is voor aanvallen. Het leidt tot onnodige compromissen die achteraf ook nog eens slecht in kaart kunnen worden gebracht.
Hunt & Hackett analyseerde 54.400 incidenten om tot die conclusie te komen. Een tekortschietende cyberhygiëne hoeft niet meteen tot problemen te leiden, maar de structurele aard ervan maakt een compromis op den duur onvermijdelijk. Achterstallig IT-onderhoud, zwakke identiteitsbeveiliging en onvolledige logging zijn volgens het Trend Report de grootste aandachtspunten.
Bekende technieken domineren
Van alle incident response-trajecten die Hunt & Hackett behandelde, was 71 procent financieel gemotiveerd. Ransomware kwam het meest voor met 43 procent, gevolgd door e-mailfraude met 29 procent.
CEO Jurjen Harskamp is bezorgd over de situatie. “Ons trendrapport laat zien dat organisaties al moeite hebben om relatief eenvoudige, bekende aanvalstechnieken te weren terwijl de dreigingen in hoog tempo toenemen. Zonder een serieuze inhaalslag in weerbaarheid is de kans groot dat we de komende jaren juist méér incidenten gaan zien, niet minder.”
Aanvallers maken vooral misbruik van zwakke plekken in identiteitsbeveiliging. Gestolen inloggegevens, niet-gepatchte kwetsbaarheden in internetgerichte systemen en langdurig achterstallig IT-onderhoud zijn de voornaamste aangrijpingspunten. Toegang werd vaak verkregen via kwetsbare remote services, edge-apparaten of het gebruik van gestolen credentials.
De gebruikte technieken waren in de meeste gevallen al lang bekend, uitvoerig gedocumenteerd en detecteerbaar met de juiste controles. Toch blijkt het in complexe IT-omgevingen lastig voor organisaties om die controles structureel en op schaal te implementeren. Het speelveld van aanvallers breidt zich bovendien uit, met identiteiten als doelwit voor de meeste kwaadwillenden. Het gevolg is dat de dashboards die voorheen de juiste gevaren in kaart brachten, dat nu wellicht niet meer doen.
Logging als cruciale zwakke plek
In 86 procent van de incidentresponse-zaken belemmerde onvolledige logging en monitoring de detectie. Ontbrekende auditlogs, beperkte logretentie of systemen die buiten het securitybereik vielen, gaven aanvallers ruimte om onopgemerkt binnen te komen. Cloudomgevingen, apparaten met directe internettoegang en afhankelijkheden van leveranciers vergroten het aanvalsoppervlak verder.
Succesvolle aanvallen worden vooral mogelijk doordat preventie, zicht en regie ontbreken. Echt innovatieve technieken spelen vooralsnog een kleinere rol. Bij het merendeel van de incidenten ontbraken basisvoorwaarden voor effectieve detectie en onderzoek, zoals voldoende logretentie, consistente monitoring en geteste responsplannen. Zonder deze data is de IT-verdediging meteen op een achterstand, en forensisch onderzoek kan veelal niet achterhalen wat er precies is misgegaan buiten het feit dat de logging tekortschoot.
Ronald Prins, medeoprichter van Hunt & Hackett, ziet een fundamenteel probleem. “We praten al jaren over het oplossen van ‘low-hanging fruit’. Het probleem is geen gebrek aan bewustzijn, maar een gebrek aan uitvoeringskracht. Veel organisaties implementeren securitytools en gaan ervan uit dat die alles afvangen, maar effectieve bescherming vraagt om zichtbaarheid over het volledige aanvalspad.”
Digitale soevereiniteit en controle
Het rapport benoemt vier prioriteiten die het risico direct verlagen: versterk identiteitsbeveiliging door overmatige toegangsrechten te beperken, beperk blootstelling door internetgerichte systemen snel te patchen, vergroot zichtbaarheid door kritieke systemen securitylogs te laten genereren en test responsscenario’s zodat forensisch bewijs snel veiliggesteld kan worden.
Lees ook: Weerbaarheid gaat verder dan een cyberaanval afweren