Een korte handleiding voor CISO’s bij het 2020 Data Breach Investigations Report van Verizon

Voor het 13e achtereenvolgende jaar heeft Verizon zijn Data Breach Investigations Report uitgebracht. Het rapport is een uitgebreide bron van informatie over datalekken die waardevolle inzichten bevat voor CISO’s en CIO’s. Dit jaar bestaat het rapport uit gegevens afkomstig van 81 organisaties, waaronder cybersecuritybedrijven, wetshandhavingsinstanties, ISAC’s (Information Sharing and Analysis Centres), CERT’s (Computer Emergency Response Teams), adviesbureaus en overheidsinstanties. Het rapport bevat 157.525 gemelde incidenten en 108.069 beveiligingslekken. De 119 pagina’s bevatten heel wat informatie om te verwerken. In deze post bespreken we de belangrijkste bevindingen en geven we enkele aanbevelingen voor uw beveiligingsactiviteiten.

Wie zitten er achter de meeste cyberaanvallen?

Hoewel aanvallen van binnenuit zeker een rol spelen (ze maken zo’n 30% van het totaal uit) en wellicht ook nog in aantal toenemen, komt het grootste aantal dreigingen voor uw organisatie wel degelijk van buiten. De gegevens over het afgelopen jaar laten zien dat 70% van de beveiligingslekken afkomstig was van externe actoren. Slechts in 1% van de gevallen waren meerdere partijen betrokken en eveneens 1% had betrekking op acties van partners. Het rapport meldt daarover het volgende:

“In brede kringen heerst de mening dat insiders de grootste dreiging voor de beveiliging van een organisatie zijn, maar naar onze mening is dat een misvatting.”

We willen de lezer wel waarschuwen niet de fout te begaan om te geloven dat het aantal dreigingen vanuit een bepaalde bron evenredig is aan de mate waarin deze dreigingen een risico vormen: één aanval van een insider kan in potentie tien maal schadelijker zijn dan een externe aanval, afhankelijk van de aard van het incident. En hoewel beveiligingsteams aanvallen van alle mogelijke bronnen in de gaten moeten houden, maken de cijfers toch aardig duidelijk dat de externe threat actors in de rij staan om uw verdedigingslinie neer te halen.

Maar wie zijn al die “externe actoren”, behalve dat het geen mensen zijn die u in dienst heeft? Circa 55% werd gecategoriseerd als “georganiseerde misdaad”, waarmee de onderzoekers verwijzen naar “criminelen met een proces, geen maffia”. Een wellicht betere omschrijving is deze: een aanval door criminelen met een doel en methodologie die duidelijk waarneembaar zijn. In het volgende gedeelte gaan we het over “doelen” hebben, maar we willen hier nog vermelden dat het gebruik van het woord “crimineel” de aan een staat gelieerde actoren uitsluit en dat het gebruik van “een proces” opportunistische aanvallen, hacktivisten en aanvallen waarvan het motief niet vast te stellen is, uitsluit.

Wat willen threat actors precies?

Als uw antwoord op deze hamvraag “geld” was, dan had u gelijk. Althans, voor het leeuwendeel van de gevallen. Zo’n 86% van de beveiligingslekken had volgens het rapport een financieel motief. Dat zou binnen de securitysector niemand moeten verbazen, maar voor anderen in uw organisatie, die voortdurend van alles horen over staatshackers en APT’s (Advanced Persistent Threats), is dat misschien wel een verrassing.

Die focus op financieel gewin leidt ook tot een ander interessant punt: aanvallers voeren vooral aanvallen uit waarbij niet meer dan twee of drie stappen betrokken zijn. Alles wat ingewikkelder is dan dat, wordt niet toegepast of hoort mogelijk bij meer aanhoudende aanvallers. De uitleg daarvoor is dat als u een cybercrimineel bent en financieel gewin als doel hebt, u aanvallen zoveel mogelijk zult willen automatiseren. Het plukken van laaghangend fruit is altijd te verkiezen boven tijd en moeite investeren in een gehard doelwit. Werken op snelheid en op de juiste schaal, plus het gebruik van geautomatiseerde tools voor targeting en misbruik, is een eenvoudig ROI-sommetje. De les voor de verdedigers ligt voor de hand: als u de basis goed afschermt en de boeven een hoop werk bezorgt, zal het merendeel al snel elders zijn heil zoeken.

Maar terwijl geld uiteindelijk dat is wat aanvallers echt willen, krijgen ze vaak heel wat meer te pakken. Zo bleek 58% van de aanvallen te resulteren in buitgemaakte persoonsgegevens en bij 37% van de aanvallen werden inloggegevens van slachtoffers gebruikt of gestolen. En zoals we verderop zullen zien, zijn inloggegevens inderdaad een belangrijk doelwit van threat actors. Houd er ook rekening mee dat uw organisatie kan worden misbruikt als opstapje naar een ander, waardevoller doelwit. Misschien hebt u een slecht beveiligde server die een aanvaller alleen maar wil hacken om in te zetten in een botnet bij een DDoS-aanval tegen iemand anders. Het is ook mogelijk dat u deel uitmaakt van de supply chain van een lucratiever slachtoffer, of dat u een gehackte MSP bent waarbij het eigenlijke doelwit van de threat actor uw klanten zijn en niet uw organisatie op zich.

Hoe doorbreken hackers uw verdediging?

Hier spreken de cijfers boekdelen: gestolen, met phishing of brute force verkregen, inloggegevens zijn het belangrijkste doelwit van aanvallers om uw netwerk binnen te komen. Zijn ze eenmaal binnen, dan is het stelen van nog meer inloggegevens voor persistentie of om te verkopen, een van de belangrijkste motieven. Meer dan 80% van de beveiligingslekken via hacking had te maken met een of andere vorm van brute force of het gebruik van verloren of gestolen inloggegevens. Dat verrast ons totaal niet. Credential stuffing, waarbij een lijst met (vaak via andere beveiligingslekken verkregen) combinaties van gebruikersnamen en wachtwoorden wordt ingevoerd bij verschillende accounts, vindt volgens deze bron tientallen miljoenen keren per dag plaats.

Dat hangt nauw samen met het feit dat veel organisaties een substantieel deel van hun services en gegevens hebben overgezet naar de cloud, waar het moeilijker is om malware te plaatsen. In plaats daarvan kiezen aanvallers voor een veel simpelere, schaalbare oplossing: ze bombarderen de service met inlogverzoeken door gebruik te maken van de inloggegevens die ze gestolen of opgehaald hebben uit datadumps. En omdat de agressievere ransomwareaanvallen nu gegevens exfiltreren om die vervolgens te versleutelen, is het zeer aannemelijk dat die gegevens worden verkocht of zelfs opnieuw worden gebruikt door dezelfde aanvallers om op een later tijdstip weer binnen te sluipen in het account van dezelfde organisaties. De opstellers van het rapport zeggen daarover het volgende:

“Het blijkt een alomtegenwoordig proces te zijn dat vaak de volgende stappen bevat: ontdek een lek, neem dat op in je lijst, gebruik brute force overal op internet. Haal leeg en herhaal.”

Gezien de sterke focus op het stelen van inloggegevens voor misbruik en persistentie, is het van cruciaal belang dat organisaties juist daar hun beveiliging op orde hebben.

Social engineering is nog altijd de meest voorkomende manier om nieuwe inloggegevens te stelen, een voet aan de grond te krijgen in organisaties en/of organisaties via fraude geld afhandig te maken. Zo’n 96% van de phishingaanvallen vond plaats via schadelijke e-mails of malspam. De bestandstypen die hiervoor door actoren verreweg het meest werden gebruikt, waren Office-documenten en Windows-apps. Andere, minder gebruikte bestandstypen, waren shellscripts, archieven, Java, Flash, PDF’s, DLL’s en Linux-, Android- en macOS-applicaties.

Welke bedrijfsmiddelen zijn het vaakst doelwit van aanvallers?

Hoewel aanvallen op lokale bedrijfsmiddelen nog altijd zo’n 70% van alle beveiligingslekken uitmaken, waren afgelopen jaar middelen in de cloud bij circa 24% van de beveiligingslekken betrokken. Daarbij ging het in 73% van de gevallen om e-mail- of webapp-servers, en in die gevallen werden 77% van de tijd inloggegevens gestolen. Het is duidelijk dat de aanvallers begrijpen dat organisaties hun gevoelige informatie nu opslaan in infrastructuur en applicaties in de cloud, en met hun activiteiten deze trend volgen om die informatie binnen te halen en te gelde te maken.

Webapp-servers vormen meer dan enig ander bedrijfsmiddel het doelwit (social engineering van mensen inbegrepen). Dat gaat meestal gepaard met het gebruik van gestolen inloggegevens (zoals eerder vermeld) of misbruik maken van niet-gepatchte kwetsbaarheden.

Beveiligingsteams moeten rekening houden met dit specifieke punt: slechts ongeveer de helft van alle gemelde kwetsbaarheden wordt tijdens de eerste drie maanden na de ontdekking ervan gepatcht. Dit zorgt voor twee zwakke punten. In de eerste plaats reageren aanvallers snel om de patchcyclus te slim af te wezen en maken ze daarbij gebruik van services als Shodan om het hele internet te scannen op kwetsbare apparaten. In de tweede plaats, en dat is iets wat makkelijk over het hoofd kan worden gezien, blijkt dat IT-teams die de eerste drie maanden na ontdekking geen patches installeren, dat in veel gevallen ook daarna niet meer doen. Kwetsbaarheden die speciale aandacht van aanvallers krijgen, hebben betrekking op het infecteren van SQL-, PHP- en lokale bestanden, met name bij targets in de retailsector.

Dragen slechte beveiligingspraktijken bij aan uw eigen ondergang?

Vergissen is menselijk wordt gezegd, maar organisaties bestaan uit mensen geleid door processen, en organisaties, zo niet de mensen daarbinnen, kunnen menselijke fouten beheersen met een betere implementatie van processen en een beter toezicht op die processen. Meer in het bijzonder blijken menselijke fouten die tot verkeerd geconfigureerde opslag leiden, steeds vaker voor te komen bij gemelde beveiligingslekken. Volgens de cijfers waren fouten een belangrijke oorzaak in 22% van de bevestigde beveiligingslekken. Als we dat in de juiste context plaatsen, is dat hetzelfde percentage dat wordt toegekend aan social engineering als tactiek die voor dezelfde dataset wordt ingezet.

Enerzijds is er het goede nieuws dat een bepaald deel van de beveiligingslekken, en misschien wel een aanzienlijk deel daarvan, die veroorzaakt worden door verkeerd geconfigureerde opslag, wordt gemeld door beveiligingsonderzoekers en niet wordt ontdekt door threat actors. Anderzijds is er het slechte nieuws dat dergelijke meldingen voor krantenkoppen zorgen en leiden tot reputatieschade. Hoewel dat moeilijk in cijfers is uit te drukken, kan dat net zoveel kosten als diefstal van gegevens door een threat actor.

Wat zijn voor aanvallers de favoriete vormen van malware?

Bij ongeveer 17% van de bevestigde beveiligingslekken was een bepaalde vorm van malware betrokken. Daarvan was 27% ransomware, wat niet zo verrassend is gezien het volume aan spraakmakende incidenten die het afgelopen jaar in de media terechtkwamen.

Zoals SentinelLabs al enige tijd heeft gemerkt, bevatten ransomwaretactieken de laatste maanden een element van afpersing: door gegevens te exfiltreren en vervolgens te versleutelen, kunnen criminelen met ransomware overgaan tot het gijzelen van klantgegevens of IP-adressen die gevoelig zijn voor lekken, als er niet wordt betaald. In feite begon deze trend pas na het verzamelen van de gegevens voor Verizon, dus die trend zal nog duidelijker te zien zijn in het rapport van volgend jaar. Maar al vóór oktober 2019 (de laatste datum voor invoer in het rapport voor 2020) was het duidelijk dat ransomware steeds meer toenam tijdens het voorafgaande deel van het jaar. Ransomware werd gemeld als:

“…de op twee na meest voorkomende variant van beveiligingslekken met malware en de op een na meest voorkomende variant van malware-incidenten.”

Van de verschillende sectoren die in het rapport zijn opgenomen, werden in de loop van het jaar met name de onderwijssector en publieke sector zwaar onder vuur genomen door ransomware.

De meest voorkomende soort malware bestond uit wachtwoorddumpers. En dat is in overeenstemming met de gegevens die lieten zien dat diefstal van inloggegevens bij de meeste threat actors op de eerste plaats stond. Daarna kwamen downloaders (zoals bijvoorbeeld Emotet en TrickBot), samen met trojans, wat voornamelijk tools zijn die worden gebruikt door geavanceerde aanvallers die een langdurige persistentie via backdoors en C2-functionaliteit willen. Het is interessant om te zien dat er een scherpe daling in cryptojacking-malware heeft plaatsgevonden na de snelle opkomst in 2017 en vooral2018.

Aanbevelingen van SentinelOne

Het rapport van 119 pagina’s bevat uiteraard veel meer informatie dan we hier konden bespreken, maar we hopen dat u een duidelijk beeld hebt gekregen van de voornaamste bevindingen in het rapport. In dit gedeelte vatten we enkele aanbevelingen samen op basis van onze kennis van het rapport in zijn geheel en de eigen telemetrie van SentinelOne.

Anders dan bij APT’s het geval is, werkt het merendeel van de aanvallers niet met zeer gecompliceerde aanvallen met meerdere fasen. Dit betekent dat wanneer een aanval wordt afgevangen in een specifieke – in plaats van elke – fase van de levenscyclus van een dreiging (ook wel bekend als de ‘The kill chain’), de kansen op het voorkomen van een beveiligingslek aanzienlijk worden vergroot. En hoe eerder u dat kunt doen, hoe meer kans u hebt de aanvaller met lege handen naar huis te sturen, zodat hij zijn geluk elders moet gaan beproeven. Zoals de recente beoordelingsresultaten van MITRE ATT&CK al lieten zien, blinkt SentinelOne uit in het tegenhouden van aanvallen in elke fase, maar vooral in het voorkomen van aanvallen voordat ze voet aan de grond krijgen. Daarom is onze eerste, voor de hand liggende aanbeveling: zorg dat u een betrouwbaar en beproefd next-gen AI-platform hebt dat uw endpoints beschermt.

Zoals we hierboven hebben gezien, gebruiken aanvallers geautomatiseerde aanvallen om het zichzelf makkelijk te maken. Maak het ze moeilijker door poorten niet onnodig open te laten staan en het aantal openstaande poorten te verminderen. Zorg dat alleen essentiële services toegang tot internet hebben en houd het aantal gebruikers dat toegang heeft beperkt. SSH en Telnet (op respectievelijk poort 22 en 23) zijn een gewild doelwit voor verbindingspogingen met kwalijke bedoelingen. Wie in uw organisatie heeft die poorten echt nodig? Stel vast wat de precieze behoeften zijn en sluit alle anderen uit van toegang.

Inloggegevens zijn voor aanvallers de pot met goud aan het einde van de regenboog. Zorg ervoor dat geen van uw Windows-systemen nog gebruikmaakt van verouderde LM- en NTLMv1-versies en implementeer hier onze aanbevelingen om de inloggegevens voor Windows te beschermen.

Essentiële beveiligingsinstellingen voor Windows | 4 veelvoorkomende methoden van exfiltratie van inloggegevens bestrijden
Het dumpen van inloggegevens is de opmaat naar laterale beweging en sommige bekende aanvallen op wachtwoorden zijn nog altijd succesvol. Heeft u alles onder controle?

Gegevens zijn delevensbron van uw organisatie. Beheer de toegang tot gegevens, onderhoud een bijgewerkte inventarisatie van vertrouwelijke en gevoelige bestanden en, als allerbelangrijkste, gebruik encryptie.

Afgezien van slecht beveiligde servers vormen mensen een van de voornaamste “bedrijfsmiddelen” waarvan aanvallers misbruik willen maken via social engineering en phishingaanvallen. Houd in ieder geval de bewustwordingstraining voor uw gebruikers op peil zodat uw personeel weet wat er moet gebeuren bij phishingaanvallen. Ondersteun uw medewerkers met software voor geautomatiseerde endpointbeveiliging die malware afvangt, zelfs als ze in een schadelijke link of scam met drive-by download trappen. Leg de lat hoog voor aanvallers door 2FA en MFA te implementeren op alle inlogaccounts van gebruikers.

Fouten en misconfiguraties vormen onbedoelde achterdeurtjes waarlangs u gehackt kunt worden. Voer een grondige controle uit van uw opslagmachtigingen en, net zo belangrijk, stel de juiste controleprocessen in waarmee misconfiguraties kunnen worden vermeden en geïdentificeerd. Hoeveel mensen mogen er opslagplaatsen instellen zonder enig toezicht of controle op beveiliging? Het antwoord daarop zou ‘geen’ moeten zijn.

En tot slot, u hebt het al eerder gehoord en u zult het ongetwijfeld nog vaker horen: patch op tijd en patch vaak. Het achterwege laten van een patch binnen de eerste drie maanden na het ontdekken van een kwetsbaarheid is niet iets waaraan u uw organisatie wilt blootstellen en dat is evenmin iets waarvan u wilt dat cybercriminelen het ook ontdekken.

Conclusie

Het is misschien geen nieuws, maar het kan niet genoeg benadrukt worden: het gaat de meeste threat actors om geld. En nu organisaties steeds meer overstappen van on-premises naar de cloud, kunt u ervan op aan dat aanvallers dat ook doen. Naarmate internationale ondernemingen steeds meer overstappen op het paradigma van perimeterloze, zero-trustnetwerken, proberen aanvallers met name die onbetaalbare inloggegevens te pakken te krijgen. En terwijl organisaties nog altijd blijven vertrouwen op e-mail en van mensen verwachten dat ze op links klikken om hun werk te doen, zullen aanvallers phishinglinks blijven sturen om ook hun werk te doen.

De nieuwste gegevens over onderzoeken naar beveiligingslekken weerspiegelen het huidige gedrag van organisaties. Waar wij ook heengaan, zij volgen op de voet. Het voorkomen van lekken is een kwestie van deze symbiotische relatie leren herkennen, anticiperen op de gevaren en het implementeren van de beveiligingsoplossingen, werkmethoden en organisatieprocessen die de kosten van een aanval hoger maken dan wat de threat actor bereid is te betalen.

Neem vandaag nog contact met ons op of vraag een gratis demo aan als u wilt zien hoe SentinelOne u kan helpen uw bedrijf te beschermen tegen beveiligingslekken.