Fortinet - FortiGuard Labs Threat Report: Disruptie belangrijkste bedreigingstrend 2020
5 maart 2021
Bastian Seibel
Fortinet
Fortinet
Wanneer Fortinet's FortiGuard Labs het bedreigingslandschap in de laatste helft van 2020 analyseert, komt er voor IT-beveiligingsdeskundigen maar één woord in gedachten: disruptie. En dit betekent meer dan alleen bedrijfsverstoring. De eerste helft van 2020 heeft snelle veranderingen geëist in de manier waarop bedrijven zaken doen en omgaan met hun klanten. Tegelijkertijd hebben cybercriminelen de angsten en zorgen van de pandemie snel uitgebuit om persoonlijke informatie te verzamelen of financiële gegevens te stelen.
Hoewel veel van dit alles doorging in de tweede helft van 2020, is wat is gedocumenteerd in het nieuwe "Global Threat Landscape Report" van FortiGuard Labs meer een uitbreiding van deze eerste, grootschalige verstoring in elke verticale en geografische sector.
Min of meer van de ene op de andere dag hebben IT-beveiligers hun beveiligingsstrategieën moeten aanpassen om hun bedrijfsnetwerken op drie fronten tegelijk te verdedigen: Aanvallen gericht op het WFH-kantoor, aanvallen op de digitale toeleveringsketen en een toename van ransomware-aanvallen op kernnetwerken.
1. het thuiskantoor blijft een populair doelwit
De barrière die bestond tussen het inloggen op het bedrijfsnetwerk vanuit een bedrijfsvestiging en vanuit huis is in 2020 bij veel bedrijven doorbroken. Bedrijfsnetwerken werden op hun kop gezet, waarbij veel werknemers nu vanuit hun thuiskantoor toegang hebben tot belangrijke netwerkbronnen en toepassingen. Deze overgang gebeurde zo plotseling dat er weinig tijd was om een effectieve cyberbeveiligingsstrategie te plannen. Het resultaat: wanneer een verouderd en soms onvoldoende beveiligd thuiskantoor wordt "gekraakt", zijn aanvallers al een grote stap dichter bij het kraken van het bedrijfsnetwerk.
Sommige bedrijven proberen nog steeds uit te vinden hoe ze de IT-beveiliging van hun bedrijf effectief kunnen uitbreiden naar de thuiskantoren van hun werknemers. Vooral in de tweede helft van 2020 behoorden exploits gericht op Internet-of-Things (IoT) apparaten zoals home entertainment systemen, home routers en aangesloten beveiligingsapparaten tot de topdreigingen. Elk van deze IoT-apparaten biedt een nieuw aanvalsoppervlak waartegen verdedigd moet worden.
Ondertussen worden bronnen die ooit verborgen waren achter een verscheidenheid aan beveiligingsoplossingen van bedrijfsniveau, in sommige situaties beschermd met weinig meer dan SSL-codering. Dit leidt tot meer succes voor cybercriminelen die thuisnetwerken aanvallen met legacy-exploits en deze vervolgens gebruiken als bruggenhoofd van waaruit zij aanvallen lanceren op het bedrijfsnetwerk en cloudgebaseerde toepassingen en middelen.
2 Digitale toeleveringsketens komen in beeld
Aanvallen op toeleveringsketens hebben een lange geschiedenis, maar de SolarWinds-affaire heeft de discussie naar een nieuw niveau getild. FortiGuard Labs heeft de vrijgegeven informatie op de voet gevolgd en gebruikt om Indicators of Compromise (IoC's) op te stellen. Uit de identificatie van het verkeer dat in december 2020 met SUNBURST in verband werd gebracht, blijkt dat de hack overal ter wereld slachtoffers vond, waarbij Five Eyes bijzonder hoge percentages IoC's liet zien.
3. De aanval van ransomware gaat door
De ransomwareactiviteit is in de tweede helft van 2020 verzevenvoudigd ten opzichte van de eerste helft van het jaar. De voortdurende ontwikkeling van Ransomware-as-a-Service, de nadruk op 'big game hunting' (grote losgelden van grote doelen) en de dreiging van het blootleggen van gecompromitteerde gegevens als de eisen niet worden ingewilligd, creëerden een schaduwmarkt met een enorme groei. Tegen het einde van het jaar werden deze praktijken in een groot deel van de aanvallen gebruikt als extra hefboom in ransomwarecampagnes.
De meest actieve van de ransomware-campagnes die tussen juli en december 2020 werden gevolgd, waren "Egregor", "Ryuk", "Conti", "Thanos", "Ragnar", "WastedLocker", "Phobos/EKING" en "BazarLoader". De sectoren waarop de ransomware-aanvallen waren gericht, waren divers en omvatten de gezondheidszorg, professionele dienstverleners, organisaties in de publieke sector en financiële dienstverleners.
Om het snel evoluerende en groeiende risico van ransomware doeltreffend aan te pakken, moeten organisaties fundamentele wijzigingen aanbrengen in de beveiliging van hun gegevens. In combinatie met de compromittering van de digitale toeleveringsketen en een beroepsbevolking die op afstand deelneemt aan het bedrijfsnetwerk, bestaat er een reëel risico dat aanvallen overal vandaan kunnen komen. Cloudgebaseerde beveiligingsoplossingen zoals SASE om apparaten buiten het netwerk te beschermen, geavanceerde endpointbeveiligingsoplossingen zoals EDR (Endpoint Detection and Response) die malware midden in een aanval kunnen verstoren, en zero-trust-toegangs- en netwerksegmentatiestrategieën die de toegang tot toepassingen en bronnen op basis van beleid beperken, moeten worden geïmplementeerd om het risico en de impact van een succesvolle ransomware-aanval te beperken.
Trends in de verspreiding van kwetsbaarheden
Patching is een voortdurende prioriteit voor organisaties om kwetsbaarheden en beveiligingslekken binnen een bedrijfsnetwerk te dichten. De uitdaging is echter vaak "welke patches?" en "wanneer moeten ze worden uitgerold?". Deze vragen zijn moeilijk te beantwoorden, omdat maar weinig bedrijven beschikken over de omvang van de gegevens die nodig zijn om een passend antwoord te geven. Toch wil Fortinet, met de expertise van FortiGuard Labs, proberen hier enig licht op te werpen:
Door de evolutie van 1500 exploits in de afgelopen twee jaar te volgen, heeft FortiGuard Labs kunnen vaststellen hoe snel en hoe wijd de exploits zich verspreiden. Het blijkt dat de meeste exploits zich in feite niet snel en op grote schaal verspreiden. Van alle exploits die de afgelopen twee jaar zijn gevolgd, werd slechts ongeveer 5% door meer dan 10% van de organisaties ontdekt. Als een kwetsbaarheid willekeurig wordt gekozen, blijkt uit de gegevens dat de kans dat een organisatie wordt aangevallen ongeveer 1 op 1000 is. Ongeveer 6% van de exploits treft binnen de eerste maand ongeveer 1% van de organisaties, en zelfs na een jaar heeft 91% van de exploits die drempel van 1% niet overschreden.
Hoe dan ook, het blijft raadzaam om zich te concentreren op kwetsbaarheden met bekende exploits en om onder deze kwetsbaarheden prioriteit te geven aan de kwetsbaarheden die zich het snelst in het wild verspreiden. Gespecialiseerde oplossingen zoals Greenbone kunnen hierbij helpen.
Oorspronkelijk artikel door Derek Manky, FortinetVertaald uit het Engels met DeepL
Ingekort en gecorrigeerd door Simon Schmischke