In gesprek met Gabriel Basset, securityexpert namens Verizon: ‘malware wordt steeds minder effectief’

ma, 25/01/2021 - 16:55

Door: Redactie WINMAG Pro

Steeds meer beveiligingslekken hebben een financieel motief. Was financieel gewin in 2019 nog bij 71 procent van de lekken nog de drijfveer, dit jaar is dat in maar liefst 86 procent van alle gevallen zo. Dat blijkt uit het Data Breach Investigations Report dat Verizon onlangs openbaar maakte.

Gabriel Bassett is Senior Information Security Data Scientist bij het bedrijf. We vragen hem om te beginnen maar eens wat het beste nieuws is in het rapport van dit jaar. ‘Dit jaar kunnen we gelukkig op verschillende terreinen goed nieuws brengen. Zo komt malware in het rapport van dit jaar minder vaak voor dan fouten. Het aantal trojans dat betrokken is bij datalekken is gedaald met 15%. We weten dat cybercriminelen nog steeds malware proberen te gebruiken. Dit zien we namelijk terug in de gegevens van antivirusbedrijven. Maar over het algemeen zien we dat malware minder effectief is. Dat kan komen doordat het simpelweg wordt geblokkeerd voordat het tot een incident leidt. Of omdat moderne laptops ruimte bieden voor sandbox-achtige apps en webapplicaties.’

Bassett is er trots op dat Verizon dit jaar inzicht geeft in de aanvalspaden die cybercriminelen (kunnen) nemen. Als je een beveiligingslek ziet als een losstaand feit, is er alleen een ‘voor’ en een ‘na’. Het lijkt dan dat er geen enkele manier is om het lek te stoppen. Maar een aanvaller die het op je organisatie voorzien heeft, neemt altijd een aantal stappen in een bepaalde volgorde, legt hij uit. ‘Een lek begint bijvoorbeeld zelden met malware. Die malware moet namelijk ergens vandaan komen. Als je dus malware ontdekt, is dat een reden om te onderzoeken wat daaraan voorafgegaan is. Aan de andere kant eindigen lekken zelden met een sociale aanval. Dus als je sociale aanvallen ziet, moet je vooruitkijken in de tijd. Wat zouden de volgende stappen kunnen zijn? Met dit rapport, proberen we organisaties daarbij te helpen’

Net zoals fysieke inbrekers altijd kijken in welk huis ze het makkelijkst binnen kunnen komen, nemen cybercriminelen ook graag de makkelijkste weg. Ze houden van aanvallen die ze in één tot drie stappen kunnen uitvoeren. Alles (zoals twee factor-authenticatie) dat de aanvaller dwingt om een extra stap te nemen voordat hij of zij het doel bereikt, werkt ontmoedigend. Zelfs als ze technisch in staat zijn om zo’n stap uit te voeren, doen ze het liever niet.

Patchen

In voorgaande edities van het DBIR wees Verizon er voortdurend op dat het niet patchen van bekende kwetsbaarheden tot veel ellende leidde. Volgens Bassett is er nog steeds ruimte voor verbetering. ‘Maar het is zeker niet meer het grootste probleem in de verdediging van organisaties tegen beveiligingslekken. Minder dan een op de twintig datalekken maakt nog maar succesvol gebruik van kwetsbaarheden. Dat is geweldig nieuws voor elke beveiligingsprofessional die zich realiseert dat hij of zij niet alles kan patchen.’

Het aandeel fouten dat tot problemen leidt, neemt daarentegen toe. Zo nemen ‘misdelivery’ (het verzenden van gegevens van persoon A naar persoon B, vaak in webapps, e-mail of fysieke mail) en ‘misconfiguration’ (vaak de privégegevens die zijn opgeslagen in publieke cloud-opslag) toe. ‘Dit hoeft niet noodzakelijkerwijs te betekenen dat er meer fouten gemaakt worden hoor’, zeg Bassett. ‘Door de strengere wet- en regelgeving die er op dit punt is, komen er simpelweg meer fouten aan het licht. Rapportage van fouten is genormaliseerd. Organisaties rapporteren de fout en herstellen deze. Fouten kunnen aan iedereen binnen een organisatie te wijten zijn. Hoewel we de neiging hebben om bij verkeerd geconfigureerde cloud-opslag met de beschuldigende vinger naar de systeembeheerder te wijzen, is dat echt niet altijd terecht.’

Hoewel veiligheid over de hele linie een uitdaging blijft, zijn er aanzienlijke verschillen tussen de diverse sectoren, zegt Bassett. ‘In de maakindustrie bijvoorbeeld ging 23 procent van de malware-incidenten gepaard met ransomware, tegenover 61 procent in de publieke sector en 80 procent in de onderwijssector. Fouten zorgden voor 33 procent van de datalekken in de publieke sector - tegenover slechts 12 procent in de productiesector. In de retailsector had 99 procent van de incidenten een financieel motief, waarbij de aanvallers met name uit waren op betalingsgegevens en persoonlijke gegevens. In geen enkele andere sector is dat percentage zo hoog. Webapplicaties zijn nu de belangrijkste oorzaak van datalekken in de retailsector, in plaats van Point of Sale (POS)-apparaten. Die laatste trend zien we dan wel weer terug bij banken en verzekeraars: 30 procent van de datalekken in deze sector werd veroorzaakt door aanvallen op webapplicaties. Dat is dus absoluut een factor om rekening mee te houden in die sectoren.’

Wie geïnteresseerd is in het Data Breach Investigations Report of de ‘executive summary’ ervan, kan het gratis downloaden via https://enterprise.verizon.com/resources/reports/dbir/.