Stijgende aantallen inbreuken en wisselende aanvalspatronen duiden op moeilijke tijden in het verschiet
Inhoudsopgave:
Als u dacht dat datalekken slecht waren, maak dan uw gordel vast; ze worden steeds erger. In januari publiceerde het Amerikaanse Identity Theft Resource Center (ITRC) zijn rapport Rapport over gegevensinbreuk 2023. De bevindingen zijn verschrikkelijk. Het rapport, dat inmiddels zijn 18e jaargang beleeft, documenteert een enorme stijging van het aantal incidenten met datalekken. In 3,205 werden in totaal 2023 compromissen bijgehouden, een stijging van 72% ten opzichte van een recordhoogte van 1,860 in 2021.
Deskundigen zijn bezorgd dat blootgestelde toeleveringsketens en het ontbreken van een nationale wet op gegevensbescherming tegenstanders een voordeel geven.
Een moeder aller overtredingen
In dezelfde maand zagen we een van de grootste datalekken in de geschiedenis. Bijgenaamd de “Moeder van alle inbreuken” (MOAB), werden er meer dan 26 miljard gegevens gestolen uit Leak-Lookup, een zoekmachine voor geschonden persoonlijke gegevens die zijn verzameld uit meer dan 4,000 inbreuken die jaren teruggaan.
Bob Diachenko, oprichter van Security Discovery, vond de gestolen gegevens in een verkeerd geconfigureerd exemplaar online, wat betekent dat iedereen er toegang toe had kunnen hebben.
Cybersecuritybedrijf SpyCloud gevonden dat, hoewel de meeste documenten oud waren en eerder openbaar waren gemaakt, de gegevens nog steeds naar schatting 1.6 miljard records bevatten van 274 inbreuken die niet in de eigen bestaande database met gecompromitteerde documenten stonden. Ongeveer dertig van de eerder niet bekendgemaakte inbreuken bevatten dubbele of verzonnen gegevens, maar de gegevens bevatten ook enkele inbreukgegevens die eerder online voor particuliere verkoop waren aangeboden.
Een dubbele bedreiging
Datalekken die leiden tot de publicatie van persoonlijke informatie online brengen verschillende gevaren met zich mee. De eerste is dat ze kunnen worden gebruikt voor credential stuffing-aanvallen, waarbij aanvallers brute-force-aanvallen op meerdere accounts automatiseren met behulp van de blootgestelde inloggegevens van één aanval.
“Het engste voor een beveiligingsteam is dat iemand toegang krijgt tot inloggegevens en binnen een organisatie kan blijven bestaan”, vertelt Will Lin, CEO van stealth security startup AKA Identity, aan ISMS.online.
Gebroken gegevens die online zijn gelekt, zijn ook een nuttig hulpmiddel bij het lanceren van gerichte aanvallen, zegt Venky Raju, veld-CTO van ColorTokens. Raju constateert de laatste tijd een daling van het gemiddelde aantal slachtoffers per inbreuk. Terwijl het aantal inbreukincidenten in 2023 enorm steeg, daalde het totale aantal slachtoffers met 16%, van 425.2 miljoen in 2022 naar iets meer dan 353 miljoen vorig jaar. Volgens het ITRC werden zes jaar geleden bij 2.2 inbreuken 1,175 miljoen records openbaar gemaakt.
“De reden waarom het aantal slachtoffers daalt, is omdat [aanvallen] nu zeer doelgericht zijn”, vertelt Raju aan ISMS.online. “Er valt meer geld te verdienen door je te richten op een klein aantal mensen waar je meer vanaf weet dan door alleen maar spray-and-pray-aanvallen uit te voeren.”
Gehackte gegevens kunnen van alles bevatten, van eenvoudige toegangsgegevens tot gedetailleerde gezondheidszorginformatie of financiële gegevens. In januari, verzekeringsgroep zei Chaucer dat de financiële gegevens van 53 miljoen mensen vorig jaar bij inbreuken in gevaar zijn gekomen.
Persoonlijke gegevens uit inbreuken stellen aanvallers in staat meer over hun slachtoffers te weten te komen, zegt Raju, waardoor ze zich effectiever op individuen kunnen richten. Hij waarschuwt voor aanvallers die deze gegevens uitbreiden met nog meer informatie die is gekocht bij datamakelaars. Deze kunnen worden gebruikt voor oplichting, waaronder het slachten van varkens, waarbij aanvallers mensen tot relaties lokken en hen vervolgens overhalen om in nepondernemingen te investeren. Deze aanvallen zijn sterk afhankelijk van social engineering.
Toeleveringsketens lopen gevaar
James Lee, Chief Operating Officer van het ITRC, stelt dat MOAB, met zijn grote aandeel aan reeds openbaar gemaakte gegevens, niet veel impact zal hebben. Hij maakt zich zorgen over een andere trend die in het rapport wordt benadrukt.
“Ik maak me veel meer zorgen over de toename van aanvallen op de toeleveringsketen en het groeiende vermogen van bedreigingsactoren om in de broncode van software te komen om zero-day-fouten te vinden en deze te exploiteren”, vertelt hij aan ISMS.online. Uit de statistieken van het ITRC blijkt dat het aantal organisaties dat het doelwit is van supply chain-aanvallen sinds 2,600 met 2018% is toegenomen, en dat het aantal slachtoffers met 1,400% is gestegen.
Dus hoe kunnen we voorkomen dat het aantal inbreuken nog verder stijgt?
“Het gebrek aan uniforme cyberbeveiligingsnormen in combinatie met een gebrek aan uniforme normen voor het melden en herstellen van datalekken [in de VS] dragen er in belangrijke mate aan bij dat we geen vooruitgang hebben geboekt in de strijd tegen datalekken”, zegt Lee. Hij roept op tot meer gestandaardiseerde rapportagemechanismen, samen met initiatieven voor naleving.
De noodzaak van standaardrapportageregels
Het delegeren van privacywetgeving aan individuele staten in de VS zorgt voor een verwarrende lappendeken. Bij gebrek aan een nationale privacywet moeten we de beste optie kiezen, zegt hij.
“De enige manier om de status quo te verbeteren is door elke staat zijn wet- en regelgeving te laten bijwerken om aan bepaalde minimumnormen te voldoen”, legt Lee uit. “Het is niet onmogelijk, maar het is niet snel of ideaal.”
De onlangs geïntroduceerde rapportageregels van de SEC zullen ertoe bijdragen dat beursgenoteerde bedrijven meer verantwoording afleggen. Vorig jaar werd echter minder dan 10% van de inbreuken door deze bedrijven gemeld, voegt hij eraan toe. Misschien zal de verordening dat aandeel dit jaar vergroten. Lee wijst erop dat bedrijven al melding maken zonder te wachten om vast te stellen of een inbreuk een materieel effect heeft of niet. Niettemin zullen de meeste inbreuken nog steeds buiten de reikwijdte van de SEC vallen, waarschuwt hij.
Wat u nu kunt doen
Hoewel federale regelgeving van de SEC ongetwijfeld zal helpen, blijft de uitdaging groot omdat aanvallers zich blijven richten op de zachte onderbuik van de economie. De inbreuken blijven komen, zoals in januari het geval was aanvallen over Global Affairs Canada, hoewel de volledige reikwijdte ervan niet werd onthuld. In februari, een ransomware-aanval bij UnitedHealth-dochter Change Healthcare verstoorde de voorschriften en bedreigde levens. Cybercriminelen dicht bij BlackCat, die de verantwoordelijkheid voor de hit opeisten, beweerde dat UnitedHealth 22 miljoen dollar heeft betaald om de publicatie van de geschonden gegevens te voorkomen.
Bedrijven kunnen actie ondernemen door robuuste beveiligingscontroles in te bouwen op basis van normen als ISO 27001, samen met andere door de industrie goedgekeurde certificeringen die passen bij hun eigen regio, sector en omvang. We zijn misschien niet in staat een opkomend tij van steeds gerichtere aanvallen te onderdrukken, maar we kunnen er in ieder geval acht op slaan en naar hoger gelegen terrein gaan.
