Wat het nieuwste Verizon Data Breach Report ons vertelt over het dreigingslandschap ISMS.online

Wat het nieuwste rapport over gegevenslekken van Verizon ons vertelt over het bedreigingslandschap

Door Phil Muncaster • 4 juni 2024

Trends in de sector komen en gaan. maar een belangrijk onderdeel van het cyberbeveiligingslandschap van de afgelopen zeventien jaar is het Verizon Data Breach Investigations Report (DBIR). Het is een rigoureuze analyse van datalekken en incidenten in de echte wereld door Verizon en partners, wat een van de beste en meest gedetailleerde momentopnamen van het huidige dreigingslandschap oplevert. Verizon alleen al beweert jaarlijks 34 biljoen logboeken te verwerken.

Dus wat is het verhaal voor 2023? Het is zowel geruststellend als enigszins deprimerend om te zien dat – ondanks zorgen over de rol van AI in cybercriminaliteit – het de gebruikelijke verdachten zijn van misbruik van kwetsbaarheden, risico's in de toeleveringsketen en menselijke fouten die bedrijven blijven teisteren. Deprimerend omdat organisaties nog steeds geen grip hebben op het aanpakken van deze uitdagingen, maar geruststellend omdat raamwerken en standaarden voor beste praktijken een kant-en-klaar traject bieden om dergelijke risico's te beperken.

Nieuw rapport, dezelfde oude inbreuken

Dit jaar is het rapport gebaseerd op een analyse van 30,458 beveiligingsincidenten en 10,626 bevestigde inbreuken – het dubbele van een jaar geleden. Dat is geen indicatie dat er per se meer inbreuken waren; simpelweg dat het rapport meer gegevens bevat en daarom waarschijnlijk een nauwkeuriger weergave zal zijn van wat er werkelijk aan de hand is. Dus wat onthult het? Drie onderling verbonden thema’s vallen op:

1) De kwetsbaarheden nemen toe

De DBIR constateert een toename van 180% in het misbruik van kwetsbaarheden als hoofdoorzaak van datalekken. Volgens Verizon zijn ze nu verantwoordelijk voor 14% van alle inbreuken. De stijging werd vooral veroorzaakt door de toenemende exploitatie van zero-day bugs door ransomware-actoren: denk aan MOVEit. Die campagne leidde vorig jaar tot de compromis van bijna 3,000 organisaties en 95 miljoen downstream-klanten – waarvan vele in de sectoren onderwijs, financiën en verzekeringen.

Aan de ene kant is het waar dat systeembeheerders een ondankbare taak hebben. Er is een recordaantal CVE’s gepubliceerd in de Nationale Kwetsbaarheidsdatabase (NVD) voor de afgelopen zeven jaar. In 2023 telde het ruim 29,000 kwetsbaarheden. En dreigingsactoren richten zich steeds sneller op deze kwetsbaarheden. Een kwart wordt uitgebuit op de dag van hun publicatie. Toch moeten netwerkverdedigers het beter doen. Verizon constateert dat het ongeveer 55 dagen duurt om 50% van de kritieke kwetsbaarheden in de catalogus Known Exploited Vulnerabilities (KEV) van de Cybersecurity Infrastructure and Security Agency (CISA) te herstellen, zodra er patches beschikbaar zijn. De gemiddelde tijd voor gedetecteerde massale exploitatie van deze bugs bedraagt vijf dagen.

Organisaties voeren duidelijk nog steeds geen geautomatiseerde, op risico gebaseerde patchbeheerprogramma’s uit, die hen zouden helpen prioriteit te geven aan updates en de veerkracht van kritieke systemen te vergroten. Zero-day bugs zijn daarentegen moeilijker direct te blokkeren. Maar er kunnen maatregelen worden getroffen om de impact ervan te verminderen, waaronder netwerksegmentatie en voortdurende detectie en respons.

2) Derden zijn een belangrijke aanvalsvector

Een deel van de reden waarom het misbruik van kwetsbaarheden steeds vaker een initiële toegangsvector wordt, is het gevolg van producten met fouten. Dit brengt ons bij het tweede thema: risico waarbij derden betrokken zijn. Hier telt Verizon zakenpartners (zoals advocatenkantoren of schoonmaakbedrijven), externe gegevensverwerkers of beheerders zoals managed service providers en softwareleveranciers (inclusief open source) mee. Het constateert een toename van 68% in het aantal inbreuken waarbij derden op deze manier betrokken zijn, zodat deze nu 15% van het totaal uitmaken – voornamelijk veroorzaakt door afpersers die zero-day-exploits gebruiken bij aanvallen.

“Wij raden organisaties aan te gaan kijken naar manieren om betere keuzes te maken, zodat de zwakste schakels in de keten niet worden beloond”, stelt het rapport. “In een tijd waarin het openbaar maken van inbreuken verplicht wordt, hebben we misschien eindelijk de tools en informatie om de beveiligingseffectiviteit van onze potentiële partners te helpen meten.”
Deze bevindingen worden herhaald in een nieuw onderzoek van ISMS.online, The State of Information Security Report 2024. Hieruit blijkt dat de overgrote meerderheid (79%) van de informatiebeveiligingsprofessionals toegeeft dat het aanbodrisico zich heeft vertaald in ten minste één materieel veiligheidsincident in de loop van de tijd. afgelopen 12 maanden.

3) Mensen blijven een belangrijke risicofactor

Misschien wel de meest verrassende bevinding dit jaar is dat werknemers misschien wel de grootste oorzaak van datalekken zijn – direct of indirect. Bij de meeste geanalyseerde inbreuken (68%) is sprake van een ‘niet-kwaadwillig menselijk element’, wat betekent dat iemand een fout heeft gemaakt of het slachtoffer is geworden van een social engineering-aanval. Dat cijfer is vrijwel onveranderd ten opzichte van vorig jaar. Social engineering betekent phishing of, waarschijnlijker, voorwendselen – wat verband houdt met zakelijke e-mailcompromis (BEC). Dat laatste is nu verantwoordelijk voor ongeveer een kwart van de financieel gemotiveerde incidenten, onveranderd ten opzichte van een jaar geleden.

Social engineering draagt ook bij aan een opvallende bevinding van EMEA: dat de helft (49%) van alle inbreuken nu afkomstig is van binnen organisaties, in plaats van van externe actoren. Social engineering staat ook achter de aanhoudende nummer één ranglijst van ‘referenties’ als eerste actietype bij inbreuken (24%). Bij de helft (50%) van de social engineering-aanvallen worden inloggegevens aangetast. En hoewel ze soms buiten de schuld van het individu via derden worden gestolen, worden zwakke inloggegevens bij andere gelegenheden uitgebuit door brute-force aanvallers bij inbreuken. Dit komt opnieuw overeen met het ISMS.online-rapport, waaruit blijkt dat een derde (32%) van de respondenten de afgelopen twaalf maanden te maken heeft gehad met social engineering-aanvallen. Ongeveer 12% noemt bedreigingen van binnenuit.

Er is enige reden tot optimisme dat het gebruikersbewustzijn verbetert, in die zin dat gebruikers steeds beter lijken te worden in het melden van phishing. Verizon constateert dat 20% van de gebruikers phishing identificeert en rapporteert in simulatie-engagementen, en 11% van degenen die doorklikken, rapporteert dit ook. Het feit dat het cijfer van 68% voor niet-kwaadwillige menselijke fouten in een jaar tijd niet is veranderd, toont echter aan dat er nog veel werk aan de winkel is.

Tijd voor actie

Cassius Edison, hoofd professionele diensten bij Closed Door Security, waarschuwt dat de gemiddelde detectietijd van vijf dagen voor op grote schaal uitgebuite kwetsbaarheden nog steeds te lang is.

“Een gemiddelde detectietijd van vijf dagen brengt aanzienlijke risico’s met zich mee, waardoor kwaadwillende actoren mogelijk ruimschoots de tijd krijgen om kwetsbaarheden te misbruiken”, vertelt hij aan ISMS.online. “Hoewel de oplossingen om de detectiesnelheid te verbeteren, zoals verbeterde informatie over dreigingen en realtime monitoring, kosten met zich mee zouden brengen, kan het uitvoeren van een grondige risicobeoordeling helpen deze investeringen effectief te prioriteren.”

Jordan Schroeder, directeur van CISO van Barrier Networks, voegt eraan toe dat 55 dagen om te herstellen ook veel te traag is voor organisaties die serieus bezig zijn met het beperken van cyberrisico's.

“Systemen die deel uitmaken van de set die massaal wordt uitgebuit, moeten zo snel mogelijk worden bijgewerkt”, zegt hij tegen ISMS.online. “Een OT/ICS-systeem dat geen internettoegang heeft, loopt minder risico op uitbuiting. Er moet dus een risicogebaseerde beoordeling worden gemaakt van wat er moet worden bijgewerkt en hoe snel dat moet worden uitgevoerd.”
Schroeder steunt ook het gebruik van standaarden en raamwerken voor beste praktijken, zolang CISO's maar accepteren dat deze geen wondermiddel zijn.

“Ze bieden een zeer belangrijke basis voor elke organisatie om een beveiligingsprogramma op te bouwen dat voor hen werkt, en om ervoor te zorgen dat er rekening wordt gehouden met belangrijke factoren”, betoogt hij. “Ik begin altijd met het ontwerpen of verbeteren van een beveiligingsstrategie of -plan vanuit bestaande raamwerken. Ik kom niet altijd uit op een strategie of plan die perfect aansluit bij die kaders. Maar aan het einde van het proces zal de organisatie elk punt zorgvuldig hebben overwogen en iets hebben gecreëerd dat alles verklaart.”

Een mix van standaarden kan helpen om eventuele hiaten in het individuele aanbod op te vullen, zegt hij.

“Een organisatie kan haar vermogen om de gemeenschappelijke problemen die in dit rapport worden benadrukt dramatisch te verbeteren door bewust en intelligent te leunen op een mix van raamwerken en standaarden die goed bij de organisatie passen, en deze verder bewust te verfijnen om een krachtige standaard te creëren die past het beste bij de organisatie”, besluit Schroeder.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster

Informatiebeveiliging 9 December 2025

Een jaar in naleving: vijf dingen die we in 2025 hebben geleerd - banner

Een jaar in compliance: vijf dingen die we in 2025 hebben geleerd

De afgelopen 12 maanden hebben opnieuw bewezen dat het cybersecuritylandschap zelden een tekort aan incidenten kent. Grote beveiligingsinbreuken kosten organisaties ...

Phil Muncaster