Halfjaaroverzicht: de belangrijkste beveiligings- en compliance-uitdagingen van 2024 tot nu toe

Door Phil Muncaster • 2 July 2024

In april, de regering heeft het ons verteld dat de helft van de Britse bedrijven de afgelopen twaalf maanden te maken had gehad met een inbreuk, wat zelfs nog hoger was voor middelgrote (12%) en grote bedrijven (70%). Hieruit bleek dat elementaire cyberhygiëne, risico- en toeleveringsketenbeheer en incidentrespons nog steeds ontbreken bij een zorgwekkend groot deel van deze organisaties.

Maar hoe zit het met de afgelopen zes maanden? We zijn nog maar halverwege het jaar, maar er zijn al enkele belangrijke thema’s naar voren gekomen die waarschijnlijk het veiligheids- en compliance-verhaal van 2024 zullen domineren. Onze top vijf is:

De NVD verkeert in crisis

Uitbuiting van kwetsbaarheden is weer in de mode. Mandiant vorderingen 38% van de inbraken in 2023 begon op deze manier, een jaarlijkse stijging van zes procentpunten. Dit is slecht nieuws voor netwerkverdedigers omdat, misschien wel, de belangrijkste bron van informatie over kwetsbaarheden ter wereld – de National Vulnerability Database (NVD) van NIST – is effectief verlamd voor meerdere maanden. Als gestandaardiseerde opslagplaats van verrijkte CVE-gegevens is het een cruciaal onderdeel geworden van de geautomatiseerde patch- en kwetsbaarheidsbeheerprocessen van veel bedrijven, evenals van beveiligingstools. A plotselinge vertraging in Door de verwerking van CVE’s sinds februari zijn beveiligingsteams op zoek gegaan naar alternatieve inlichtingenbronnen.

Verizon beweert dat detecties van misbruik van kwetsbaarheden als initiële toegangsvector voor datalekken in 180 met 2023% op jaarbasis zijn gestegen. Het is nu verantwoordelijk voor 14% van alle inbreuken – wat betekent dat beveiligingsteams dringend moeten nadenken over aanvullende bronnen van CVE informatie, zoals de CVE-programma, naast verbeterde informatie over dreigingen en andere tactieken.

Ransomware gaat van kwaad tot erger

In januari heeft het Nationaal Cyber Security Centrum (NCSC) waarschuwde dat ransomware zou “vrijwel zeker het volume en de impact van cyberaanvallen in de komende twee jaar vergroten”. Het besteedde speciale aandacht aan ransomware en beweerde dat AI aanvallers een “boost” zal geven op het gebied van social engineering en verkenning. Met andere woorden, de AI-technologie zal aan het werk worden gezet om zeer overtuigende phishing-inhoud te creëren die moeilijk te herkennen is, en om te scannen op bekende kwetsbaarheden in de beoogde organisaties. De ISMS-staat van het Informatiebeveiligingsrapport 2024 onthuld dat 29% van de organisaties het afgelopen jaar te maken kreeg met een ransomware-aanval.

Het is onduidelijk of AI al op deze manier wordt gebruikt. Toch zijn ransomwaregroepen dit jaar tot nu toe in de aanval gegaan, ondanks geïsoleerde overwinningen van de wetshandhaving bij het ontwrichten LockBiten het forceren van BlackCat/ALPHV ontbinden. Zorgorganisaties staan opnieuw aan de ontvangende kant. Ten eerste waren het Amerikaanse providers Verander gezondheidszorg en hemelvaart– de eerstgenoemde verwachtte kosten van meer dan 1 miljard dollar te zullen boeken in verband met de aanval. De NHS Engeland werd zwaar getroffen nadat de Qilin-ransomware een leverancier had uitgeschakeld. Het dwong aanvankelijk de annulering van ruim 800 geplande operaties en 700 poliklinische afspraken.

Gezien het feit dat ransomware-actoren hun doelen meestal nog steeds bereiken via relatief eenvoudige aanvalsvectoren (RDP-compromis, phishing, misbruik van kwetsbaarheden), lijkt het erop dat organisaties zich moeten blijven concentreren op het verkrijgen van de juiste basisprincipes om veilig te blijven.

Edge-apparaten krijgen het zwaar te verduren

De edge lijkt de nieuwe grens te zijn bij door de staat gesponsorde cyberaanvallen. Het NCSC was een van de eersten die dit jaar waarschuwde, dat beweren Bedreigingsactoren richten zich steeds meer op op perimeter gebaseerde producten (zoals toepassingen voor bestandsoverdracht, firewalls, VPN's en load balancers) na verbeteringen in het ontwerp van clientsoftware. Ze zijn een perfect doelwit, omdat het minder waarschijnlijk is dat code door het ontwerp veilig is dan clientsoftware, waardoor het misbruiken van bugs eenvoudiger wordt, en er een gebrek is aan effectieve logboekregistratie op edge-apparaten, aldus de NCSC.

Als gevolg hiervan hebben we de afgelopen zes maanden een tsunami aan ransomware- en cyberspionageaanvallen gezien, waaronder massale uitbuiting van Ivanti Verbind Veilig en Beleid Veilig poorten, FortiGate-apparatenen een erfenis F5 BIG-IP-apparaat. Een recent Action1-rapport onthulde een recordexploitatiepercentage voor load balancers van 2021-23, terwijl een andere leverancier beweerde het aantal CVE’s gekoppeld aan edge-services en infrastructuur is tussen 22 en YTD 2023 met 2024% gestegen.

Het NCSC dringt er bij organisaties op aan om over te stappen van on-premise naar in de cloud gehoste perimeterproducten en firewalls te gebruiken om ongebruikte “interfaces, portalen of diensten van internetgerichte software” te blokkeren.

Open source-risico's sneeuwbal

De risico's van het gebruik van open-sourcesoftware zijn al enige tijd bekend. Bedreigingsactoren verbergen malware steeds vaker in componenten van derden en plaatsen deze in officiële opslagplaatsen in de hoop dat een ontwikkelaar met weinig tijd deze downloadt. Maar in april nog meer verraderlijke dreiging werd ontdekt na een toevallige ontdekking: een verfijnde, jarenlange poging om backdoor-malware te infiltreren en te implanteren in een populaire open-sourcecomponent die bekend staat als xz Utils. De groep achter het plan deed er alles aan om hun kwaadaardige activiteiten te verbergen, terwijl ze de oorspronkelijke beheerder, Lasse Collin, sociaal manipuleerden om hun ontwikkelaarspersona aan boord te brengen als een 'vertrouwde' bijdrager.

Het slechte nieuws voor beveiligingsteams is dat er meerdere copycat-inspanningen zijn zijn inmiddels ontdekt, wat mogelijk duidt op een groeiende crisis voor open source. Ongeveer 79% van de respondenten van ISMS.online sprak te zeggen hun bedrijf is het afgelopen jaar getroffen door een beveiligingsincident veroorzaakt door een externe leverancier of supply chain-partner. In de toekomst zal een groot onderzoek naar de toeleveringsketens van software, inclusief stuklijsten (SBOM's), regelmatig scannen op kwetsbaarheden en een strenger bestuursbeleid nodig zijn.

De uitdagingen op het gebied van compliance nemen toe

Om Benjamin Franklin verkeerd te citeren: niets in deze wereld is zeker behalve de dood, belastingen en nieuwe nalevingsmandaten. Dus 2024 heeft zich bewezen, met de lancering van de EU AI-wet, een nieuwe IoT-beveiligingswet in Groot-Brittannië, voorstellen voor een nieuw VK beveiligingsregels voor datacenterseen EU-cyberbeveiligingscertificeringsregeling, en nog veel meer. Organisaties zagen in maart ook de compliance-deadline voor PCI DSS 4.0 verstrijken en zijn momenteel druk bezig met de voorbereidingen voor NIS 2.

Velen worstelen met de werkdruk. ISACA-onderzoek beweert dat met name privacyprogramma's ondergefinancierd en onderbemand zijn. Oudere tools en processen helpen ook niet.

Naleving van best practices uit de sector kan een sterke basis vormen voor het leveren van programma's voor naleving van regelgeving op gebieden als informatiebeveiliging (ISO 27001) en AI (ISO 42001). Maar hoewel ISMS.online constateert dat 59% van de organisaties van plan is de uitgaven voor dergelijke programma’s het komende jaar te verhogen, zegt bijna de helft (46%) dat het zes tot twaalf maanden duurt om aan ISO 6 te voldoen. Nog eens 12% beweert dat dit nodig is. -27001 maanden. Met de juiste set intuïtieve en vooraf geconfigureerde tools zou het niet zo moeilijk moeten zijn.

Phil Muncaster

Phil Muncaster is al vijftien jaar IT-journalist. Hij begon in 20 als verslaggever van de IT-titel IT Week en klom op tot nieuwsredacteur voordat hij vertrok om een freelance carrière na te streven. Sindsdien heeft Phil geschreven voor titels als The Register, waar hij meer dan twee jaar als Azië-correspondent werkte terwijl hij in Hong Kong woonde, MIT Technology Review, SC Magazine, Infosecurity Magazine en anderen.

Lees meer van Phil Muncaster

Cyber security 20 januari 2026

Het dichten van de kloof in AI-governance met ISO 42001

Het Verenigd Koninkrijk kampt met een probleem op het gebied van AI-governance. Dit was wellicht geen probleem een paar jaar geleden, toen projecten in de meeste organisaties nog in kleine stappen werden uitgevoerd. Maar vandaag de dag...

Phil Muncaster

Cyber security 6 januari 2026

Vijf trends op het gebied van beveiliging en compliance om in 2026 in de gaten te houden.

Hoe ziet het komende jaar eruit voor professionals in cybersecurity en compliance? We hebben het nieuws doorgenomen en de voorspellingen van branchegenoten bestudeerd...

Phil Muncaster

Cyber security 11 December 2025

Is een beveiligingslek door AI-agenten onvermijdelijk in 2026?

Is een beveiligingslek in AI-agenten in 2026 onvermijdelijk?

Het is misschien wel drie jaar geleden dat ChatGPT een nieuwe technologische wapenwedloop ontketende, maar alle ogen zijn nu gericht op AI-agenten. Voorstanders beweren dat het...

Phil Muncaster