Verizon in nieuw rapport: ‘Gebruik van social engineering verandert snel’

Verizon heeft vandaag het Data Breach Investigation Report (DBIR) 2018 gepubliceerd. Dit is inmiddels de elfde editie van het rapport dat de meest voorkomende security-uitdagingen van het jaar in kaart brengt. Het DBIR heeft zich tot één van de belangrijkste rapporten op het gebied van cyberaanvallen en -bedreigingen ontwikkeld. Infosecurity Magazine pakte de kans om voorafgaande aan de officiële publicatie van het rapport met een van de onderzoekers te praten: Laurance Dine, manager van het Incident Response Team bij Verizon.

Welke soort malware zijn jullie het meeste tegengekomen?

“Uit ons onderzoek blijkt dat ransomware-aanvallen vandaag de dag overal ter wereld de grootste bedreiging voor organisaties vormen. Ransomware is de meest voorkomende soort kwaadaardige software. Wij zagen het terug in 39 procent van de onderzochte datalekken waarbij malware werd gebruikt. Dat is het dubbele aantal van het laatste rapport en was goed voor meer dan 700 incidenten.”

Wat is de grootse verrassing die uit het onderzoek naar voren kwam?

“In elf jaar onderzoek komt elk jaar wel een aantal andere feiten naar boven die wij spannend vinden. Dit jaarwas dat vooral de verdere ontwikkeling van ransomware en de manier hoe dit soort software steeds verder de backend-systemen binnenkomt. Dit laat zien dat de tactiek achter de aanvallen aangepast werd en profiteert van de zwakke punten van bestaande beveiligingsstrategieën en fouten die worden gemaakt bij de opleiding van het personeel.”

“Ook het veranderde gebruik van social engineering – vooral phishing en pretexting – is opvallend. Het wordt nu vaak gebruikt om specifiek de afdeling personeelszaken aan te vallen. Wij hebben vier keer zo veel gevallen van pretexting [identiteitsfraude om vertrouwelijke gegevens te verwerven] gevonden dan een jaar geleden. En 88 van deze 170 gevallen mikten direct op de HR-afdeling. Om persoonlijke data buit te maken die kunnen worden gebruikt om frauduleuze belastingaangiften in te dienen.”

Het DBIR bevat bedrijven uit alle branches. Zijn er branches die het beter of slechter doen dan de rest als het gaat om cyberbeveiliging?

“Er zit veel variatie tussen de data voor elke branche. Dat maakt een vergelijking enorm lastig. Om branche-specifieke aanbevelingen te kunnen doen moet men heel diep in de verschillende branches duiken en precies
begrijpen hoe zij in elkaar zitten.”

Zijn werknemers in alle gevallen het grootste risico?

“De menselijke factor is inderdaad op alle onderzochte gebieden een belangrijk zwak punt. Werknemers trappen nog steeds in ‘sociale aanvallen’. Financiële pretexting en phishing maken 98 procent van sociale incidenten uit en 93 van alle datalekken in totaal. Hierbij blijft e-mail met 96 procent van de gevallen de belangrijkste ingang. De kans om slachtoffer te worden van een sociale aanval ligt voor bedrijven drie keer hoger dan bij een aanval die een technische kwetsbaarheid misbruikt. Dit benadrukt nog eens hoe belangrijk het is om het personeel goed op te leiden.”

“Bedrijven moeten blijven investeren in de educatie van hun werknemers over cybercriminaliteit en de negatieve effecten die een datalek kan hebben kan hebben op het merk, de reputatie en het bedrijfsresultaat. Het personeel zal de eerste verdedigingslinie moeten zijn in plaats van de zwakste schakel in de keten. Uiteindelijk hoeft maar één medewerker op een phishing-e-mail te klikken om een hele organisatie bloot te leggen.”

Een aantal trends en bevindingen komen geregeld terug in het DBIR. Heeft u het idee dat organisaties er überhaupt iets van leren?

“Wij zijn het DBIR met maar een bijdrager begonnen – onszelf. Ons doel is de branches bij elkaar te brengen om samen direct cybercriminelen tegen te werken – en dat lukt ons aardig. Het success van de DBIR-reeks is uiteindelijk te danken aan de partners die ons elk jaar ondersteunen. Samen hebben wij de muur afgebroken die lange tijd rondom cybercrime stond. Geen enkele organisatie hoeft het nog in zijn eentje op te nemen tegen cybercrime: de informatie is voor iedereen beschikbaar en kan gedeeld worden.”

“Het klopt echter dat nog steeds dezelfde basisaanbevelingen van toepassing zijn als jaren geleden. Wij zien nog steeds dat beveiligingsstrategieën niet geactualiseerd worden en niet in dezelfde mate doorontwikkelen als de bedreigingen die zij moeten bestrijden.”

“Wij denken dat organisaties een proactieve aanpak van beveiliging moeten hanteren. Wij hebben daarom een aantal weken geleden ook een nieuwe dienst gelanceerd, het Verizon Risk Report. Dit is een uitgebreid kader voor het beoordelen van beveiligingsrisico’s dat bedrijven en overheidsinstanties helpt beveiligingslekken, kwetsbaarheden en gerelateerde risico’s te identificeren.”

“Het Verizon Risk Report combineert de uitgebreide database van het DBIR met de expertise van de Professional Service-consultants van Verizon en speciale informatiebronnen van technologiebedrijven zoals BitSight, Cylance, Recorded Future en Tanium. Organisaties kunnen hun beslissingen over cybersecurity dus op data baseren over de bedreigingen van vandaag de dag en deze flexibel en efficiënt tegenwerken.”

In een ideale wereld zou cybercrime niet eens bestaan. Ziet u dit ooit gebeuren?

“Realistisch gezien zullen cybercriminelen dezelfde tactieken blijven gebruiken zolang zij succesvol zijn en er data zijn waar geld mee te verdienen valt. De volgende grote stap voor organisaties moet het zijn om over te stappen naar een dynamische, proactieve aanpak van cyberbeveiliging, in tegenoverstelling tot de statische aanpak die tot nu toe meestal werd toegepast. Organisaties moeten de kans dat een cyberaanval succesvol is verkleinen door zich meer bewust te worden van de aanvallen die op dit moment plaatsvinden en de meest intelligente beveiligingsoplossingen te gebruiken.”

Om positief te eindigen: Staat er iets in het rapport dat je aan het lachen maakt? Of tenminste glimlachen?

“Veiligheid is een serieuze zaak. Maar toch: 78% van de mensen die in opdracht van hun werkgever blootgesteld zijn aan test-phishingmails is het afgelopen jaar in geen enkele phishing-aanval getrapt. Dat is een mooi percentage.”

Van de redactie

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *