'Bedrijven ontdekken kwetsbaarheden steeds sneller'
Bedrijven hebben steeds minder tijd nodig om kwetsbaarheden in hun IT-systemen op te sporen. Desondanks is er wel ruimte voor verbetering. Bijna tweederde van de bedrijven spoort deze beveiligingsgaten namelijk niet zelf op, maar ontdekt deze op alternatieve wijze. Zo worden kwetsbaarheden bijvoorbeeld door ethische hackers gemeld.
Dit blijkt uit het jaarlijkse Mandiant M-Trends rapport, waarin FireEye cybersecurity bij bedrijven onderzoekt. Bedrijven blijken in 2013 gemiddeld 229 dagen nodig te hebben gehad om kwetsbaarheden in hun IT-systemen op te sporen. In 2012 hadden organisaties hier nog 243 dagen voor nodig en in 2011 zelfs 416 dagen. Bedrijven ontdekken beveiligingsproblemen dus aanzienlijk sneller dan enkele jaren geleden.
Kwetsbaarheden ontdekken
Slechts 37 procent van de bedrijven ontdekt deze kwetsbaarheden echter zelf. Dit betekent dat maar liefst 63% van de organisaties dergelijke problemen via een alternatieve weg op het spoor komt. Het gaat hierbij onder andere om ethische hackers die kwetsbaarheden bij het bedrijf via een responsible disclosure-beleid melden. Bedrijven kunnen hun eigen inzet om beveiligingsgaten op te sporen dan ook nog flink verbeteren.
FireEye heeft in het Mandiant M-Trends rapport ook phishingaanvallen op bedrijven onderzocht. In maar liefst 44 procent van alle onderzochte aanvallen bleken hackers zich voor te doen als de IT-afdeling van het bedrijf om medewerkers te overtuigen informatie aan hen af te staan. Dergelijke e-mails worden het meest verzonden op dinsdag, woensdag en donderdag. Bedrijven doen er dus verstandig aan ook e-mails die van de eigen IT-afdeling afkomstig lijken te zijn met een kritisch oog te bekijken. Bij twijfel is het natuurlijk altijd verstandig de authenticiteit van de e-mail te controleren door bijvoorbeeld telefonisch contact op te nemen met de IT-afdeling.
Meer over
Lees ook
Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen
Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1
ESET publiceert voorbeelden van scam-mails
Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1
Biometrie voor enterprise security: zinvol of onzinnig?
Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1