Spam weer helemaal terug van weggeweest

Meer dan een derde van de organisaties die in 2016 te maken had met een securitydoorbraak, heeft aanzienlijke schade geleden. Dit blijkt uit het Cisco 2017 Annual Cybersecurity Report (ACR). Het rapport maakt deze schade ook concreet: het gaat niet alleen om omzetverlies, maar ook om klanten die weglopen en zakelijke kansen die verdampen. Ook brengt het rapport securitytrends in kaart evenals de barrières die bedrijven ondervinden als zij zich tegen aanvallen willen wapenen. Opmerkelijk is dat spam weer helemaal terug is van weggeweest en dat Cisco er in is geslaagd de ‘time to detection’ meer dan te halveren: van 14 tot 6 uur.

Securitydoorbraak? Een op de vijf klanten weg

Het Cisco-rapport laat de concrete impact zien van aanvallen op bedrijven, van MKB tot enterprise. Bij meer dan de helft van de bedrijven die met een securitydoorbraak te maken kregen, kwam deze doorbraak in de openbaarheid. De gevolgen:

  • 22 procent van de getroffen organisaties verloor klanten – 40 procent verloor zelfs meer dan 20 procent.
  • 29 procent verloor omzet – bij twee op de vijf bedrijven was dat meer dan 20 procent.
  • 23 procent zag zakelijke kansen verdampen na een geslaagde aanval, 42 procent van hen verloor meer dan 20 procent.
  • Operationele en financiële systemen werden het meest getroffen, verder werd de merkreputatie aangetast.

Als het kalf verdronken is…

Het rapport bevestigt wat we eigenlijk wel weten: er moet eerst iets misgaan voordat er actie wordt ondernomen. De schade die een cyberaanval oplevert zet organisaties tot actie aan. Maar liefst negentig procent van de getroffen organisaties heeft na de aanval hun verdediging tegen dreigingen verbeterd. De belangrijkste maatregelen waren het scheiden van IT- en securityfuncties (38 procent), het aanbieden van meer bewustzijnstrainingen aan werknemers (38 procent) en het implementeren van technologie om de risico’s te verkleinen (37 procent).

Barrières

Daarnaast gaat het rapport in op de mogelijkheden die securityteams hebben om zich te verdedigen tegen de aanhoudende evolutie van cybercrime en de steeds veranderende aanvalsmethoden. Voor de CSO’s die hun security willen verbeteren zijn te weinig budget (35 procent), gebrek aan productcompatibiliteit (28 procent), certificeringsproblemen (25 procent) en een tekort aan getrainde securitymedewerkers (25 procent) de belangrijkste hindernissen.

Verder hebben securityafdelingen te maken met een toenemende complexiteit van hun omgeving. Twee derde van de organisaties gebruikt meer dan vijf securityproducten – 6 procent heeft meer dan 50 securityproducten geïmplementeerd – wat de kans op gaten in de security sterk vergroot. En zoveel producten zoveel leveranciers: 55 procent van de respondenten werkt met meer dan vijf leveranciers, 3 procent zelfs met meer dan 50 securityleveranciers.

Steeds korter onder de radar

Gezien deze aanvallen is het belangrijk om te kunnen vaststellen of de securityaanpak effectief is. Cisco houdt bij hoe snel dreigingen ontdekt worden (‘time to detection’) nadat ze zijn binnengedrongen. Snelle ontdekking van een dreiging is belangrijk om de bewegingsruimte van de aanvallers zoveel mogelijk te beperken en de schade te minimaliseren. Cisco is er in geslaagd om in het afgelopen half jaar deze ‘time to detection’ ruim te halveren: van 14 uur naar 6 uur. Dit cijfer is gebaseerd op gegevens afkomstig van Cisco-securityproducten wereldwijd en zijn verzameld met toestemming van de gebruiker.

In 2016 werd hacken steeds meer een ‘zakelijke activiteit’. Snelle technologische veranderingen, aangejaagd door digitalisering, bieden ook cybercriminelen nieuwe kansen. Zoals gezegd blijven aanvallers gebruik maken van vertrouwde technieken, maar zij maken ook gebruik van nieuwe methoden, bijvoorbeeld gericht op de middleware-laag waar organisaties lang niet altijd zicht op hebben.

Meer risico in de cloud

Cloudmogelijkheden kunnen een risico vormen: 27 procent van door werknemers geïntroduceerde cloudapplicaties van derden – bedoeld om nieuwe zakelijke kansen te benutten en om de efficiency te verbeteren – vallen in de categorie ‘hoog risico’. De explosieve groei van het aantal applicaties zorgt voor een forse toename van het securityrisico. Als bedrijven naar de cloud gaan, wordt ook de ‘security perimeter’ – het hek rond de infrastructuur sterk uitgebreid. Elke cloudapplicatie die wordt toegevoegd rekt dat hek verder op. Zeker als werknemers dat zelf (mogen) doen. Vaak wordt het oogluikend toegestaan omdat het de productiviteit ten goede komt. Maar het raakt de security van de bedrijfsinfrastructuur omdat ze met de eigen (private) cloud en SaaS-platforms kunnen communiceren, zodra de toegang wordt gegeven via open authentication (OAuth). Applicaties die hier gebruik van maken hebben zeer uitgebreide en soms zelfs buitensporige toegangsmogelijkheden. Aan te raden is dus dat deze applicaties zorgvuldig beheerd moeten worden.

‘Klassiek’ weer in de mode

Cybercriminelen proberen gaten in de beveiliging weer te benutten met ‘klassieke’ aanvalsmethoden, zoals adware en e-mail spam. Het spamvolume is, na enkele jaren van daling, weer terug op het recordpeil van 2010. Vooral de tweede helft van 2016 heeft een sterke groei laten zien. In de daaraan voorgaande periode hebben betere antispam-technologieën en een succesaanpak van enkele grote spamverspreiders geholpen om spam terug te dringen. De Cisco-onderzoekers schrijven de stijging van het spamvolume in 2016 toe aan een nieuw botnet (Necurs). Bijna twee derde van het e-mailvolume bestaat uit spam en 8 tot 10 procent daarvan is kwaadaardig. Ook ouderwetse adware, software die zonder toestemming van de gebruiker advertenties downloadt, blijft succesvol. Driekwart van de onderzochte organisaties heeft hier mee te maken gehad. Een lichtpuntje is dat het gebruik van grote exploit kits zoals Angler, Nuclear en Neutrino is afgenomen doordat de eigenaren werden aangepakt. Kleinere spelers vullen echter het gat snel op.

Overbelast: helft van meldingen niet gecheckt

Volgens het rapport wordt per dag slechts 56 procent van alle securitymeldingen onderzocht. Van de meldingen die wel worden onderzocht is van 28 procent vastgesteld dat ze geen vals alarm zijn. Van de legitieme meldingen wordt vervolgens minder dan de helft daadwerkelijk aangepakt. In cijfers ziet dit probleem er als volgt uit:

Als een organisatie per dag 5.000 meldingen krijgt, betekent dat:

  • 800 meldingen (56 procent) worden onderzocht en 2.200 niet (44 procent)
  • Van de onderzochte meldingen zijn er 784 alerts (28 procent) legitiem, terwijl 2016 meldingen (72 procent) vals alarm zijn.
  • Van deze legitieme meldingen worden er 360 (46 procent) aangepakt, terwijl met 424 van deze legitieme meldingen (54 procent) niets wordt gedaan.

Zorgwekkende cijfers, die de vraag oproepen wat voor soort meldingen er zo doorheen glipt. Zijn dat low-level dreigingen die niet veel meer doen dan spam verspreiden, of zijn het meldingen van dreigingen die de voorbode zijn van een ransomware-aanval of die het netwerk platleggen? De enige manier om meer meldingen te kunnen onderzoeken is securityautomatisering en werkelijk geïntegreerde securityoplossingen. Automatisering van detectie en onderzoek zorgt voor aanzienlijke verlichting van het werk, waardoor ook het tekort aan securityprofessionals minder voelbaar wordt.

Risico blijft

Dat er zoveel securityincidenten niet onderzocht kunnen worden betekent natuurlijk dat de organisatie risico blijft lopen. Zullen de dreigingen uiteindelijk een impact hebben op de productiviteit, de klanttevredenheid en het vertrouwen in de onderneming? Volgens de respondenten kunnen zelfs kleine securitydoorbraken op de lange termijn vervelende gevolgen hebben. Zelfs als de financiële schade relatief beperkt was en de besmette systemen gemakkelijk op te sporen waren, worden ook deze kleinere doorbraken als een significant probleem gezien vanwege de stress voor de organisatie.

Volgende stappen

Verdedigers zeggen weliswaar vertrouwen te hebben in hun tools, maar moeten vechten tegen complexiteit en gebrek aan mankracht. Het kan niet missen dat aanvallers dit uitbuiten. Het rapport raadt aan de volgende stappen te zetten om risico’s te minimaliseren en dreigingen te voorkomen, te detecteren en weg te nemen:

  • Zorg dat security een zakelijke prioriteit is. De top van het bedrijf moet het belang van security uitdragen en als een prioriteit financieren.
  • Breng operationele effectiviteit in kaart: evalueer securityaanpak, patchprocessen, toegang tot het netwerk, applicaties, functionaliteiten en data.
  • Test de effectiviteit van security: stel duidelijke meetcriteria op. Gebruik deze om de securityaanpak te valideren en te verbeteren.
  • Een belangrijke stap die organisaties kunnen nemen is het vereenvoudigen van hun verzameling securitytools door over te stappen op een geïntegreerde architectuur die naadloze uitwisseling van informatie tussen de verschillende securitycomponenten mogelijk maakt. Ook verdergaande automatisering en stroomlijning van de detectie- en responsprocessen wordt veel eenvoudiger.

Kortom, kies voor een geïntegreerde benadering van de verdediging: zet integratie en automatisering hoog op de lijst om de zichtbaarheid te verbeteren, de onderlinge samenwerking te stroomlijnen, de tijd tot ontdekking te verkorten en aanvallen te stoppen. Securityteams kunnen zich vervolgens richten op het onderzoeken en tegengaan van werkelijke dreigingen.

Stand van zaken rond de security

Het Cisco Annual Cybersecurity Report onderzoekt de meest recente dreigingsinformatie, verzameld door security-experts van Cisco, om inzicht te krijgen in securitytrends bij klanten. Voor het rapport zijn ook bijna 3.000 chief security officers (CSO’s) en security operations-teamleiders uit dertien landen ondervraagd. Het wereldwijde rapport, dat dit jaar voor de tiende maal is verschenen, geeft aan wat momenteel de belangrijkste securityuitdagingen zijn.

Het 2017-rapport bevat ook de belangrijkste bevindingen van de derde jaarlijkse Cisco Security Capabilities Benchmark Study (SCBS) die onderzoekt wat het beeld is dat securityprofessionals hebben van de stand van zaken rond de security in hun organisatie. Er wordt gekeken naar geopolitieke trends, wereldwijde ontwikkelingen rond datalokalisatie en het belang van cybersecurity als onderwerp voor de raad van bestuur.

Michel Schaalje, technisch directeur Cisco Nederland

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *