security round-up

Security round-up: vijf dingen die we in 2017 hebben geleerd

De afgelopen twaalf maanden stonden bol van de geopolitieke incidenten, wereldwijde malware-dreigingen en datalekken bij diverse grote namen. Van het CIA Vault7 en de NSA Shadow Brokers-lek aan het begin van het jaar tot de WannaCry en NotPetya ransomware-campagnes en Uber’s onthullingen eind vorig jaar. Er is genoeg voor CISO’s om over na te denken. Maar nu 2017 voorbij is en we aan het begin van een nieuw jaar staan, is het tijd voor een security round-up, een moment om terug te kijken naar de belangrijkste security-thema’s en te bepalen hoe we onze systemen kunnen versterken voor het komende jaar.   

Hieronder onze top vijf in willekeurige volgorde:

1) Ransomware evolueert
Ransomware veroorzaakt al een aantal jaren hoofdpijn bij organisaties. In 2017 zagen we echter dat de dreiging op een ongekende manier werd gebruikt, om op wereldwijd schaal chaos te veroorzaken. De WannaCry– en Petya / NotPetya-aanvallen van mei en juni hadden wellicht wat andere doelwitten, aanvalsgroepen en tactieken, maar ze lieten wel zien hoe ransomware kan worden gebruikt in combinatie met door de nationale overheid ontwikkelde exploits, om zich op grote schaal te verspreiden via netwerken. Bad Rabbit toonde ons een andere variant hierop, ontworpen om massaal slachtoffers te besmetten via ‘watering hole’-aanvallen.  

Deze incidenten hebben laten zien hoe belangrijk het is om bekende kwetsbaarheden te patchen zodra dat kan. Het was tevens een waarschuwing van wat er kan gebeuren wanneer regeringen de beveiliging van honderden miljoenen gebruikers probeert te ondermijnen, door te zoeken naar exploits in populaire software.

2) BEC kost organisaties miljarden
Van alle cybergerelateerde risico’s waarmee organisaties vandaag de dag worden geconfronteerd, lijkt Business Email Compromise (BEC) op het eerste gezicht een van de gemakkelijkste om te voorkomen. Volgens de FBI bedroeg de schade van oktober 2013 tot en met december 2016 maar liefst $ 5,3 miljard. We verwachten dat dit volgend jaar verder zal blijven toenemen tot een schadepost van zo’n $ 9 miljard, onder meer omdat steeds maar weer blijkt hoe kwetsbaar het personeel en de processen van organisaties zijn voor social engineering.

Hoewel er bij de meeste BEC-aanvallen geen malware is te detecteren, kunnen organisaties zich beter beschermen door hun personeel beter op te leiden en er bijvoorbeeld voor te zorgen dat aangewezen senior finance-medewerkers grote transacties goedkeuren.

3) Bekende, grote bedrijven maken nog steeds beginnersfouten
Wanneer gaan ze het eens leren? In de afgelopen twaalf maanden zagen we opnieuw een aantal ‘zij-hadden-beter-moeten-weten’-organisaties die te maken kregen met schadelijke datalekken en privacy-incidenten. Yahoo (3bn), Uber (57m) en Equifax (145,5m) waren de meest in het oog springende voorbeelden van organisaties die wel over de middelen, maar niet over de juiste bedrijfscultuur of strategie beschikten om hackers op afstand te houden. Veel meer organisaties hadden het schaamrood op de kaken nadat bleek dat gevoelige klant- of bedrijfsinformatie werd blootgesteld aan het openbare internet via misconfiguraties in de cloud database, vaak in handen van externe partners. De beveiliging van Verizon, Accenture, WWE en zelfs het Amerikaanse ministerie van Defensie liet bij allemaal te wensen over. In één geval wist een republikeinse organisatie op het gebied van data-analyse gegevens te lekken van maar liefst 198 miljoen Amerikaanse kiezers die dateren tot een decennium geleden.

Deze gevallen laten nogmaals zien dat veel bedrijven de basis van cyber security nog steeds niet op orde hebben en falen het beleid uit te breiden richting partners en contractoren.

4) GDPR-compliancy is nog steeds niet toereikend
Nu de eerste dagen van 2018 zijn verstreken komt ook 25 mei steeds dichterbij: de datum waarop de EU Data Protection Regulation (GDPR) eindelijk in werking treedt.

Het is moeilijk om een nieuwe wet te vergeten die zulke ingrijpende gevolgen gaat hebben voor cybersecurity en privacy voor bedrijven. Toch blijft het gebrek aan bewustzijn en boardroom buy-in een zorg, ondanks de in potentie hoge boetes die aan het niet compliant zijn kleven. Gartner schat dat minder dan de helft van alle bedrijven binnen de deadline volledig compliant zal zijn.

Ook ons eigen onderzoek vorig jaar liet zien dat ook het management van veel Nederlandse bedrijven niet erg serieus omgaat met de General Data Protection Regulation-wetgeving (GDPR) en zich onterecht veilig waant als het gaat om compliancy met deze wetgeving. Zo bleek er ook in Nederland nogal wat onduidelijkheid te bestaan over welke ‘persoonsgegevens’ ze nu precies goed moeten beschermen. Meer dan 60 procent wist niet dat het om boetes gaat die tussen de 2 en 4 procent van hun jaarlijkse omzet kunnen liggen. Bedrijven moeten beter op de hoogte zijn van welke data zij beheren, een (notificatie)plan hebben wanneer er een datalek optreedt en investeren in de juiste state-of-the-art technologieën om bedreigingen op afstand te houden.

5) Van IoT tot de cloud: kwetsbaarheden blijven de zwakke plek
Hoewel we het al eerder hebben gezegd is het de moeite waard om het nog eens te noemen: kwetsbaarheden zijn een van de grootste bedreigingen voor organisaties. Het maakt niet uit of deze zich in de firmware van een IoT-apparaat, webapplicatie, on-premise software of de cloud-infrastructuur bevinden. Als er een gat zit in de beveiliging, kan het een doelwit zijn. We hebben verschillende organisaties gezien, van NHS tot Equifax, die zwaar zijn getroffen doordat zij bekende kwetsbaarheden niet snel genoeg hebben gepatcht. In het geval van de Health Service leidde dat tot WannaCry-gerelateerde uitvallen, waardoor naar schatting zo’n 19.000 operaties en afspraken noodgedwongen moesten worden geannuleerd.

Van ‘Devil’s Ivy’ tot KRACK: elke maand worden nieuwe kwetsbaarheden en aanvalsmethoden ontdekt, waarvan sommige enorme gevolgen hebben voor de beveiliging van de systemen die organisaties hebben draaien. CISO’s moeten zorgen voor een uitgebreid, geautomatiseerd patchbeheer en de flexibiliteit om snel en effectief te reageren op nieuw ontdekte bedreigingen.

Meer weten over onze security-voorspellingen van 2018? Lees dan hier ons rapport Paradigm Shifts.

Je kunt je ook aanmelden voor onze sessie in samenwerking met Veeam: ‘Digitale transformatie is niet de toekomst‘.

 

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.