Voor het ‘2023 TruRisk Analysis Report’ analyseerden onderzoekers meer dan 13 biljoen incidenten binnen het Qualys Cloud Platform. Zij kregen hiermee inzicht in kwetsbaarheden op apparaten, in de beveiliging van webapplicaties en in misconfiguraties van cloud-omgevingen en on-premise apparaten. De studie leverde vijf ‘risicofeiten’ op.
- Risicofeit #1 – Snelheid is essentieel om tegenstanders te slim af te zijn
De belangrijkste les hier is dat patches sneller geïmplementeerd moeten worden. Gemiddeld duurt het 30,6 dagen om ‘weaponized’ kwetsbaarheden te patchen. Weaponized betekent dat er een proof of idea bestaat waarmee een aanvaller deze kwetsbaarheid kan misbruiken. Cybercriminelen maken al binnen gemiddeld 19,5 dagen misbruik van ontdekte kwetsbaarheden. Beveiligingsteams staan dus op achterstand in hun strijd tegen aanvallers.
Omdat er proceed nieuwe kwetsbaarheden in it-middelen aan het licht komen, moeten cio’s en ciso’s weten welke daarvan kritiek zijn (en welke niet) en waarom. Het is echter vaak tijdrovend en moeilijk om kwetsbaarheden toe te wijzen aan een met naam genoemde aanvaller (attribution). Gemiddeld is er na 95 dagen al een kwaadwillende persoon of groep actief met de kwetsbaarheid nadat deze is gepubliceerd en 74,3 dagen nadat deze is gepatcht. Bovendien blijkt dat attribution niet altijd leidt tot snellere patching.
“Uit het onderzoek blijkt dat automatisering van het patchproces de enige manier is om de voorsprong van cybercriminelen ongedaan te maken”
- Risicofeit #2 – Automatisering is verschil tussen succes en mislukking
Uit het onderzoek blijkt dat automatisering van het patchproces de enige manier is om de voorsprong van cybercriminelen ongedaan te maken. Datagestuurde patchautomatisering vervangt handmatige (en dus tijdrovende en foutgevoelige) taken en zorgt ervoor dat bedreigingen minder lang de tijd hebben om schade aan te richten.
Het onderzoek laat ook zien dat geautomatiseerde patches 45 procent vaker en 36 procent sneller worden uitgevoerd dan handmatige patches. Automatisering is dus niet alleen handig; het is een belangrijke verdedigingsfunctie voor kritieke bedrijfsmiddelen. Geautomatiseerde patches hebben bovendien een gemiddelde reparatietijd van 25,5 dagen, terwijl handmatige patches 39,8 dagen in beslag namen. Bovendien is de patch-rate voor geautomatiseerde patches 73 procent, vergeleken met vijftig procent voor handmatige patches.
- Risicofeit #3 – Preliminary entry brokers (iab’s) richten pijlen op wat organisaties negeren
Cybercriminelen hanteren de strategie van verdeel en heers. Sommigen van hen zijn gespecialiseerd in de back-end, waar bijvoorbeeld ransomware op grote schaal wordt ingezet. Anderen houden zich bezig met de front-end en richten zich op het binnendringen van kwetsbare it-middelen. Deze specialisten staan ook bekend als preliminary entry dealer (iab). Uit het onderzoek blijkt dat organisaties de kwetsbaarheden die iab’s misbruiken sneller moeten patchen.
Iab’s maken dankbaar gebruik van het feit dat kwetsbaarheden op veel plekken voorkomen. Zij nemen meestal randapparatuur op de korrel, maar benutten in feite elke mogelijkheid die snel en gemakkelijk toegang biedt naar het netwerk en de it-middelen van een organisatie. Iabs zoeken naar misconfiguraties zoals standaardwachtwoorden en verkrijgen hiermee toegang tot systemen. Zij proberen ook geldige inloggegevens te achterhalen, bijvoorbeeld door diefstal, aankoop, phishing-aanvallen en social engineering. Met geldige accountgegevens zijn zij succesvoller omdat ze hiermee nagenoeg alle beveiligingsmaatregelen omzeilen.
De belangrijkste les van hier is dan ook: geef prioriteit aan het patchen van iab-kwetsbaarheden. Dit geeft aanvallers geen kans om geld te verdienen en het beschermt kritieke it-middelen tegen ransomware en andere bedreigingen.
“De scans brachten meer dan 25 miljoen kwetsbaarheden aan het licht, waarvan een krappe derde betrekking heeft op misconfiguratie”
- Risicofeit #4 – Misconfiguraties komen nog steeds veel voor in webapplicaties
Volgens het onderzoek komen misconfiguraties nog steeds veel voor in webapplicaties. Dat brengt risico’s met zich mee, zowel voor de eigenaren van persoonsgegevens als voor de organisaties die deze opslaan en verwerken met onveilige webapplicaties.
De onderzoekers namen ook de bevindingen mee van de Qualys Internet Utility Scanner. Deze scant wereldwijd 370.000 webapplicaties en correleert de gegevens met de prime tien van het Open Worldwide Utility Safety Challenge, een opensourceproject rond computerbeveiliging. De scans brachten meer dan 25 miljoen kwetsbaarheden aan het licht, waarvan een krappe derde betrekking heeft op misconfiguratie. Hierdoor kunnen cybercriminelen malware verspreiden by way of ongeveer 24.000 webapplicaties.
Bij misconfiguraties gaat het om verkeerd ingestelde controles voor het beschermen van webapplicaties. Dit is het niet wijzigen van standaardinstellingen voor machtigingen of wachtwoorden. Ook previous males vaak instellingen niet aan die het mogelijk maken dat te veel informatie gedeeld wordt tussen applicaties.
Daarnaast kunnen webapplicaties die misbruikt worden ook zelf ingezet worden als instrument van aanvallers by way of webmalware. Een onderzoek van Qualys bracht bijna 65.000 gevallen van malware aan het licht in de dataset van 200.000 webapplicaties. Hierbij voegden aanvallers aangepaste broncode toe om browsers van klanten te infecteren en zodoende betaalkaartgegevens te achterhalen, inloggegevens te stelen, cryptovaluta te delven en gebruikers naar websites op een zwarte lijst te sturen.
De les van hier is dat cio’s en ciso’s serieus werk moeten maken van een oud en hardnekkig probleem: onveilige webapplicaties.
- Risicofeit #5 – Misconfiguraties in infrastructuur openen deur voor ransomware
Misconfiguraties zijn fouten in instellingen van apparaten en applicaties die onbedoeld door een interne partij worden gemaakt; ze vormen een groot deel van de zwakke plekken in webapplicaties en zijn een van de belangrijkste redenen voor datalekken.
Naast de instellingen van cloud-infrastructuren zoals Amazon Internet Companies, Google Cloud Platform en Microsoft Azure, moeten cio’s en ciso’s ook aandacht hebben voor misconfiguraties binnen infrastructuren op locatie. De meest voorkomende misconfiguraties die in het rapport genoemd worden hebben betrekking op wachtwoordinstellingen, gebruikersmachtigingen en protocollen voor Home windows-updates.
De les nu is dat sommige configuraties weliswaar standaard appropriate ingesteld zijn, maar vele dus niet. Het goede nieuws is dat een toenemend aantal organisaties bewust omgaat met configuratie-instellingen. De onderzoekers keken naar zestien instellingen die standaard verkeerd geconfigureerd zijn. In de helft van de gevallen pasten organisaties deze instellingen proactief aan om veiliger te zijn.
Een goed voorbeeld doet goed volgen, hopelijk.