85% van de organisaties kwetsbaar voor cyberaanvallen
Het 2023 Unit 42 Attack Surface Threat Report benadrukt de behoefte aan mogelijkheden om het aanvalsgebied te beheren.
Unit 42, de onderzoeksgroep van Palo Alto Networks, belicht met het 2023 Unit 42 Attack Surface Threat Report enkele van de meest risicovolle beveiligingsobservaties met betrekking tot ‘attack surface management’ (ASM) - oftewel het verminderen van kwetsbaarheid voor aanvallen. Het rapport zet de dynamische aard van cloudomgevingen af tegen de snelheid waarmee bedreigingsactoren nieuwe kwetsbaarheden benutten. Uit het rapport blijkt dat cybercriminelen binnen enkele uren na openbaarmaking van nieuwe kwetsbaarheden hier al misbruik van maken. Het komt erop neer dat organisaties moeite hebben om hun aanvalsgebied te beheren met de snelheid en schaal die nodig zijn om de automatisering van bedreigingsactoren te bestrijden. Kritieke sectoren zoals de gezondheidszorg, energie en financiële diensten worden op verschillende manieren blootgesteld aan deze kwetsbaarheden. Cloud is het grootste aanvalsgebied: 80% van de beveiligingsrisico's doet zich voor in cloudomgevingen.
De meeste organisaties hebben een probleem met het beheer van het aanvalsgebied en beseffen dit vaak niet eens, omdat ze geen volledig overzicht hebben van de verschillende IT-middelen en eigenaren. Een van de grootste boosdoeners van deze onbekende risico's zijn blootstellingen aan externe toegangsservices. Bijna een op de vijf problemen die we op internet vonden hadden dit als oorzaak. Verdedigers moeten voortdurend waakzaam zijn, want met elke configuratiewijziging, nieuwe cloudomgeving of nieuw onthulde kwetsbaarheid begint een nieuwe race tegen aanvallers.
Belangrijke bevindingen uit het rapport
Aanvallers bewegen razendsnel
- Aanvallers kunnen tegenwoordig binnen enkele minuten de gehele IPv4-adresruimte scannen op kwetsbare doelwitten.
- Van de dertig geanalyseerde Common Vulnerabilities and Exposures (CVE's) werden er drie binnen enkele uren na bekendmaking misbruikt en 63% werd binnen 12 weken na openbaarmaking misbruikt.
- Van de vijftien RCE-kwetsbaarheden (Remote Code Execution) die Unit 42 heeft geanalyseerd, was 20% binnen enkele uren na openbaarmaking het doelwit van ransomware-bendes en werd 40% van de kwetsbaarheden binnen acht weken na publicatie misbruikt.
Cloud is het voornaamste aanvalsgebied
- 80% van de beveiligingsrisico's doet zich voor in cloudomgevingen, vergeleken met 19% op locatie.
- Cloud-gebaseerde IT-infrastructuur is altijd in beweging en verandert elke maand met meer dan 20% in elke sector.
- Bijna 50% van de risicovolle cloud-gerelateerde blootstellingen elke maand waren het gevolg van de constante verandering in cloudgebaseerde nieuwe diensten die online worden gebracht en/of oude die worden vervangen.
- Meer dan 75% van de blootstellingen aan openbaar toegankelijke infrastructuur voor softwareontwikkeling werd gevonden in de cloud, waardoor deze een aantrekkelijk doelwit vormt voor aanvallers.
Blootstellingen aan externe toegang zijn veelvoorkomend
- Bij meer dan 85% van de onderzochte organisaties was het Remote Desktop Protocol (RDP) gedurende minstens 25% van de maand toegankelijk via het internet, waardoor ze kwetsbaar waren voor ransomware-aanvallen of ongeautoriseerde inlogpogingen.
- Acht van de negen sectoren die Unit 42 onderzocht hadden een RDP dat via het internet toegankelijk was en kwetsbaar was voor brute-force aanvallen gedurende minstens een kwart van de maand.
- De mediaan van de financiële dienstverleners en de landelijke of lokale overheidsorganisaties was een RDP-blootstelling voor de hele maand.
Kritieke sectoren worden blootgesteld
- Financiële instellingen worden het vaakst blootgesteld aan diensten voor het delen van bestanden (38%). Elke aanval op deze beheerders van persoonlijke en financiële gegevens kan leiden tot aanzienlijk geldverlies, identiteitsdiefstal, fraude en een verlies van klantvertrouwen dat onherstelbaar kan zijn.
- Voor nationale overheden is het onveilig delen van bestanden en databases een van de grootste aanvalsrisico's. Hierbij gaat het om meer dan 46% van alle blootstellingen in een gemiddelde nationale overheidsorganisatie.
- Voor organisaties in de gezondheidszorg geldt dat 56% van de openbaar toegankelijke ontwikkelomgevingen vaak verkeerd geconfigureerd en kwetsbaar zijn, waardoor aanvallers de kans krijgen om toegang te krijgen tot het netwerk van de organisatie.
- Bij nutsbedrijven en bedrijven in de energiesector is bijna de helft (47%) van de blootstelling te wijten aan controlepanelen van de IT-infrastructuur die toegankelijk zijn via het internet.
- Bij productiebedrijven vormen IT, beveiliging en netwerkinfrastructuur de grootste blootstelling (48%), wat kan leiden tot aanzienlijke operationele verstoringen met productie- en inkomstenverlies tot gevolg.
Aanbevelingen op basis van de resultaten
- Volledige zichtbaarheid: Organisaties moeten zorgen voor een volledig, realtime inzicht in alle bedrijfsmiddelen die via internet toegankelijk zijn, inclusief cloudgebaseerde systemen en diensten, om het aanvalsgebied effectief te beheren. Dit is belangrijk om bij te houden ook al verandert het aanvalsgebied elke dag.
- Prioriteit geven aan herstel: Bedrijven moeten zich richten op het aanpakken van de meest kritieke kwetsbaarheden en blootstellingen, zoals die met een hoge Common Vulnerability Scoring System (CVSS)-score, waarbij rekening wordt gehouden met de ernst, en een Exploit Prediction Scoring System (EPSS)-score, die rekening houdt met de waarschijnlijkheid - om zo de kans op succesvolle cyberaanvallen te verkleinen.
- Foutieve cloudconfiguraties aanpakken: Bedrijven moeten cloudconfiguraties regelmatig controleren en bijwerken om ervoor te zorgen dat ze in lijn zijn met best practices en potentiële beveiligingsrisico's aanpakken. Prisma Cloud helpt beveiligings- en DevOps-teams om samen te werken en veilige cloud-native applicatieontwikkeling en -implementatie te stimuleren.
- Beveilig diensten die toegang op afstand bieden: Het is van cruciaal belang om sterke authenticatiemethoden te implementeren, zoals MFA, en diensten die toegang op afstand bieden te controleren op tekenen van onbevoegde toegang of brute-force aanvallen. Prisma Access oplossingen kunnen helpen om Zero Trust Network Access mogelijk te maken en andere SASE mogelijkheden te bieden die organisaties nodig hebben.
- Controleer op nieuwe bedreigingen: Organisaties moeten op de hoogte blijven van nieuwe kwetsbaarheden, exploitaties en bedreigingsactoren. Beoordeel voortdurend het aanvalsgebied van jouw organisatie op potentiële risico's.
Over het rapport
Unit 42 heeft enkele petabytes aan openbare internetgegevens geanalyseerd die in 2022 en 2023 zijn verzameld door Cortex Xpanse - de Palo Alto Networks-oplossing voor het beheer van aanvalsoppervlakken. Dit rapport schetst geaggregeerde statistieken over hoe aanvalsoppervlakken wereldwijd veranderen en gaat dieper in op specifieke risico's die het meest relevant zijn voor de markt.