De meest voorkomende onderliggende oorzaken van aanvallen zijn niet-gepatchte zwakke plekken en gecompromitteerde inloggegevens, terwijl ransomware de meest voorkomende eindstrijd blijft
De verblijfstijd – de tijd vanaf de start van een aanval totdat deze ontdekt wordt – is afgenomen van vijftien tot tien dagen
Breda, 26 april 2023 –
Sophos, een wereldleider in het innoveren en bieden van cybersecurity as a service, publiceert zijn
Active Adversary Report for Business Leaders, een diepte-onderzoek naar de veranderende gedragingen en aanvalstechnieken van cybercriminelen in 2022. De geanalyseerde gegevens, afkomstig van meer dan 150 incidentresponsen (IR) van Sophos, wijzen op meer dan 500 unieke tools en technieken, waaronder 118 ‘living off the land binaries’ (LOLBins). In tegenstelling tot malware zijn LOLBins programmabestanden die van nature voorkomen in besturingssystemen, waardoor ze voor verdedigers veel moeilijker te blokkeren zijn wanneer aanvallers ze uitbuiten voor kwaadaardige praktijken.
Daarnaast heeft Sophos ontdekt dat niet-gepatchte zwakke plekken er het vaakst voor hebben gezorgd dat aanvallers aanvankelijk toegang kregen tot geviseerde systemen. Bij de helft van de onderzochte gevallen hebben aanvallers zwakke plekken in ProxyShell en Log4Shell benut – kwetsbaarheden van 2021 – om organisaties binnen te dringen. Gecompromitteerde inloggegevens vormen de op een na meest voorkomende oorzaak van aanvallen.
“Wanneer aanvallers niet inbreken, loggen ze gewoon in. De IT-omgeving is namelijk zo groot en complex geworden dat er voor verdedigers geen waarneembare gaten meer zijn waarop ze zich kunnen richten. Voor de meeste organisaties liggen de dagen van zelfredzaamheid ver achter hen. Ze moeten altijd en overal tegelijk waakzaam zijn. Bedrijven kunnen een beroep doen op tools en diensten om de verdedigingslast een beetje te verlichten. Zo kunnen ze zich concentreren op hun kernactiviteiten”, aldus John Shier, field CTO, commercial, Sophos.
Bij meer dan twee derde (68%) van de aanvallen die het IR-team van Sophos onderzocht, was er sprake van ransomware. Dat geeft aan dat het nog steeds een van de grootste bedreigingen voor bedrijven vormt. Sterker nog, de afgelopen drie jaar hadden bijna drie vierde van de IR-onderzoeken van Sophos betrekking op aanvallen met ransomware.
Hoewel ransomware het dreigingslandschap nog steeds domineert, is de verblijfstijd van aanvallers in 2022 wel afgenomen van vijftien tot tien dagen, voor alle soorten aanvallen. Bij aanvallen met ransomware is de verblijfstijd verminderd van elf tot negen dagen. De afname was nog groter was bij aanvallen zonder ransomware, namelijk van 34 dagen in 2021 tot elf dagen in 2022.Anders dan in voorgaande jaren verschilt de verblijfstijd niet significant voor organisaties of sectoren van verschillende omvang.
“Organisaties die met succes gelaagde verdedigingen met continue monitoring hebben ingebouwd, staan er beter voor dan organisaties die dat niet hebben. Het neveneffect van een gelaagde verdediging is echter dat vijanden sneller moeten werken om hun aanvallen tot een goed einde te brengen. En snellere aanvallen vragen om een vroegere detectie. De wedloop tussen aanvallers en verdedigers zal blijven escaleren en degenen zonder proactieve controle zullen de zwaarste gevolgen ondervinden”, aldus Shier.
Het Sophos Active Adversary Report for Business Leaders is gebaseerd op 152 IR-onderzoeken in 22 sectoren over de hele wereld. De organisaties bevonden zich in 31 verschillende landen, waaronder de VS en Canada, het VK, Duitsland, Zwitserland, Italië, Oostenrijk, Finland, België, Zweden, Roemenië, Spanje, Australië, Nieuw-Zeeland, Singapore, Japan, Hongkong, India, Thailand, de Filippijnen, Qatar, Bahrein, Saoedi-Arabië, de Verenigde Arabische Emiraten, Kenia, Somalië, Nigeria, Zuid-Afrika, Mexico, Brazilië en Colombia. De best vertegenwoordigde sectoren zijn de productiesector (20%), gevolgd door de gezondheidszorg (12%), onderwijs (9%) en kleinhandel (8%).
Het Sophos Active Adversary Report for Business Leaders verschaft organisaties bruikbare informatie en inzichten over bedreigingen, die ze nodig hebben om hun beveiligingsstrategieën en verdediging te optimaliseren.
Lees het Sophos Active Adversary Report for Business Leaders op
sophos.com om meer te weten te komen over het gedrag, de tools en technieken van aanvallers.
Lees meer over...
Over Sophos
Sophos is een wereldwijde leider en innovator van geavanceerde cyberbeveiligingsoplossingen, waaronder Managed Detection and Response (MDR), incidentresponsservices en een breed portfolio van endpoint-, netwerk-, e-mail- en cloudbeveiligingstechnologieën die organisaties helpen cyberaanvallen te verslaan. Als een van de grootste pure-play aanbieders van cyberbeveiliging verdedigt Sophos meer dan 500.000 organisaties en meer dan 100 miljoen gebruikers wereldwijd tegen kwaadwillenden, ransomware, phishing, malware en meer. De diensten en producten van Sophos zijn verbonden via de cloudgebaseerde beheersconsole Sophos Central en worden mogelijk gemaakt door Sophos X-Ops, de domeinoverschrijdende bedreigingsinformatie-eenheid van het bedrijf. Sophos X-Ops-intelligentie verrijkt het hele Sophos Adaptive Cybersecurity Ecosystem, inclusief een gecentraliseerd data lake dat gebruikmaakt van een uitgebreide reeks open API's die beschikbaar zijn voor klanten, partners, ontwikkelaars en andere leveranciers van cyberbeveiliging en informatietechnologie. Sophos biedt cybersecurity-as-a-service aan organisaties die volledig beheerde, kant-en-klare beveiligingsoplossingen nodig hebben. Klanten kunnen hun cyberbeveiliging ook rechtstreeks beheren met het beveiligingsoperatieplatform van Sophos of een hybride aanpak gebruiken door hun interne teams aan te vullen met de diensten van Sophos, waaronder het opsporen en verhelpen van bedreigingen. Sophos verkoopt via resellerpartners en managed service providers (MSP's) wereldwijd. Het hoofdkantoor van Sophos is gevestigd in Oxford, VK. Meer informatie is beschikbaar op
www.sophos.com.
Voor meer informatie
Favorite Agency
Linda van Essen, Annerieke Kamphuis
sophos@favorite.agency