Amsterdam, 23 februari 2024 - Unit 42, de onderzoeksgroep van Palo Alto Networks, heeft zijn
2024 Unit 42 Incident Response Report uitgebracht. Hierin worden de nieuwste tactieken van dreigingsactorenonthuld en wordt inzicht gegeven in hoe organisaties hun aanvalsoppervlak effectief kunnen verdedigen. Het rapport laat zien dat de tactieken in 2023 geavanceerder werden, maar ook minder selectief zijn als het gaat om het stelen van specifieke gegevens.
Het Unit 42 Incident Response Report verzamelt inzichten uit de praktijk van Unit 42 incident response cases uit 2023. Enkele belangrijke punten zijn:
- Snelheid is belangrijk: De tijd tussen de eerste compromittering en de exfiltratie van gegevens wordt steeds korter; het gaat nu soms om uren in plaats van dagen. Aanvallers hebben nu nog maar 2 dagen nodig om gevoelige informatie te stelen als ze eenmaal bij een organisatie zijn binnengedrongen, vergeleken met 9 dagen in 2021.
- Kwetsbaarheden in software zijn nog steeds een issue: dit was onderdeel van de grootste aanvalscampagnes in 2023. Kwetsbaarheden in software voeren de lijst aan van manieren waarop aanvallers binnenkomen.
- Bedreigingsactoren worden steeds geraffineerder: Ze zijn beter georganiseerd, met gespecialiseerde teams voor verschillende onderdelen van de aanval. Ze hebben meer kennis en kunnen IT-, cloud- en beveiligingstools gebruiken als aanvalswapens. En ze zijn efficienter en gebruiken processen en playbooks om hun doelen sneller te bereiken.
In 2023 was de groep die we Muddled Libra noemen verreweg de schadelijkste dreiger. Het is een criminele groep die zich richt op financieel gewin. Ze zijn ook een van de meest agressieve bedreigingsactoren in het huidige landschap. Het tegengaan van hun aanvallen is een uitdaging voor verdedigers van zowel kleine als grote organisaties.
Geavanceerdere bedreigers krijgen op een andere manier initiele toegang
Er is een duidelijke strategiewijziging onder geavanceerde bedreigingsactoren, die wordt geillustreerd door de veranderende manieren waarop ze aanvankelijk toegang krijgen:
- Grootschalige uitbuiting van op het internet gerichte kwetsbaarheden was in 2023 in 39% van de gevallen de initiele toegangsvector, vergeleken met 28% van de gevallen in 2022.
- Tegelijkertijd groeit het aantal eerder gecompromitteerde referenties als initiele toegangsvector van 12,90% naar 20,50%. Markten voor gestolen referenties blijven levendig, ondanks gecoordineerde inspanningen van wetshandhaving en de privesector om deze te onderscheppen.
- Phishing neemt af.. Waar phishing in 2022 bij een derde van de eerste toegang bij incidenten het geval is, is dit in 2023 gedaald naar slechts 17%. Deze daling duidt op een mogelijke de-prioritering van phishing naarmate cybercriminelen zich aanpassen aan meer technologisch geavanceerde - en misschien efficientere - infiltratiemethoden.
Dit zijn strategische veranderingen, vooral voor geavanceerdere bedreigingsactoren die overstappen van traditionele en interactieve phishing-campagnes naar minder opvallende en mogelijk geautomatiseerde methoden om zwakke plekken in systemen en reeds bestaande credential lekken uit te buiten. Deze trend suggereert dat verdedigers nu prioriteit moeten geven aan het opsporen en verhelpen van softwarekwetsbaarheden en het beveiligen van inloggegevensbeheerprocessen om deze toenemende bedreigingen te beperken.
Bedreigingsactoren zijn minder selectief bij het stelen van gegevens
Bij een overweldigende meerderheid van de incidenten (93%) ging het om ongedifferentieerde gegevensdiefstal, waarbij gerichte gegevensdiefstal minder aantrekkelijk leek voor de aanvallers. Dit is een stijging ten opzichte van 2022, toen het in 81% van de gevallen ging om diefstal van niet-gerichte gegevens. Deze stijging wijst op een groeiende trend onder cybercriminelen die een breder net lijken uit te werpen en alle gegevens verzamelen waar ze toegang toe hebben in plaats van moeite te doen om specifieke datasets te lokaliseren en te extraheren.
Dit heeft meerdere gevolgen voor cyberbeveiliging:
- Traditionele verdedigingsmechanismen die gericht zijn op het beschermen van zeer gevoelige gegevens moeten worden aangevuld met strategieen die ervan uitgaan dat alle gegevens gevaar kunnen lopen.
- De mentaliteit van een "grijp alles" aanvaller onderstreept het belang van vroegtijdige en robuuste detectiemogelijkheden die grootschalige exfiltratiepogingen kunnen herkennen, vaak het eerste duidelijke teken van een inbreuk.
- Deze verschuiving in het gedrag van cyberdreigingen vereist een snellere reactie op detecties en waarschuwingen en een voortdurende herbeoordeling van beveiligingsmaatregelen, omdat alleen al de hoeveelheid gecompromitteerde gegevens de impactanalyse en het meldingsproces bemoeilijkt.
Gezien deze veranderende bedreigingsdynamiek is het voor verdedigers essentieel om bestaande beveiligingsstrategieen te herzien en te versterken, zodat ze de geavanceerde tactieken van hedendaagse aanvallers effectief kunnen bestrijden.
Hoe kunnen organisaties zich beter beschermen tegen deze bedreigende actoren?
Om het hoogste niveau van bescherming te garanderen, zijn er enkele activiteiten die organisaties kunnen toepassen, zoals:
- Zicht krijgen op het externe en interne aanvalsoppervlak om gelijke tred te houden met het groeiende aanvalsoppervlak. Het cloud landschap moet hier ook onder vallen omdat frequente veranderingen in de cloud nieuwe risico's introduceren. Iin het bijzonder het beveiligen van het remote desktop protocol (RDP), dat de dreiging van ransomware kan vergroten als het wordt blootgesteld, is hierbij belangrijk. Het creëren van dit overzicht vereist een robuuste combinatie van het in kaart brengen van bedrijfsmiddelen, het scannen op kwetsbaarheden en het invoeren van uitgebreide multifactorauthenticatie (MFA). Voortdurende beoordeling en verbetering van de verdediging, met name bij clouddiensten, waar de dynamische aard van de technologie kan leiden tot frequente blootstelling aan bedreigingen is essentieel.
- Kritieke gaten in de beveiliging dichten met Zero Trust-principes door de gebruikersverificatie te versterken met uitgebreide MFA en wachtwoordloze technologieen te onderzoeken om de effectiviteit van credential stealing te verminderen. Door ervoor te zorgen dat gebruikers alleen toegang hebben tot de bronnen die nodig zijn voor hun rol, wordt de kans op onbevoegde toegang en zijwaartse beweging binnen het netwerk beperkt. Deze strategische aanpak vereist voortdurende validatie van beveiligingsprotocollen en gebruikersrechten, in combinatie met strenge opleidingen over best practices voor authenticatie en sessiebeheer.
Bekijk het volledige Unit 42 Incident Response rapport
hier.