Het aandeel kritieke incidenten waarmee organisaties te maken krijgen, is gestegen van één op de 10 (9%) in 2020, naar één op de zeven (14%) in 2021. Dit blijkt uit onderzoek op basis van analyse van incidenten die zijn gemeld bij klanten van Kaspersky Managed Detection and Response (MDR).
De efficiëntie van cybersecurityteams en hun vermogen om vijandige activiteiten te identificeren, voordat er incidenten plaatsvinden, worden beïnvloed door verschillende factoren. Bijvoorbeeld complexer wordende infrastructuren, een tekort aan geschoolde professionals en een toenemende complexiteit van de aanvallen. Om inzicht te geven in het huidige dreigingslandschap heeft Kaspersky geanonimiseerde klantincidenten geanalyseerd die in 2021 zijn geïdentificeerd via zijn MDR-service.
Meest voorkomende kritieke incidenten
Volgens het resulterende rapport kregen organisaties in alle sectoren in deze periode te maken met zeer ernstige incidenten, waarbij de meeste sectoren met meerdere typen incidenten te maken kregen. De meest voorkomende oorzaken van kritieke incidenten bleven hetzelfde als het voorgaande jaar, met het grootste aandeel (40,7%) behorend tot gerichte aanvallen. Malware met een kritieke impact werd in 14% van de gevallen geïdentificeerd, en iets minder dan 13% van de zeer ernstige incidenten werd geclassificeerd als exploitatie van publiekelijk blootgelegde kritieke kwetsbaarheden. Ook social engineering bleef een relevante dreiging, goed voor bijna 5,5% van de veroorzaakte incidenten.
Gerichte aanvallen in 2021 vonden plaats in elke sector, die in het onderzoek is opgenomen, behalve in het onderwijs en de massamedia. Hoewel er wel incidenten in verband met gerichte aanvallen binnen mediaorganisaties werden gemeld. Het grootste aantal door mensen veroorzaakte aanvallen werd gedetecteerd binnen de overheid, industrie, IT en financiële sector.
Ernstige incidenten onderscheiden zich door een wijdverbreid gebruik van binaire bestanden van niet-kwaadaardige aard (living-of-the-land, of LotL), die al beschikbaar zijn in een gericht systeem. Met deze tools kunnen cybercriminelen hun activiteiten verbergen en de kans minimaliseren dat ze tijdens de eerste fasen van een aanval worden ontdekt. Naast het veelgebruikte rundll32.exe, powershell.exe en cmd.exe, worden tools als reg.exe, te.exe en certutil.exe vaak gebruikt bij kritieke incidenten.
Voorbereiden op aanvallen
Om zich beter voor te bereiden op gerichte aanvallen, kunnen organisaties gebruikmaken van diensten die ethisch offensieve oefeningen uitvoeren. Bij dit soort activiteiten worden complexe vijandige aanvallen gesimuleerd om de cyberweerbaarheid van een bedrijf te onderzoeken. Volgens de MDR-analisten van Kaspersky werd dit bij slechts 16% van de organisaties toegepast.
Sergey Soldatov, Head of Security Operations Center bij Kaspersky: "Het MDR-rapport laat opnieuw zien dat geavanceerde aanvallen hier zijn om te blijven, en steeds meer organisaties worden geconfronteerd met kritieke incidenten. Een van de meest urgente problemen hierbij is dat high severity incidenten meer tijd vergen om te onderzoeken en aanbevelingen te doen voor herstelstappen.”
Om de kans op gerichte aanvallen te verkleinen, is het belangrijk dat werknemers de juiste kennis hebben op het gebied van cybersecurity, zodat zij bijvoorbeeld phishingmails kunnen herkennen. Daarnaast is het aangeraden om het SOC-team toegang te geven tot de nieuwste informatie over dreigingen, zodat zij een overzicht hebben van de belangrijkste cyberdreigingen voor de organisatie en zich hier op kunnen voorbereiden. Tot slot kan een oplossing die detectie- en responsmogelijkheden combineert met managed threat hunting een mogelijkheid zijn om zowel bekende als onbekende bedreigingen te identificeren zonder dat er extra interne resources voor nodig zijn.
Lees hier het volledige Kaspersky Managed Detection and Response-analyserapport.