Bij maar liefst driekwart van de datalekken in het afgelopen jaar (74%) was er sprake van een menselijke factor, voornamelijk veroorzaakt door werknemers die ofwel voor social engineering-aanvallen vielen of fouten maakten, waarbij sommigen hun toegang kwaadwillig misbruikten.

Social engineering incidenten hebben bijna verdubbeld sinds vorig jaar volgens Verizon's 17 Data Breach Investigations Report (DBIR) dat op 2023 juni werd gepubliceerd (waarin meer dan 6 beveiligingsincidenten werden geanalyseerd, waarvan 16,312 bevestigde datalekken). Het rapport merkte op dat dit overwicht van menselijke misvattingen binnen incidenten gepaard gaat met bevindingen dat de mediane kosten van een ransomware-aanval verdubbeld sinds vorig jaar, bereiken in het bereik van een miljoen dollar. Het verzamelde bewijs wijst op een gapende behoefte voor organisaties om de basisprincipes van beveiliging onder controle te krijgen - of anders geconfronteerd te worden met een spiraal van inflatie als het gaat om de kosten van datalekken.

Chris Novak, algemeen directeur cyberbeveiligingsadvies bij Verizon Business, merkte op dat organisaties zich op drie dingen moeten concentreren om de trend te beteugelen: hygiëne van de beveiliging van werknemers, het implementeren van echte multifactor-authenticatie en samenwerking tussen organisaties op het gebied van informatie over bedreigingen. De eerste is misschien wel de meest impactvolle kwestie, zei hij.

"De fundamenten moeten worden verbeterd en organisaties moeten zich concentreren op cyberhygiëne", zei hij tijdens een persevenement in Washington DC. “Het is waarschijnlijk de minst sexy aanbeveling die ik je kan geven, maar het is een van de meest fundamenteel belangrijke dingen die organisaties nog steeds missen, en in alle soorten en maten. En dat is meestal omdat ze zich willen concentreren op de nieuwe flitsende technologie in de branche en de basis vergeten.”

Financieel gemotiveerde externe aanvallers verdubbelen op social engineering

Naast de toenemende omvang van social engineering, bedroeg het mediane bedrag dat bij deze aanvallen werd gestolen het afgelopen jaar $ 50,000, volgens de DBIR. In totaal waren er 1,700 incidenten die in de social media-bucket vielen, 928 met bevestigde openbaarmaking van gegevens.

Phishing en 'pretexting', dwz imitatie van het soort dat gewoonlijk wordt gebruikt in zakelijke e-mailcompromis (BEC) aanvallen, domineerde de social engineering-scene, zo bleek uit het rapport. In feite zijn pretext-gambieten sinds vorig jaar bijna verdubbeld en vertegenwoordigen ze nu 50% van alle social engineering-aanvallen.

Analisten van Verizon ontdekten dat de overgrote meerderheid van social engineering-incidenten werd aangestuurd door financieel gemotiveerde externe bedreigingsactoren, die betrokken waren bij 83% van de inbreuken. Bedreigingen van binnenuit vertegenwoordigden daarentegen ongeveer een vijfde van de incidenten (19%, zowel actief kwaadwillig als onopzettelijk) en door de staat gesponsorde acties (meestal met spionage in plaats van financieel gewin) waren in minder dan 10% van de gevallen betrokken.

Verder bleven externe actoren bij de klassiekers als het ging om het verkrijgen van initiële toegang tot organisaties, met als top drie manieren het gebruik van gestolen inloggegevens (49% van de inbreuken); phishing (12%); en het uitbuiten van kwetsbaarheden (5%).

Geen wonder dat uit het rapport bleek dat driekwart van de gegevens die vorig jaar bij social engineering-aanvallen werden gecompromitteerd, referenties waren om aanvullende aanvallen aan te wakkeren (76%), gevolgd door interne organisatie-informatie (28%) en persoonlijke gegevens.

Ransomware moet nog tegen een muur in groei aanlopen

Wat is het eindspel voor deze sociale ingenieurs? Al te vaak is het een antwoord dat gemakkelijk te raden is: ransomware en afpersing. Het is hetzelfde verhaal als de afgelopen jaren, en in feite bleven ransomware-gebeurtenissen stabiel in het rapport van dit jaar wat betreft het aandeel van inbreuken, goed voor, net als vorig jaar, ongeveer een kwart van de incidenten in het algemeen (24% ). Dit lijkt misschien goed nieuws aan de buitenkant, maar het rapport merkte op dat de statistiek in feite indruist tegen de conventionele wijsheid dat ransomware vroeg of laat een muur zou raken dankzij organisaties die zich bewust zijn van de verdediging, entiteiten die weigeren te betalen, of controle van de wetshandhaving.

Niets van dat alles lijkt de naald te hebben bewogen - en in feite is er nog steeds genoeg voordeel voor ransomware in de toekomst, merkte het rapport op, aangezien het geen verzadigingsniveau heeft bereikt.

"Dat bij bijna een kwart van de inbreuken een ransomware-stap betrokken is, blijft een verbluffend resultaat", aldus het rapport. “We hadden echter verwacht dat ransomware binnenkort zijn theoretische plafond zou bereiken, waarmee we bedoelen dat alle incidenten die ransomware zouden kunnen hebben, zouden hebben. Helaas is er nog ruimte voor groei.”

Over het algemeen vormden financiële motieven de aanzet voor 94.6% van de inbreuken in het jaar, waarbij ransomware aanwezig was in 59% daarvan. Bij maar liefst 80% van de systeeminbraakincidenten was ransomware betrokken, volgens de DBIR, en 91% van de bedrijfstakken heeft ransomware als een van de meest voorkomende soorten incidenten.

De Ook de ransomware-economie blijft professionaliseren, volgens het rapport. Als het gaat om de externe actoren die verantwoordelijk zijn voor de meeste inbreuken, waren de meeste gelieerd aan de georganiseerde misdaad; ransomware vertegenwoordigde in feite 62% van alle incidenten in verband met de georganiseerde misdaad.

Vechten tegen het opkomend tij van ransomware en inbreuken

Om verdere groei van ransomware te voorkomen en het tij van inbreuken in het algemeen te keren, zegt Novak van Verizon dat organisaties zich kunnen concentreren op redelijk haalbare stappen, aangezien social engineering een spil is voor beide. Naast het stimuleren van basisbeveiligingshygiëne en -bewustzijn bij werknemers, moeten organisaties namelijk ook vooruitgang boeken met MFA en zich richten op het aanscherpen van een reeks cyberbeveiligingspartnerschappen.

Wat MFA betreft, zei hij dat we afstappen van eenvoudige tweefactorauthenticatie met eenmalige wachtwoorden, ten gunste van sterke authenticatie zoals FIDO2, zal het spel veranderen. FIDO2 presenteert authenticatie-uitdagingen aan de gebruiker via een browser, die context over de uitdaging toevoegt en deze vervolgens doorgeeft aan een aangesloten FIDO2-authenticator, die detectie van man-in-the-middle-snooping en meer mogelijk maakt.

"Als we daarin aanzienlijke vooruitgang kunnen boeken, denk ik dat we veel van de navel [basic] inbreuken op het gebied van de betrokkenheid van de menselijke factor substantieel kunnen omzeilen," zei Novak. "We moeten naar andere mechanismen kijken voor sterke wederzijdse of multifactorauthenticatie."

Toch zei hij: “Ik denk dat we nog lang niet zijn waar we zouden willen zijn op FIDO2. Maar ik denk dat de grootste uitdaging waar we echt voor staan ​​bij het verkrijgen van grootschalige acceptatie, het veranderen van het menselijk gedrag is. We zeggen: 'Kijk, doe dit en u beschermt uw gegevens, u beschermt uw systemen en beschermt uw bedrijf, uw levensonderhoud.' En toch zullen veel mensen moeite hebben om in die richting te gaan.

Het goede nieuws is echter dat Novak opmerkte dat organisaties wat verder zijn op het gebied van cyberpartnerschappen.

"De vorige mentaliteit was dat organisaties echt probeerden alles in eigen huis te doen, en ik denk dat we nu de behoefte zien aan een hogere mate van samenwerking en vooruitgang", legt hij uit. “De dreigingsactoren doen het omdat het een effectieve manier is om te communiceren en informatie te delen, en dat kunnen wij ook. Het is tijd om je aan te sluiten bij zoiets als een brede inspanning van meerdere partijen op het gebied van informatie over bedreigingen, om organisaties te helpen bij het reageren op incidenten, maar ook om een ​​sterk ecosysteem van partners te cultiveren. Ik denk dat het buitengewoon nuttig zal zijn.”

Deze laatste inspanning kan organisaties ook helpen tips en benaderingen te delen voor het versterken van verdedigingswerken, zegt Bhaven Panchal, senior director of service delivery bij Cyware.

"Het is absoluut noodzakelijk voor organisaties om hun beveiligingsprocessen te versnellen en hiaten in de zichtbaarheid in hun omgevingen te dichten”, merkt hij op. "De operationalisering van bedreigingsinformatie, automatisering van reactie op bedreigingen en samenwerking op het gebied van beveiliging zullen deze verandering naar een meer veerkrachtige cyberspace voor iedereen helpen stimuleren."

Zijbalk: branchesegmenten die het meeste risico lopen op datalekken

In termen van hoe verschillende industrieën het doelwit waren, ontdekte de Verizon DBIR dat het financiële en verzekeringssegment het vaakst werd aangevallen, op de voet gevolgd door de productie. Verticale statistieken zijn als volgt:

• Accommodatie en voedseldiensten • 254 incidenten, 68 met bevestigde openbaarmaking van gegevens
• Onderwijs • 497 incidenten, 238 met bevestigde openbaarmaking van gegevens
• Financiën en verzekeringen • 1,832 incidenten, 480 met bevestigde openbaarmaking van gegevens
• Gezondheidszorg • 525 incidenten, 436 met bevestigde openbaarmaking van gegevens
• Informatie • 2,110 incidenten, 384 met bevestigde openbaarmaking van gegevens
• Productie • 1,817 incidenten, waarvan 262 met bevestigde vrijgave van gegevens
• Mijnbouw, steengroeven en olie- en gaswinning + nutsbedrijven • 143 incidenten, 47 met bevestigde openbaarmaking van gegevens
• Professionele, wetenschappelijke en technische diensten • 1,398 incidenten, 423 met bevestigde vrijgave van gegevens
• Retail • 406 incidenten, 193 met bevestigde vrijgave van gegevens

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
• De toekomst slaan met Adryenn Ashley. Toegang hier.
• Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPO®. Toegang hier.
• Bron: https://www.darkreading.com/threat-intelligence/verizon-dbir-social-engineering-breaches-spiraling-ransomware-costs