Witold Kepinski - 21 februari 2024

Onderzoek IBM: identiteit ligt onder vuur in Europa

IBM kondigt zijn X-Force Threat Intelligence-index voor 2024 aan. Uit het onderzoek blijkt dat cybercriminelen zich wereldwijd steeds vaker richten op identiteiten. Zo zetten cybercriminelen zich in op het exploiteren van gebruikers-ID's om bedrijven wereldwijd in gevaar te brengen. Volgens IBM X-Force, de IBM Consulting-divisie voor offensieve en defensieve security diensten, zagen cybercriminelen in 2023 meer mogelijkheden om ‘in te loggen’ tegenover het hacken van bedrijfsnetwerken via geldige accounts. Hierdoor is deze tactiek het wapen bij uitstek geworden voor dreigingsactoren.

Onderzoek IBM: identiteit ligt onder vuur in Europa image

De X-Force Threat Intelligence-index is gebaseerd op inzichten en observaties die zijn verworven door meer dan 150 miljard security incidenten per dag te monitoren in meer dan 130 landen. Aanvullend is er data verzameld en geanalyseerd van meerdere bronnen binnen IBM, waaronder IBM X-Force Threat Intelligence, Incident Response, X-Force Red, IBM Managed Security Services, evenals data van Red Hat Insights en Intezer.

Dit zijn de belangrijkste Europese inzichten uit het onderzoek:

  • Bijna één op de drie cyberaanvallen die wereldwijd zijn vastgesteld, waren gericht op Europa; dit is het hoogste aantal aanvallen dat X-Force ooit regionaal heeft gerapporteerd;
  • De sterkst getroffen landen zijn het Verenigd Koninkrijk (27%), Duitsland (15%), Denemarken (14%), Portugal (11%), Italië (8%) en Frankrijk (8%);
  • In heel Europa heeft X-Force op jaarbasis een toename van 66% waargenomen in aanvallen waarbij van geldige accounts gebruik wordt gemaakt;
  • De zwakste schakels voor Europese organisaties waren identiteiten en e-mails, inclusief misbruik van geldige accounts (30%) en phishing (30%);
  • Malware werd hierbij het vaakst ingezet, leidend tot 44% van de incidenten, en de regio kreeg te maken met wereldwijd de meeste aanvallen door ransomware (26%);
  • De top drie incidenten bij Europese organisaties zag er als volgt uit: verwerving van legitimatiegegevens met 28%, afpersing met 24% en datalekken met 16%.
  • Op branche niveau is de productiesector, die in 2022 nog op plaats twee stond, opgeklommen het meest aangevallen met 28% van het aantal incidenten.
  • De dienstensector staat op de tweede plaats met 25% van het aantal incidenten, en op de derde plaats staat nu met 16% de financiële en assurantie sector, die de energiesector met 14% naar de vierde plaats heeft teruggedrongen.
  • Over het algemeen genomen werd het hoogste percentage incidenten in Europa vastgesteld in de energiesector met 43%, alsook in de financiële en verzekeringssector met 37%.

Dit zijn de belangrijkste inzichten binnen de Europese Unie:

  • Bijna 70% van de aanvallen op Europese organisaties waarop X-Force reageerde, vonden plaats in EU-lidstaten;
  • Bijna 74% van de waargenomen aanvallen waren op kritieke infrastructuur gericht;
  • Malware werd bij de aanvallen het vaakst ingezet: dit soort tactieken leidde tot 40% van de incidenten. Gevolgd door het gebruik van legitieme tools (26%) en servertoegang (15%). Ransomware was het belangrijkste type malware dat werd waargenomen bij bijna 26% van dit soort aanvallen.

"Ondanks dat de term 'foundations of security' niet zo veel aandacht krijgt als 'door AI gestuurde aanvallen', blijft het grootste beveiligingsprobleem voor ondernemingen toch de basis: datgene wat we kennen, in plaats van het nieuwe en onbekende,” zegt Charles Henderson, Global Managing Partner van IBM Consulting en hoofd van IBM X-Force. "Identiteit wordt steeds weer tegen bedrijven gebruikt, een dit probleem zal nog verergeren naarmate cybercriminelen steeds meer AI toepassen om hun tactiek te optimaliseren."

Een wereldwijde identiteitscrisis

Het misbruiken van geldige accounts is uitgegroeid tot de meest naadloze methode voor cybercriminelen, resulterend in miljarden compromitterende inloggegevens die momenteel beschikbaar zijn op het Dark Web. In 2023 constateerde X-Force een toenemende trend waarbij aanvallers zich steeds meer richten op het verkrijgen van gebruikersidentiteiten wereldwijd, met een verbluffende stijging van 266% in malware voor het stelen van informatie, specifiek gericht op het bemachtigen van identificeerbare persoonsgegevens, zoals e-mails, inloggegevens voor sociale media en messaging-apps, bankgegevens, gegevens van cryptowallets, enzovoort.

Deze 'eenvoudige toegang' voor cybercriminelen is aanzienlijk moeilijker te detecteren en brengt ook aanzienlijk hogere kosten met zich mee voor ondernemingen om erop te reageren. Volgens X-Force werden belangrijke incidenten veroorzaakt door aanvallers die geldige accounts benutten, wat resulteerde in bijna 200% meer complexe reactiemaatregelen door beveiligingsteams dan bij een gemiddeld incident. Dit vereiste dat beveiligers een onderscheid moesten maken tussen legitieme en kwaadaardige gebruikersactiviteiten op het netwerk. Bovendien toonde het IBM-onderzoek van 2023 naar de kosten van gegevensinbreuken aan dat bij inbreuken veroorzaakt door gestolen of gecompromitteerde inloggegevens ongeveer 11 maanden nodig waren om deze te detecteren en te herstellen, wat de langste responscyclus is van alle andere infectievectoren.

Dit brede bereik in de onlineactiviteit van gebruikers werd duidelijk toen de FBI en Europese ordehandhavingsdiensten in april 2023 een wereldwijd platform voor cybercriminaliteit uitschakelden, dat de inloggegevens van meer dan 80 miljoen gebruikersaccounts had verzameld. Het aantal op identiteit gebaseerde dreigingen zal naar alle waarschijnlijkheid blijven toenemen naarmate de tegenpartijen generative AI zullen inzetten om hun aanvallen te optimaliseren. Al in 2023 kwam X-Force meer dan 800.000 berichten over AI en GPT op diverse fora op het Dark Web tegen, waardoor eens te meer wordt bevestigd dat deze innovaties de aandacht en interesse van cybercriminelen hebben weten te trekken.

Wereldwijde resultaten

Dit zijn de belangrijkste conclusies uit het wereldwijde onderzoek:

  • Aanvallen op kritieke infrastructuur brengen sectorale blunders aan het licht. In bijna 85% van de aanvallen op kritieke sectoren had het gevaar kunnen worden ingeperkt door middel van patches, multifactorauthenticatie of principes van het minste voorrecht. Dit wijst erop dat wat door de beveiligingssector in het verleden als 'basisbeveiliging' werd beschouwd, in werkelijkheid moeilijker te implementeren is dan algemeen wordt gedacht.
  • Wereldwijd was bijna 70% van de aanvallen waarop X-Force heeft gereageerd gericht tegen organisaties met kritieke infrastructuren. Deze alarmerende bevinding benadrukt duidelijk dat cybercriminelen inspelen op de noodzaak van deze belangrijke doelwitten voor toegankelijkheid om hun doelstellingen te bereiken.
  • Bijna 85% van de aanvallen tegen deze sector waarop X-Force heeft gereageerd, werden veroorzaakt door het exploiteren van publieke toepassingen, phishing e-mails en het gebruik van geldige accounts. De meeste succesvolle aanvallen op overheidsinstanties, organisaties met kritieke infrastructuren en nationale overheidsinstellingen in 2022 werden veroorzaakt door het gebruik van geldige accounts. Daaruit blijkt duidelijk dat deze organisaties regelmatig stresstests moeten uitvoeren voor mogelijke blootstelling van hun omgevingen en Incident Response-draaiboeken moeten opstellen.
  • Ransomwaregroepen neigen naar leaner bedrijfsmodel. Het aantal ransomwareaanvallen op bedrijven is vorig jaar bijna met 12% gedaald, omdat grotere organisaties er steeds vaker voor kiezen om niet te betalen en in plaats daarvan hun infrastructuur opnieuw op te bouwen. Echter, met de groeiende weerstand die zij ondervinden, is het waarschijnlijk dat dit invloed zal hebben op de verwachte inkomsten van cybercriminelen uit op encryptie gebaseerde afpersing. Daarom zien we een verschuiving bij groepen die voorheen gespecialiseerd waren in ransomware, die nu eerder neigen naar malware voor informatiediefstal.
  • Nog geen rendement door aanvallen op basis van generative AI - voorlopig / Generative AI wordt de volgende belangrijke te beveiligen grens. Uit analyses van X-Force blijkt dat wanneer een eenvoudige generative AI-technologie een marktaandeel van 50% nadert, of wanneer de markt tot drie of minder technologieën consolideert, dit de maturiteit van AI als aanvalsgrond zou kunnen triggeren. Dit kan leiden tot verdere investeringen door cybercriminelen in nieuwe tools.
  • Als cybercriminelen willen dat hun campagnes rendabel zijn, moeten de technologieën die zij tot doel hebben bij de meeste organisaties wereldwijd alomtegenwoordig zijn. Net zoals in het verleden technologische onderzoekers de activiteiten van cybercriminelen voedden - zoals vastgesteld door de marktdominantie van ransomware en Windows Server, BEC-aanvallen en Microsoft 365-dominantie of cryptojacking en de consolidatie van de Infrastructuur-als-Service-markt -, zal dit patroon zich hoogstwaarschijnlijk ook naar AI uitbreiden.

  • Hoewel generative AI zich momenteel nog in de pre-massaproductiefase bevindt, is het van het grootste belang dat ondernemingen hun AI-modellen beveiligen voordat cybercriminelen hun activiteit opschalen. Bedrijven moeten ook inzien dat hun bestaande onderliggende infrastructuur de toegangspoort naar hun AI-modellen vormt waarvoor aanvallers geen nieuwe tactieken moeten zoeken om deze te kunnen aanvallen. Daaruit blijkt de noodzaak om beveiliging in deze tijden van generative AI holistisch te benaderen, zoals beschreven in het IBM Framework for Securing Generative AI.

Op basis van het onderzoek heeft IBM X-Force de volgende aanbevelingen voor bedrijven opgesteld:

  • Impactbereik verkleinen - Organisaties moeten overwegen oplossingen te implementeren die de schade van een beveiligingsincident kunnen beperken door het impactbereik ervan te verkleinen. Met andere woorden, ze kunnen de mogelijke gevolgen van een incident beperken door het compromitteren van individuele gebruikers, apparaten of gegevens te voorkomen. Dit kan worden bereikt door het implementeren van een kader gebaseerd op het principe van het minste voorrecht, netwerksegmentatie, en een identiteitsstructuur waarbij moderne beveiligings-, detectie- en responsmogelijkheden worden uitgebreid naar verouderde toepassingen en systemen.
  • Stresstests uitvoeren voor uw omgevingen en een plan opstellen - Overweeg het inhuren van cybercriminelen om uw systeem te onderwerpen aan een stresstest en zwakke punten te identificeren die zij kunnen benutten om toegang te krijgen tot uw netwerk en aanvallen uit te voeren. Het hebben van incident response draaiboeken die zijn aangepast aan uw omgeving is ook essentieel om de reactietijd op een aanval te verkorten en snel oplossingen te vinden en te herstellen. Deze draaiboeken moeten regelmatig worden getest, inclusief een overkoepelende respons van de organisatie, betrokkenheid van stakeholders buiten de IT-afdeling, en het testen van communicatielijnen tussen technische teams en het management.
  • Op een veilige manier met AI omgaan – Organisaties moeten zich concentreren op de volgende belangrijke principes om het veilige gebruik van AI te waarborgen: het beveiligen van de onderliggende trainingsgegevens voor AI, de modellen zelf en het gebruik en de inferentie van deze modellen. Het is van cruciaal belang om ook de bredere infrastructuur rondom AI-modellen te beveiligen. IBM heeft onlangs een uitgebreid framework voor het beveiligen van Generative AI geïntroduceerd, waarmee organisaties worden geholpen bij het optimaal prioriteren van hun verdediging op basis van het hoogste risico en de mogelijke impact.
  • En waar is de phishing gebleven? Ondanks dat dit nog steeds een belangrijke infectievector is gebleven, is het aantal phishing-aanvallen sinds 2022 met 44% gedaald. Maar nu het ernaar uitziet dat AI dergelijke aanvallen zal optimaliseren en uit het onderzoek van X-Force is gebleken dat aanvallen door AI bijna twee dagen sneller kunnen worden uitgevoerd, zal deze infectievector een favoriete keuze blijven voor cybercriminelen.
  • Iedereen is kwetsbaar - RedHat Insights heeft vastgesteld dat 92% van de klanten ten minste één gemeenschappelijke kwetsbaarheid en blootstelling heeft met bekende exploits hun omgeving die ten tijde van de scan nog niet waren aangepakt, terwijl 80% van de tien belangrijkste kwetsbaarheden die in 2023 in systemen werden aangetroffen een 'High' of 'Critical' CVSS-basisscore kregen.
  • "Kerberoasting" rendeert - X-Force heeft een toename van 100% vastgesteld voor ‘Kerberoasting’ aanvallen, waarbij aanvallers proberen zich voor te doen als gebruikers om rechten te escaleren door misbruik van Microsoft Active Directory-tickets.
  • Verkeerde beveiligingsconfiguraties - Uit penetratietests van X-Force Red is gebleken dat 30% van het totale aantal geïdentificeerde blootstellingen door verkeerde beveiligingsconfiguraties werd veroorzaakt; daarbij kwam aan het licht dat aanvallers op meer dan 140 manieren van verkeerde configuraties misbruik kunnen maken.

Het onderzoek kunt u downloaden via: X-Force Threat Intelligence-index

Outpost24 17/12/2024 t/m 31/12/2024 BN + BW