6 minute read
Cloud-aanvallen effectief in alle sectoren
Onderzoek Proofpoint: Cloud-aanvallen effectief in alle sectoren in eerste halfjaar 2019
In een onderzoek over de eerste helft van 2019 analyseerden onderzoekers van Proofpoint gegevens van meer dan duizend afnemers van cloud-diensten met meer dan 20 miljoen gebruikersaccounts. Het bedrijf heeft meer dan 15 miljoen ongeautoriseerde aanmeldingspogingen (of aanvallen) waargenomen, waarvan meer dan 400.000 succesvol waren.
Advertisement
Hoewel er grootschalige cloud-aanvallen in alle sectoren waren, kwamen in de loop van dit onderzoek verschillende trends naar voren, blijkt uit het onderzoek van Proofpoint. Van de onderzochte sectoren waren de onderwijs- en voedings- en drankensector bijzonder kwetsbaar voor ongeautoriseerde toegang. Gereguleerde sectoren zoals de gezondheidszorg en de financiële dienstverlening zijn beter beschermd in vergelijking met andere sectoren, met aanzienlijk minder succesvolle aanvallen. De Fortune 500-bedrijven in het onderzoek waren vaak het doelwit en 60% van hen had te maken met ten minste één corrupt cloud-account. Bepaalde functies, zoals vertegenwoordigers en managers, waren in alle sectoren het doelwit. Waarschijnlijk komt dit doordat hun e-mails meestal openbaar toegankelijk zijn en hun functies hen toegang geven tot informatie over financiële managers, klanten en partners.
Behalve deze trends zagen de onderzoekers het volgende: • 85% van de organisaties was tenminste een keer het doel van een cyberaanval • 45% van de organisaties kreeg te maken met tenminste een gecompromitteerd account • Bij 6% van de onderzochte organisaties lukte het cybercriminelen toegang tot het account van een leidinggevende te krijgen • Voor organisaties met ten minste een gecompromitteerd cloud-account geldt dat er gemiddeld 13 actieve accounts werden gehackt. • 0,6% van de actieve gebruikersaccounts was tenminste een keer het doelwit
Uit deze gegevens blijkt dat cybercriminelen ongeveer 50% kans maken om toegang tot een organisatie te krijgen via cloud-accounts. De geschiedenis leert dat slechts een gecompromitteerde account al een aanzienlijke impact kan hebben op de veiligheid van een organisatie.
Trends in Q1 en Q2 van 2019
In het eerste kwartaal van 2019 zagen de onderzoekers een flinke stijging van het aantal ongeautoriseerde inlogpogingen bij cloud-diensten. Zowel de omvang als de effectiviteit van deze aanvallen is in het tweede kwartaal afgenomen. Om precies te zijn: • In Q1 werd 0,5% van de actieve accounts minstens een keer aangevallen.
In Q2 was 0,3% van de actieve accounts het doelwit. • In Q1 was bij 50% van de onderzochte organisaties sprake van ongeautoriseerde toegang tot ten minste een cloudaccount, terwijl dit percentage in Q2 met 42% iets lager was.
Een grote dump van inloggegevens geeft aan dat de piek waarschijnlijk in het eerste kwartaal van dit jaar ligt. In het tweede kwartaal lijkt het erop dat sommige organisaties de risico’s die gepaard gaan met deze dump hebben beperkt. Daarnaast hebben cybercriminelen veel van de beschikbare inloggegevens al bij eerdere aanvallen gebruikt.
Meest aangevallen sectoren
Proofpoint vergeleek aanvallen en hun effectiviteit in sectoren waarvan ten minste tien organisaties gedurende de onderzoeksperiode werden geobserveerd. De onderzoekers ontdekten dat cloudaanvallen geen enkele sector sparen: • In 12 van de 14 sectoren richtten aanvallers zich op tenminste 80% van de geanalyseerde organisaties in de sector • Binnen de onderzochte sectoren was 92% van de bedrijven in de Fortune 500-lijst het doelwit en 60% had te maken met ongeautoriseerde toegang.
In de eerste helft van 2019 werden organisaties in de zakelijke dienstverlening, bouwsector en de retail- en groothandelssector iets vaker aangevallen dan hun collega’s in andere sectoren. Geen enkele sector werd echter onevenredig vaak aangevallen of vermeden. Ongeacht de sector behoorden vertegenwoordigers en managers tot de meest aangevallen gebruikers. Vanwege hun functie zijn zij makkelijker te bereiken en moeten zij ongevraagde e-mails beantwoorden, hetgeen het risico op phishing-aanvallen vergroot. Cybercriminelen richten zich ook op verkopers omdat zij vaak contact hebben met mensen op financiële afdelingen en externe organisaties. Dit maakt verdere uitbreiding van de aanval, exploitatie van de toeleveringsketen en interne phishing mogelijk.
Meest kwetsbare sectoren
De onderwijs- en voedsel- en drankensector waren het kwetsbaarst voor cloud-aanvallen, met een slagingspercentage van meer dan 70% in het eerste en tweede kwartaal van 2019. Cybercriminelen zien onderwijsinstellingen als een makkelijke prooi, met veel studenten, faculteiten en gedecentraliseerde beveiliging. Veelgebruikte titels onder de doelwitten waren ‘professor’ en ‘alumnus’. Mogelijk ongebruikte cloud-accounts, zoals die regelmatig aan alumni worden verstrekt, zijn ideale doelwitten voor brute force aanvallen en andere activiteiten met spam, malware en phishing tot gevolg.
In de voedings- en drankensector waren vooral franchisenemers erg kwetsbaar en vaak het doelwit. Zij bieden een ingang tot de financiële bedrijfsprocessen en toeleveringsketens van deze organisaties. Dit maakt franchisenemers ideale doelwitten voor fraude, verdere besmetting van het netwerk en interne phishing. Figuur 2 toont de meest kwetsbare sectoren die we hebben onderzocht op basis van de effectiviteit van de aanvallen.
Best beveiligde sectoren
Van de onderzochte sectoren hadden cybercriminelen het minste succes in sterk gereguleerde sectoren (zie figuur 2). Dit wijst erop dat zij strengere beveiligingsmaatregelen toepassen in hun cloudimplementaties. Het slagingspercentage van aanvallen was 20% voor financiële instellingen en 40% voor zorginstellingen, wat minder is dan het gemiddelde van 50%.
Het is echter het vermelden waard dat hogescholen en universiteiten vaak worden geassocieerd met ziekenhuizen, defensie en andere verticalen. Hierdoor lopen ook organisaties buiten de academische wereld meer risico. Bovendien zorgt de omvang van de aanvallen ervoor dat zelfs lage slagingspercentages kunnen leiden tot een groot aantal gedupeerde organisaties, zelfs in een relatief kort tijdsbestek.
Grote dreigingen en nieuwe
aanvalsmethoden Figuur 1: Per sector het percentage van bedrijven dat het doelwit Twee prominente aanvalsmethoden vormen was en het aantal succesvolle ongeautoriseerde inlogpogingen in met name een groot risico voor cloud- de eerste helft van 2019. omgevingen: brute force- en phishingaanvallen. Een andere aanvalsmethode die we hebben waargenomen is via apps van derden die toegang hebben tot Office 365- en G Suite-gegevens. Infiltratie of het verkrijgen van OAuth-tokens gebeurt via phishing, social engineering, malware of gecompromitteerde accounts. Dit is een onopvallende, maar hardnekkige manier om data te bemachtigen en vormt een groot compliance-risico. Om dit soort aanvallen te bestrijden, moet continu worden gekeken Figuur 2: De effectiviteitsscore van aanvallen per sector in de naar het gebruik van apps van derden, de eerste helft van 2019 verleende OAuth-machtigingen en de reputatie van de app. Het vereist ook een waarschuwingssysteem en de mogelijkheid Verdere gevolgen fraude te plegen. De meeste succesvolle om apps automatisch te verwijderen. Nadat cybercriminelen toegang hebben brute force-aanvallen op cloud-accounts Veel organisaties kiezen voor multifactor- gekregen tot een account, kunnen ze hun leiden tot platforms voor spam-campagnes, authenticatie (MFA) als mogelijke oplossing. aanval uitbreiden door interne en externe waarbij misbruik wordt gemaakt van de Cybercriminelen maken echter gebruik van phishing-mails te versturen. Ze stellen regels merken en middelen van organisaties. meerdere methoden om MFA te ontwijken. voor het doorsturen van e-mail in, De onderzoekers hebben ook gezien dat Aanvallen die gebruikmaken van verouderde installeren OAuth-apps, maken nieuwe gegevens worden bemachtigd via malware e-mailprotocollen zoals IMAP komen vaak gebruikersaccounts aan en uploaden en e-mail nadat toegang is verkregen tot voor. Realtime-phishing is een nieuwe malware. een account. methode die niet alleen de eerste factor, maar ook de tweede factor tijdens de Cybercriminelen starten ook BEC- Conclusie authenticatie weet te phishen. aanvallen tegen werknemers en partners om Dit onderzoek toont aan dat cyberaanvallen op de cloud geen voorkeur hebben voor bepaalde sectoren; alle sectoren worden aangevallen. Sommige sectoren zijn kwetsbaarder dan andere, maar elke { ‘De onderwijs- en voedsel- en drankensector waren het kwetsbaarst voor cloud-aanvallen, met een slagingspercentage van meer dan 70%’ organisatie profiteert van gedegen kennis van cloud-dreigingen en geautomatiseerde beveiligingsmaatregelen op basis van dreigingsinformatie. Passende beveiligingsmaatregelen helpen om account-overnames en andere incidenten binnen organisaties of bij partners en klanten te voorkomen of snel te herstellen.
