Toegang op afstand groot risico voor cyberaanvallen

Unit 42 heeft haar analyses en bevindingen samengevat in het 2023 Unit 42 Attack Surface Threat Report. Daarin worden een aantal van de meest risicovolle beveiligingsobservaties met betrekking tot 'attack surface management' (ASM) - het verminderen van kwetsbaarheid voor aanvallen - belicht. Een van de bijzondere conclusies van het rapport is de constatering dat clouddiensten de grootste risico's voor cyberaanvallen vormen. Volgens Unit 42 doet 80 procent van de beveiligingsrisico's zich voor in cloudomgevingen.

Externe toegangsservices een groot risico

Daarnaast benadrukt het rapport ook het feit dat organisaties moeite hebben om hun aanvalsgebied te beheren met de snelheid en schaal die nodig zijn om de automatisering van bedreigingsactoren te bestrijden. Het belang van snel en adequaat ingrijpen wordt extra benadrukt door de bevindingen in het rapport waaruit blijkt dat cybercriminelen binnen enkele uren na openbaarmaking van nieuwe kwetsbaarheden hier al misbruik van maken. Kritieke sectoren zoals de gezondheidszorg, energie en financiële diensten worden op verschillende manieren blootgesteld aan deze kwetsbaarheden.

Het gebrek aan overzicht van de verschillende IT-middelen en eigenaren, leiden ertoe dat de meeste organisaties zich niet eens beseffen dat zij problemen hebben met het beheer van het aanvalsgebied. Externe toegangsservices zijn daarbij een van de grootste boosdoeners, aldus Unit 42. Bij bijna een op de vijf online ontdekte problemen was een externe toegangsservice de oorzaak. Continue aandacht en waakzaamheid is van groot belang, want met elke configuratiewijziging, nieuwe cloudomgeving of nieuw onthulde kwetsbaarheid begint een nieuwe race tegen aanvallers.

Belangrijke bevindingen uit het rapport

- Aanvallers bewegen en handelen razendsnel

Aanvallers kunnen tegenwoordig binnen enkele minuten de gehele IPv4-adresruimte scannen op kwetsbare doelwitten. Van de dertig geanalyseerde Common Vulnerabilities and Exposures (CVE's) werden er drie binnen enkele uren na bekendmaking misbruikt en 63% werd binnen 12 weken na openbaarmaking misbruikt. Van de vijftien RCE-kwetsbaarheden (Remote Code Execution) die Unit 42 heeft geanalyseerd, was 20% binnen enkele uren na openbaarmaking het doelwit van ransomware-bendes en werd 40% van de kwetsbaarheden binnen acht weken na publicatie misbruikt.

- Cloud is het voornaamste aanvalsgebied

Vier van de vijf beveiligingsrisico's doet zich voor in cloudomgevingen. Cloud-gebaseerde IT-infrastructuur is altijd in beweging en verandert elke maand met meer dan 20% in elke sector. Bijna de helft van de maandelijkse risicovolle cloud-gerelateerde blootstellingen waren het gevolg van de constante verandering in cloudgebaseerde nieuwe diensten die online worden gebracht en/of oude die worden vervangen. Meer dan drie kwart van de blootstellingen aan openbaar toegankelijke infrastructuur voor softwareontwikkeling werd gevonden in de cloud, waardoor deze een aantrekkelijk doelwit vormt voor aanvallers.

Een andere opvallende statistiek is dat bij ruim acht op de tien (85%) van de onderzochte organisaties het Remote Desktop Protocol (RDP) gedurende minstens een kwart van de maand toegankelijk was via het internet, waardoor ze kwetsbaar waren voor ransomware-aanvallen of ongeautoriseerde inlogpogingen. Bovendien was bij acht van de negen onderzochte sectoren een RDP actief dat via het internet toegankelijk was en kwetsbaar was voor brute-force aanvallen gedurende minstens een kwart van de maand.

Kritieke organisaties en nutsbedrijven

Bedrijven die het vaakst (38%) blootgesteld worden aan diensten voor het delen van bestanden zijn de financiële instellingen. Aanvallen op deze bedrijven kunnen aanzienlijke financiële schade berokkenen, maar ook identiteitsdiefstal, fraude of een onherstelbaar verlies van klantvertrouwen.

Voor organisaties in de gezondheidszorg geldt dat meer dan de helft (56%) van de openbaar toegankelijke ontwikkelomgevingen vaak verkeerd geconfigureerd en kwetsbaar zijn, waardoor aanvallers de kans krijgen om toegang te krijgen tot het netwerk van de organisatie.

Bij nutsbedrijven en bedrijven in de energiesector is bijna de helft (47%) van de blootstelling te wijten aan controlepanelen van de IT-infrastructuur die toegankelijk zijn via het internet. Bij productiebedrijven vormen IT, beveiliging en netwerkinfrastructuur de grootste blootstelling (48%), wat kan leiden tot aanzienlijke operationele verstoringen met productie- en inkomstenverlies tot gevolg.

Aanbevelingen

In het rapport doet Unit 42 ook enkele aanbevelingen. Zo moeten organisaties zorgen voor een volledig, realtime inzicht in alle bedrijfsmiddelen die via internet toegankelijk zijn, inclusief cloudgebaseerde systemen en diensten, om het aanvalsgebied effectief te beheren. Daarnaast is het belangrijk dat bedrijven het aanpakken van de meest kritieke kwetsbaarheden en blootstellingen een nog hogere prioriteit toekennen. Dat geldt ook voor het regelmatig controleren en bijwerken van cloudconfiguraties zodat die in lijn zijn met best practices en potentiële beveiligingsrisico's aanpakken.

Voor externe toegangsservices, een van de grootste risicogebieden, adviseert het rapport de implementatie van sterke authenticatiemethoden, zoals MFA, en diensten die toegang op afstand bieden te controleren op tekenen van onbevoegde toegang of brute-force aanvallen. Prisma Access oplossingen kunnen helpen om Zero Trust Network Access mogelijk te maken en andere SASE mogelijkheden te bieden die organisaties nodig hebben.

Tot slot stelt Unit 42 dat het van cruciaal belang is dat organisaties op de hoogte blijven van nieuwe kwetsbaarheden, exploitaties en bedreigingsactoren. Beoordeel voortdurend het aanvalsgebied van jouw organisatie op potentiële risico's.