Sophos: 71% van de organisaties werd afgelopen jaar slachtoffer van identiteitsinbreuk

5% van de organisaties meldde afgelopen jaar zelfs zes of meer inbreuken, aldus het rapport. De aanvallen kunnen grote gevolgen hebben: 67% van de slachtoffers van ransomware in het onderzoek bevestigde dat het ransomware-incident voortkwam uit een identiteitsaanval. Vooral identiteitscompromittering bleek vaak een distributiemechanisme voor ransomware. De gemiddelde herstelkosten van zo'n incident bedroegen 1,64 miljoen dollar. 73% van de getroffenen kreeg te maken met kosten van 250.000 dollar of meer. 

Een identiteitsbreuk had bij in totaal 10% van de organisaties gevolgen voor het bedrijf. Meestal ging het om gegevensdiefstal (49%), ransomware (48%) en financiële diefstal (47%). De meeste inbreuken werden gemeld door energie, olie/gas en nutsbedrijven (80%) en de federale/centrale overheid (78%). 

AI-agents

De aanvallen zijn met name het gevolg van menselijke fouten (43%). Het gaat dan om medewerkers die misleid werden om inloggegevens te verstrekken. Een andere belangrijke oorzaak van de aanvallen is zwak beheer van Non Human Identities (NHI's). “Het probleem van NHI's is daarbij bijzonder urgent", stelt Ross McKerchar, Chief Information Security Officer bij Sophos. "AI-agents krijgen sneller toegangsrechten toegewezen dan beveiligingsteams ze kunnen volgen, en organisaties die hier niet tijdig op inspelen zullen merken dat dit een steeds kostbaardere kloof wordt om te dichten.”

Onder zwak NHI-beheer vallen bijvoorbeeld API-sleutels die in de code zijn opgeslagen, statische inloggegevens en verweesde serviceaccounts. Dergelijke problemen werden in 41% van de gevallen benoemd. Verder blijkt dat organisaties met zwak NHI-beheer 22% meer kans hebben op financiële diefstal. Ook maken ze zo'n 150.000 dollar meer herstelkosten dan organisaties met sterker NHI-beheer. 

Ook blijkt uit het onderzoek dat slechts 24% van de organisaties continu controleert op ongebruikelijke inlogpogingen. Meer dan de helft controleert dit om de drie maanden of minder. Verder kon 14% van de getroffen organisaties hun belangrijkste identiteitsaanval niet detecteren en stoppen voor er schade was aangericht. 

Stappen voor organisaties

Sophos adviseert organisaties om een meerlaagse aanpak te hanteren die zowel menselijke als NHI's omvat. Denk bijvoorbeeld aan het verplicht stellen van meervoudige authenticatie (MFA) voor alle gebruikersaccounts en het toepassen van minimale toegangsrechten. Ook moeten inactieve identiteiten onmiddelijk worden uitgeschakeld of verwijderd.

Organisaties moeten verder alle NHI's inventariseren en classificeren, stelt Sophos. Landurige inloggegevens moeten vervangen worden door kortdurende alternatieven. Verder adviseert het bedrijf om platforms voor secretsmanagement te implementeren, om NHI-inloggegevens op schaal te beheren. Tot slot worden Identity Threat Detection and Response (ITDR)-mogelijkheden en het toepassen van een Zero Trust-beveiligingsmodel steeds belangrijker.