Patches en webapplicaties zijn de belangrijkste ict-boosdoeners bij bedrijven. Daarop wijst de security-organisatie SANS Institute in zijn eerste ‘Top cyber security risks’.
Op basis van onderzoeksmateriaal afkomstig van security-experts Tipping Point en Qualys heeft het SANS Institute de eerste editie van een halfjaarlijks rapport over aanvallen en bijhorende kwetsbaarheden gepubliceerd. Daaruit blijkt dat bedrijven wel voldoende aandacht besteden aan het patchen van besturingssystemen, maar niet of onvoldoende inspanningen leveren om toepassingen op client-systemen (unpatched client-side software) bij te werken.
Concreet gaat het hier over software als Adobe PDF Reader, QuickTime, Adobe Flash, Microsoft Office en Java-elementen. Die software is vaak veel breder (en in verschillende versies) verspreid dan bedrijven beseffen en weten. Of ze zien op tegen de last om al die pakketten steeds weer op alle clients te moeten bijwerken. Hackers blijken echter al een hele poos hun inspanningen van besturingssystemen te hebben verlegd naar de kwetsbaarheden in ‘client side software’. Daarbij wijst het SANS Institute op de groei van ‘spearphishing’-aanvallen. Dat zijn zeer gerichte phishing-aanvallen op mensen in grote en middelgrote bedrijven die toegang hebben tot de bedrijfsbanken of bedrijfskritieke informatie.
Een tweede grote categorie in de cyberrisico’s zijn kwetsbare webapplicaties. Die zijn ook vandaag de dag nog al te vaak gevoelig voor bijvoorbeeld ‘sql injection’- en ‘cross-site scripting’-aanvallen. Sommige ontwikkelaars maken zelfs gebruik van functies waarvan bekend is dat ze door malafide personen worden misbruikt. Dat zou onder meer de reden zijn waarom de website van de New York Times onlangs via een advertentiesysteem malware verspreidde.
Uit de onderzoeksresultaten blijken de Verenigde Staten nog steeds de meeste aanvallen aan te trekken, onder meer doordat daar nog steeds de meeste en meest lucratieve informatie kan worden gevonden. Het SANS Institute waarschuwt daarbij dat niet alleen financiële informatie (zoals bankpaswoorden, kredietkaartinformatie), persoonsgebonden informatie en ‘intellectual property’-kennis wordt gezocht, maar tevens informatie over lopende onderhandelingen, offertes, bedrijfsplannen en dergelijke.
Het rapport kan worden binnengehaald via http://www.sans.org/toprisks
