Veel organisaties beschikken nog altijd over aanzienlijke blinde vlekken in hun it-omgeving. ‘We zijn als sector steeds beter geworden in het identificeren van kritieke kwetsbaarheden, maar het daadwerkelijk aanpakken ervan blijft een grotere uitdaging.’
Dat stelt Dan Schiappa, chief product and services officer bij Arctic Wolf, dat recent het rapport the State of the Cybersecurity Attack Surface uitbracht, gebaseerd op geaggregeerde en geanonimiseerde gegevens van meer dan 800.000 it-assets wereldwijd.
Volgens de onderzoekers kampen bedrijven niet alleen met kwetsbaarheden, maar ook met een gebrek aan zicht op systemen, configuraties en beveiligingsmaatregelen. Dit zijn de grootste blinde vlekken.
1. Assets buiten patch- en configuratiebeheer
Volgens het onderzoek valt 18 procent van de it-assets buiten het patch- en configuratiebeheer. Daardoor bestaat het risico dat bekende kwetsbaarheden niet of te laat worden verholpen.
Opvallend is dat voor de tien meest misbruikte kwetsbaarheden in incident response-onderzoeken al een beveiligingspatch beschikbaar was. Het probleem ligt, zo moet blijken uit het onderzoek, vaak niet bij het ontbreken van updates, maar bij het uitrollen ervan.
2. Ontbrekende endpointbeveiliging
Tien procent van de onderzochte it-assets beschikt niet over endpoint security. Dergelijke systemen vormen een aantrekkelijk doelwit voor aanvallers omdat verdachte activiteiten minder snel worden gedetecteerd.
Eén onbeveiligd of onbewaakt systeem kan namelijk voldoende zijn om toegang tot een netwerk te verkrijgen. Een voorbeeld is de onbewaakte printer die in het tv-programma Hacked werd misbruikt door hackers. Zij kregen via een slecht beveiligde printer toegang tot het netwerk en wisten van daaruit controle over cruciale systemen te krijgen.
3. Verouderde technologie
Bijna één op de vijf it-assets (19 procent) heeft volgens het onderzoek de end-of-life-status bereikt. Het gaat om hardware of software waarvoor leveranciers geen beveiligingsupdates meer uitbrengen.
Hierdoor blijven bekende kwetsbaarheden vaak permanent aanwezig. Vooral in complexe it-omgevingen blijken verouderde systemen lastig te vervangen of uit te faseren.
4. Misconfiguraties en vertrouwensrelaties
Aanvallers richten zich steeds vaker op verkeerd geconfigureerde systemen en bestaande vertrouwensrelaties binnen it-omgevingen.
Het aandeel incidenten waarbij dergelijke technieken werden misbruikt, steeg volgens het onderzoek van minder dan één procent naar acht procent van alle niet-BEC-incidenten (Business Email Compromise). Dit soort risico’s blijft vaak onopgemerkt omdat traditionele vulnerability scanners er beperkt zicht op hebben.
5. Onzichtbare systemen
Naast de genoemde aandachtspunten blijkt ook dat meer dan 17 procent van de it-assets buiten het bereik van traditionele vulnerability management-oplossingen blijft en daardoor niet wordt gecontroleerd op bekende kwetsbaarheden. Organisaties kunnen risico’s alleen aanpakken als ze weten dat systemen bestaan
De rode draad door het onderzoek is het gebrek aan zichtbaarheid binnen de it-omgeving. Volgens Dan Schiappa van Arctic Wolf zullen organisaties die hun kans op een datalek echt willen verkleinen, moeten investeren in continue zichtbaarheid van hun aanvalsoppervlak. ‘Niet alleen in het reageren op de nieuwste kwetsbaarheden.’
Wij van WC-eend, adviseren WC-eend is rapport meer marketing dan nuttig want wie er ‘contractueel’ binnen kan komen zorgt voor een ophef over de soevereiniteit omdat nu blijkt dat de cloud om bedrijfsspionage gaat. EDR-, XDR- en telemetry-oplossingen die bedoeld zijn om aanvallers te detecteren geven namelijk een completer beeld van een organisatie dan de organisatie zelf heeft. Quis custodiet ipsos custodes?
Voor wat betreft een blinde vlek in de governance is er tenslotte al langer een informatieoorlog gaande en de cloud biedt hierin mogelijkheden maar geen wonderen als we naar de discussie over AI kijken. Focus op infrastructuur en beheerde endpoints vergeet dat organisaties afhankelijker worden van alle IoT-apparatuur en andere verbonden systemen die vaak buiten het traditionele beheer vallen.
Uiteindelijk gaat het niet om het beschermen van de infrastructuur maar om de informatieketens waar organisaties van afhankelijk zijn. Het effect van ransomware is als de tactiek van de verschroeide aarde door het ontwrichten van de logistiek. Gelukkig hebben we de back-up nog om naar een ander governance probleem te gaan want wie wat bewaard die heeft wat als het om alle blinde vlekken in de informatiehuishouding gaat.