Orange Cyberdefense, de Europese leider op vlak van cybersecurity, publiceert zijn jaarverslag: de ‘Security Navigator’. Hierin analyseert Orange Cyberdefense de evolutie en veranderingen in de cyberdreigingen. De gebruikte data, verzameld tussen januari en oktober 2020, zijn afkomstig van de 50 miljard security events die door de 17 SOC’s en 11 CyberSOC’s van Orange Cyberdefense wereldwijd zijn geanalyseerd, het epidemiologielaboratorium en het onderzoekscentrum (World Watch), evenals van deskundigenrapporten en benchmarkstudies.
Deze editie geeft een uniek beeld van het cybersecurity ecosysteem tijdens de gezondheidscrisis die alle landen en bedrijven heeft getroffen. Nooit eerder was het zo belangrijk om vanuit een reactieve crisismodus op te staan en de controle over het eigen te volgen cybersecuritypad terug te nemen en een veiligere digitale samenleving op te bouwen.
2020: het jaar van de COVID-19 pandemie
Een duidelijke vaststelling: 2020 is, ondanks de crisis, niet het jaar geweest waarin het aantal cyberaanvallen explosief groeide. Uitgezonderd de ransomware-aanvallen die hun businessmodel en strategie hebben veranderd.
De algemene groeivertraging van de wereldeconomie heeft geen significante invloed gehad op het gedrag van de aanvallers. Cybercriminelen gebruikten het COVID-19 thema vaak opportunistisch; deze piste werd echter snel losgelaten ten gunste van meer klassieke thema’s. Zo vertegenwoordigen aanvallen met COVID-19 als insteek nauwelijks 2% van de aanvallen die in april zijn geregistreerd. Het gedrag van de aanvallers werd dus slechts oppervlakkig en tijdelijk gewijzigd tijdens de crisis (pagina 43 tot 54 in het rapport).
Er is ook geen noemenswaardige explosie geweest in termen van het aantal meldingen. Wel ziet Orange Cyberdefense een stijgende trend met aanvallen die meer gericht zijn op gebruikers via social engineering (in 2019 was dit maar 1% van de aanvallen, in 2020 al 5%). De meest voorkomende incidenten zijn onregelmatigheden op het netwerk of in de applicatie (35%), afwijkingen van gebruikersaccounts (23%) en malware (20%) (pagina’s 9 tot en met 26 in het rapport).
Ransomware: een business met focus op de data
Ransomware was oorspronkelijk een relatief eenvoudige malware die, nadat hij het IT-systeem van het slachtoffer was binnengedrongen, alle gegevens versleutelde. Het slachtoffer kon alleen de ontcijferingssleutel krijgen nadat hij losgeld (ransom) had betaald. Dit type aanval was vooral gericht op kleinere organisaties of personen die gemakkelijk aan te vallen waren, die geen back-ups hadden en daarom ook bereid waren om kleine bedragen te betalen voor de recuperatie van hun gegevens. De opkomst van cryptocurrency’s, waardoor transacties niet gemakkelijk terug te voeren zijn naar de aanvallers zelf, heeft de snelle ontwikkeling van ransomware-aanvallen mogelijk gemaakt. Dit ‘businessmodel’ was duidelijk een massamarktmodel dat de beschikbaarheid van gegevens van elk soort slachtoffer veranderde (pagina 46 in rapport).
In 2020 hebben ransomwaregroepen hun ‘businessmodel’ verder ontwikkeld door niet alleen de beschikbaarheid van gegevens tengelde te maken, maar ook de vertrouwelijkheid ervan. Naast het feit dat hackers de data versleutelden, dreigen ze ermee een deel van de data openbaar te maken. Die aanpak maakt ook de ‘jacht op groot wild’ mogelijk, waarbij grote bedrijven het doelwit worden en het gevraagde losgeld miljoenen euro’s kan bedragen (pagina’s 18 en 19; pagina 46).
Domino-effect
Het rapport van Orange Cyberdefense toont ook ongewone aantallen (van kwetsbaarheden) binnen beveiligingsproducten, met name die producten die essentieel zijn voor het telewerken. Deze groei kan deels worden verklaard door een ‘domino-effect’ of ‘cascade’ in het onderzoek: de ontdekking van één kwetsbaarheid leidt tot de ontdekking van een andere binnen dezelfde tool of dezelfde kwetsbaarheid in andere tools… Dit is een positievere vaststelling dan het lijkt, omdat hierdoor uiteindelijk de veiligheid van deze oplossingen kan worden versterkt.
Ook een punt van waakzaamheid: patches uitvoeren duurt – door het uit te stellen – lang. Onderzoekers van Orange Cyberdefense bestudeerden in de afgelopen 12 maanden 168 kwetsbaarheden in beveiligingsproducten waarvan patches beschikbaar waren. Minder dan 19% was binnen 7 dagen gepatcht. Bovendien duurde het voor 56,8% van deze beschikbare patches tussen 31 en 180 dagen om te worden geïmplementeerd. Nog zorgwekkender is het feit dat 14% van de patches zes maanden na de release ervan nog steeds niet was geïmplementeerd (pagina 36 in rapport). Dergelijke vertragingen kunnen worden uitgebuit door cybercriminelen die elke nieuwe kwetsbaarheid die ze ontdekken proberen uit te buiten.
2020: een meer volwassen cyber-ecosysteem
De dreigementen van vandaag vervangen die van gisteren niet, maar zijn aanvullend.
Het rapport ziet ook een stijging van het algemene niveau van maturiteit: werknemers hebben meer aandacht voor cybersecurity. Ze beseffen hoe kritisch de digitale wereld is voor hun werk en persoonlijke leven, en zijn daardoor waakzamer.
Deze maturiteit heeft gevolgen voor alle actoren in de digitale wereld, en dus ook voor de cybercriminaliteit die in 2020 aanzienlijk beter gestructureerd was. Cybercriminaliteit is een beroep geworden, zeker binnen een criminele organisatie (pagina 57 tot 65). Cybercriminelen bundelen hun krachten om gespecialiseerde groepen te vormen, samen te werken en een netwerk te vormen. Ze organiseren zich zoals de bedrijven waar ze zich op richten en nemen bekende B2C-gewoontes over: een klantendienst, (Malware-)as-a-Service, enz.
De democratisering van nieuwe technologieën en hun beveiliging
De pandemie heeft technologieën voor toegang vanop afstand in de schijnwerpers gezet. De vraag naar VPN-oplossingen is in de tweede helft van maart met maar liefst 41% gestegen en blijft nu nog 22% boven het niveau van vóór de pandemie (pagina 49). Deze nieuwe manier van werken bracht een betere beveiliging van de endpoints (pc’s, tablets, mobiele telefoons, …) met zich mee. Sinds het begin van de pandemie zijn endpoints een kritiek element geworden in de keten en zag Orange Cyberdefense zijn managed endpoint detection en -respons (EDR)-klanten met 500% stijgen.
De andere opmerkelijke trend is de boost in cloudadoptie. Cloud biedt bedrijven meer reactievermogen, lagere investeringen en meer flexibiliteit. Tegen 2023 zal meer dan de helft van de IT-activiteiten naar de cloud worden verplaatst, terwijl 75% van de bedrijven nu al ‘cloud-first’ zijn. Deze migratie naar de cloud vereist een specifieke beveiliging van de gegevens en een hoge waakzaamheid over de identiteit van de gebruikers (via IAM, sterke authenticatie, …).
Bedrijfsinvesteringen in beveiligingsproducten
In 2020 zag Orange Cyberdefense bedrijven op drie typische manieren reageren:
Ze kozen voor een afwachtende houding en hebben hun acties op het gebied van IT-beveiliging beperkt, omdat het voortbestaan van hun bedrijf ervan afhing.
Ze hebben hun IT-architectuur en de fundamenten van hun beveiliging herzien. Het gaat vooral over die waarvan de activiteiten waren stilgevallen (bijvoorbeeld de luchthavensector).
Zij hebben gefocust op gerichte acties, zoals het beter beveiligen van kritieke punten (voornamelijk eindpunten en toegang vanop afstand).
Wat de investeringen betreft, zijn er geen significante veranderingen door de crisis, hoewel diverse analisten (Gartner, IDC) voor 2021 voorspellen dat bedrijven duidelijk naar managed services kijken. Dit is het geheel of gedeeltelijk uitbesteden van de beveiliging aan een externe gespecialiseerde dienstverlener. Voor de meeste Europese landen zien de analisten een stijging van ongeveer 17% tussen 2021 en 2024, voor China zien ze de vraag naar managed services met 26% stijgen.
Volume per bedrijf in relatie tot de omvang
Ook de omvang van de bedrijven blijft ook een belangrijk factor. Orange Cyberdefense registreerde ongeveer 101 bevestigde incidenten (vergeleken met 63 in 2019) per bedrijf in kleine organisaties. Voor middelgrote organisaties ligt de mediaan op 77 incidenten (266 in 2019) en in grote bedrijven waren er in 2020 gemiddeld 278 incidenten per bedrijf (463 in 2019).
Opgelet: meer incidenten betekent niet dat organisaties minder beschermd zijn. Kleine bedrijven meer nu een inhaalbeweging gekend en hebben tevens meer geïnvesteerd in opsporingstechnologieën, waardoor hun aantal meldingen fors toenam (pagina 21).
Wat brengt 2021?
5G, dat in 2020 in diverse landen werd gelanceerd, zal nieuwe toepassingen mogelijk maken. En het zal de ontwikkeling van de technologieën en producten die de basis vormen van de zogenaamde industrie 4.0 en smart cities, versnellen. Orange Cyberdefense verwacht ook een nog verdere ontwikkeling van beveiligingstools voor IoT, of zelfs voor productieketens, waarbij de IT- en OT-teams een gemeenschappelijke visie moeten uitwerken. Bij Orange Cyberdefense staat OT-beveiliging bovenaan de lijst, met name via zijn Demo Center in Lyon (Frankrijk) dat in 2021 zal worden ingehuldigd. Orange Cyberdefense is de voorkeurspartner van deze snel evoluerende industrie.
De belangstelling voor cloud, maar ook het gebruik van nieuwe vormen van connectiviteit zoals SD-WAN, zal een prioriteit blijven voor veel ondernemingen. Dat zal nieuwe toepassingen en nieuwe risico’s met zich meebrengen waartegen ze zich moeten wapenen.
In een context waarin het ecosysteem van de cyberbedreigingen steeds meer gestructureerd wordt, moet iedereen voorbereid zijn op een verdere toename van het aantal aanvallen. De COVID-19-pandemie heeft een ongeziene verstoring van de samenleving en de economie veroorzaakt. Ze heeft de manier waarop we werken en zakendoen fundamenteel veranderd. Veel van deze veranderingen worden omgezet in duurzame verbeteringen en we zien ook dat de mentaliteit verandert. Er is een sterke toename van de vraag naar beveiliging voor cloud, netwerken en videoconferentie. Telewerken is een blijver.
Tot slot nog een les uit de COVID-19-crisis: de waarde van nabijheid. Hoewel technologisch, draait cybersecurity vooral rond vertrouwen.
U kunt het volledige rapport ‘Security Navigator 2021’ hier downloaden: https://orangecyberdefense.com/global/security-navigator/