Orange Cyberdefense, de in cyberbeveiliging gespecialiseerde tak van Orange Group, lanceerde vandaag zijn jaarlijkse beveiligingsonderzoeksrapport, de Security Navigator 2023. Dit jaar onderzochten en trieerden de CyberSOC-teams 99.506 potentiële incidenten. Dat is een stijging van 5% tegenover het rapport van 2022. De Security Navigator 2023 toont dat het tempo van de incidenten dit jaar vertraagde, maar toch geven verschillende factoren aanleiding tot wereldwijde bezorgdheid.
Het verslag geeft aan dat er op sommige vlakken in de cyberstrijd overwinningen worden geboekt. De uitdagingen blijven echter talrijk, want uit de gegevens blijkt dat bedrijven nog altijd 215 dagen nodig hebben om een gemelde kwetsbaarheid te verhelpen. Zelfs bij kritieke kwetsbaarheden duurt het meestal meer dan 6 maanden voordat ze verholpen worden. De ethische hackingteams van Orange Cyberdefense melden een (kritiek of zeer) ‘ernstig’ probleem in bijna 50% van alle uitgevoerde tests.
Orange Cyberdefense merkt op dat cyberafpersing gevolgen heeft voor bedrijven van elke omvang over de hele wereld. 82% van de waargenomen slachtoffers van Cy-X waren kleine ondernemingen, een stijging tegenover de 78% van vorig jaar. Hoewel sommige teams bij het uitbreken van de oorlog in Oekraïne een merkbare vertraging vaststelden in cybercriminaliteit, nam de intensiteit snel daarna weer toe. Het aantal Cy-X-slachtoffers in Oost- en Zuidoost-Azië steeg de voorbije zes maanden met respectievelijk 30% en 33%.
Cyberafpersing blijft de dominante aanvalstechniek, maar aanvallers richten hun pijlen nu meer naar Europa, Azië en de opkomende landen
Aanvallen met ransomware en cyberafpersing blijven een grote bedreiging voor organisaties over de hele wereld. Daarom komen ze het hele jaar door regelmatig voor in de World Watch-dreigingsadviezen van Orange Cyberdefense. In maart en april waren er merkbare pieken in de berichtgeving rond ransomware door de Lapsus$-activiteit, de Conti-lekken en bezorgdheid over de oorlog tegen Oekraïne.
Tegelijkertijd was er sprake van malware in 40% van de incidenten die door de CyberSOC’s van Orange Cyberdefense verwerkt werden.
Er is ook een duidelijke en zichtbare geografische verschuiving. Het aantal Cy-X-slachtoffers in Noord-Amerika en Canada daalt respectievelijk met 8% en 32%. In Europa, Azië en de opkomende landen stijgt dat aantal dan weer. Van 2021 tot 2022 steeg het aantal slachtoffers in de Europese Unie met 18%, in het Verenigd Koninkrijk met 21% en in de Scandinavische landen met 138%. Oost-Azië kende een stijging van 44% en Latijns-Amerika van 21%.
Orange Cyberdefense stelt ook sterke verschuivingen vast in de samenstelling van actieve criminele groeperingen. Van de top 20-actoren in 2021 komen er 14 niet meer voor in de top 20 van 2022. Nadat Conti in Q2 2022 werd ontbonden, werden Lockbit2 en Lockbit3 in 2022 de grootste actoren in cyberafpersing. Ze maakten samen meer dan 900 slachtoffers.
Impact van de oorlog in Oekraïne
Orange Cyberdefense nam de eerste weken van de oorlog tegen Oekraïne een daling waar van maar liefst 50% van de cybercriminele activiteiten tegen Poolse klanten. Na enkele weken zat de activiteit terug op het ‘normale’ peil.
Kmo’s, productiebedrijven en de openbare sector bijzonder kwetsbaar
Orange Cyberdefense meldt dat ongeveer 4,5x meer kleine bedrijven het slachtoffer werden van cyberafpersing dan de middelgrote en grote bedrijven samen. Proportioneel gezien worden grote bedrijven echter nog altijd veel harder getroffen.
Vooral kleine en middelgrote ondernemingen krijgen met malware af te rekenen. Dat bleek uit de 49% van de bevestigde incidenten voor deze groep dit jaar (tegenover 10% in 2019, 24% in 2020 en 35% in 2021). Met een gemiddelde geschatte kost per datalek van 1,9 miljoen USD voor bedrijven met minder dan 500 werknemers[i], lopen kmo’s het risico kopje onder te gaan door dit soort inbreuken.
Productiesector zwaarst getroffen qua aantal slachtoffers
De productiesector blijft de absolute topper qua aantal slachtoffers van cyberafpersing (Cy-X). Nochtans toont onderzoek aan dat deze sector pas de 5de plaats inneemt in de sectoren met de grootste bereidheid om losgeld te betalen. Orange Cyberdefense meldt dat criminelen eerder ‘conventionele’ IT-systemen in gevaar brengen dan meer gespecialiseerde operationele technologie, en schrijft dit hoge aantal slachtoffers voornamelijk toe aan een slecht beheer van de IT-kwetsbaarheden. Uit gegevens blijkt inderdaad dat bedrijven in deze sector gemiddeld 232 dagen nodig hebben om gemelde kwetsbaarheden te verhelpen. Op dit criterium scoorden slechts vier andere sectoren slechter dan de productiesector.
Kritieke kwetsbaarheden blijven onberoerd en vertragingen in het patchen bedreigen de beveiliging
Uit een volledig nieuwe dataset met inzichten in kwetsbaarheden konden onderzoekers een zorgwekkende persistentie van ernstige kwetsbaarheden op zakelijke IT-systemen vaststellen, waarbij 47% van de bevestigde kwetsbaarheden als ‘kritiek’ of ‘zeer’ ernstig werd aangemerkt. Zelfs voor kritieke kwetsbaarheden duurde het nog meer dan een half jaar (184 dagen) voordat organisaties ze konden patchen. Andere kwetsbaarheden kunnen veel langer blijven bestaan; data wijzen immers uit dat veel, ook kritieke, kwetsbaarheden zelfs nooit worden gepatcht.
In de productiesector duurde het gemiddeld 235 dagen totdat IT-kwetsbaarheden werden gepatcht, tegenover gemiddeld 215 dagen in alle andere sectoren. In ziekenhuizen (in de medische en zorgsector) duurde het gemiddeld 491 dagen voordat de IT-kwetsbaarheden werden verholpen. In de transportsector was het gemiddeld 473 dagen wachten op patches.
Het menselijke dilemma
In de meeste sectoren zijn er meer incidenten met bedreigingen door interne daders dan externe aanvallen, terwijl vacatures in cyberbeveiliging niet ingevuld raken
Werknemers van organisaties blijven de frontlijn vormen van de verdediging van een bedrijf. Toch kunnen ze ook de zwakste schakel zijn. Uit het verslag van Orange Cyberdefense blijkt bijvoorbeeld dat:
- de meeste incidenten die Orange Cyberdefense bij de overheid verwerkte van interne oorsprong waren, hetzij opzettelijk of per ongeluk;
- bij productieklanten 58% van de verwerkte incidenten werd geclassificeerd als zijnde van interne oorsprong. Dat niveau ligt nog hoger voor de klanten in ‘transport en opslag’, nl. op 64% van de incidenten dat van interne oorsprong is.
Het rapport geeft aan hoe hogere niveaus van beveiligingsmonitoring de effectiviteit van controles verbeteren, maar ook meer valse positieven genereren en tot meer druk op beveiligingsprofessionals kunnen leiden. Dit is een sector die het in de regio EMEA alleen al moeilijk heeft om de meer dan 300.000 openstaande vacatures in cyberbeveiliging ingevuld te krijgen.
Mobiele beveiliging: iOS vs. Android
Voor het eerst bevat de Security Navigator 2023 eigen gegevens over de patchniveaus van bijna 5 miljoen mobiele apparaten waarmee Orange Cyberdefense tussen september 2021 en september 2022 interageerde. Onderzoek van derden geeft aan dat zowel iOS als Android in 2021 hun eigen kwetsbaarheden te verwerken kregen, met 547 gemelde kwetsbaarheden voor Android en 357 voor iOS. Van 79% van de kwetsbaarheden in Android werd de aanvalscomplexiteit laag ingeschat (voor actoren triviaal om uit te buiten), tegenover slechts 24% in iOS. 45 kwetsbaarheden in iOS kregen een kritieke CVSS-score tegenover slechts 18 in Android.
Het Navigator-rapport onderzoekt ernstige kwetsbaarheden in zowel Apple als Android om te bepalen hoelang het ecosysteem erover doet om de nodige patch uit te rollen. In één iOS-geval stelde Orange Cyberdefense vast dat het 224 dagen duurde voordat 90% van het Apple-ecosysteem naar de gepatchte versie was geüpgraded. Zowel voor Android als iOS lijkt het erop dat ongeveer 10% van het gebruikersbestand nooit correct zal worden gepatcht.
De bevindingen tonen aan dat meer iPhone-gebruikers gevaar lopen op een kwetsbaarheid wanneer een beveiligingsprobleem voor het eerst publiek bekend wordt gemaakt wegens de homogene aard van het ecosysteem. Gebruikers migreren wel snel naar een nieuwe versie, waarbij 70% de update uitvoert binnen de 51 dagen na de release van de patch. Door de meer gefragmenteerde aard van het Android-ecosysteem zijn die apparaten vaak kwetsbaar voor oudere exploits en zijn minder apparaten kwetsbaar voor nieuwe exploits.
“De afgelopen maanden zagen we een bijzonder hoge densiteit aan macro-omgevingsgebeurtenissen, maar dit maakt het cyberveiligheidsecosysteem waakzamer en eenvormiger. Cyberaanvallen halen de krantenkoppen, en de oorlog in Oekraïne herinnert ons er nadrukkelijk aan dat onze gedigitaliseerde wereld ook een virtueel strijdtoneel is”, aldus Hugues Foulon, CEO van Orange Cyberdefense.
“De bemoedigende algemene vertraging van het aantal incidenten bij onze meest volwassen klanten (+5% tegenover +13% het jaar daarvoor) toont aan dat we de strijd tegen cybercriminelen kunnen winnen. Deze successen mogen onze inspanningen in de strijd tegen cybercriminaliteit echter niet afremmen. De resultaten van dit jaar benadrukken de uitdagingen waarmee organisaties van elke omvang worden geconfronteerd. Bedreigingen evolueren, worden complexer, komen uit alle richtingen en onderstrepen het belang van het werk dat we blijven doen om ons aan te passen aan de dreiging en onze klanten te ondersteunen in deze strijd”, besluit hij.
Filip Verstockt, General Manager bij Orange Cyberdefense Belgium: “Het aantal cyberincidenten blijft stijgen, gelukkig verloopt die stijging wel trager. We zien echter dat aanvallers hun pijlen nu meer richten op Europa met een verhoogde focus op de retail, banken- en verzekeringssector. Deze sectoren zijn zich al zeer bewust van de mogelijke risico’s, hun verhoogde cybersecurity maturiteit vangt dit grotendeels op maar het blijft belangrijk om experts aan boord te hebben die incidenten snel kunnen detecteren en oplossen. Kmo’s, productiebedrijven en de openbare sector blijven echter bijzonder kwetsbaar.”