Orange Cyberdefense, de tak van Orange gespecialiseerd in cyberbeveiliging, publiceert vandaag zijn jaarlijkse beveiligingsonderzoeksrapport, de Security Navigator 2024. Het verslag verzamelt, vergelijkt en analyseert gegevens uit uiteenlopende bronnen en schetst een breed en complex beeld van de cybersecuritywereld, aangevuld met geopolitieke, economische en sociale dimensies. Het milieu wordt steeds onstabieler en minder voorspelbaar. Daarom is het nog essentiëler geworden dat organisaties het risico op blootstelling verminderen door inzicht te krijgen in het dreigingslandschap en de impact daarvan.
De Security Navigator 2024 onthult dat de dreigingsdetectieteams in de volledige periode 129.395 gebeurtenissen hebben verwerkt – een stijging van 30%. 25.076 (19%) daarvan zijn bevestigde beveiligingsincidenten. De dreigingsactie ‘hacking’ was daarbij de meest prominente met bijna een derde van de bevestigde incidenten (30,32%). ‘Misbruik’ stond op de tweede plaats (16,61%), terwijl ‘malware’ naar de derde plaats zakte (12,98%).
Hoewel het aantal gebeurtenissen is gestegen, daalde het eigenlijke aantal bevestigde incidenten op jaarbasis met 14%. De productiesector (32,43%) telt veruit de meeste bevestigde incidenten en volgt hetzelfde patroon als de afgelopen jaren. Kleinhandel (21,73%) en professionele, wetenschappelijke en technologische diensten (9,84%) vervolledigden de top drie. Samen waren ze goed voor meer dan twee derde van de bevestigde incidenten die we met klanten bespraken.
Naast criminele motieven hebben steeds meer bedreigers ook politieke of ideologische beweegredenen. Die zijn alsmaar vaker vervlochten met doeleinden zoals spionage, sabotage, desinformatie en afpersing. Wereldwijd stijgt het aantal slachtoffers van cyberafpersing (ransomware), maar ook in verband met de oorlog tegen Oekraïne neemt het hacktivisme toe. Bovendien hebben sommige cyberafpersers door de huidige geopolitieke gebeurtenissen meer politieke motieven gekregen.
2023 kende de meeste slachtoffers van cyberafpersing ooit
Het dreigingslandschap van cyberafpersing blijft snel evolueren. In de afgelopen twaalf maanden zijn de slachtoffers van cyberafpersing wereldwijd met 46% toegenomen, tot het hoogste aantal ooit opgetekend. De meeste aanvallen viseerden grote ondernemingen (40%), en er was een gestage toename bij bedrijven met meer dan 10.000 werknemers. Die trend verergerde door toedoen van een enkele bedreiger, Cl0p, die in 2023 twee grote kwetsbaarheden uitbuitte. Kleine organisaties vormen een kwart (25%) van alle slachtoffers, op de voet gevolgd door middelgrote bedrijven (23%).
In grote Engelstalige economieën blijven de meeste slachtoffers vallen – meer dan de helft van hen (53%) heeft een hoofdkantoor in de Verenigde Staten, gevolgd door het Verenigd Koninkrijk (2e, 6%) en Canada (3e, 5%). De geografische spreiding begint echter uit te dijen, zoals valt af te leiden uit een sterke stijging op jaarbasis van het aantal slachtoffers in India (+97%), Oceanië (+73%) en Afrika (+70%).
Orange heeft ontdekt dat 25 cyberafpersingsgroepen van 2022 waren verdwenen in de loop van 2023. 23 hadden het vorige jaar overleefd, en er waren 31 nieuwe groepen die we nog nooit eerder hadden gezien. Van de bestaande cyberafpersingsgroepen had meer dan de helft (54%) een levensduur tot zes maanden. 21% hield zeven tot twaalf maanden stand, en 10% van alle groepen haalde een leeftijd van dertien tot achttien maanden. Dat benadrukt hoe moeilijk het is om een cyberafpersingsactiviteit te verstoren.
Fysieke oorlogen worden gespiegeld in de cyberwereld, met hacktivisme als krachtig politiek wapen
De afgelopen twee jaar is hacktivisme ter ondersteuning van politieke of maatschappelijke doeleinden zichtbaar toegenomen. Uit ons rapport blijkt dat hactivistgroepen die betrokken zijn bij de oorlog tegen Oekraïne nog nooit zoveel aanvallen hebben uitgevoerd, zowel aan de kant van Rusland als die van Oekraïne. Daarbij werden Oekraïne, Polen en Zweden het zwaarst getroffen door de pro-Russische hacktivisten die we volgen. Deze opgaande trend wordt in de hand gewerkt door andere geopolitieke gebeurtenissen, zoals de recente ontwikkelingen in het Midden-Oosten. Die vormen op hun beurt namelijk de aanleiding voor de oprichting van nieuwe groepen.
Europa werd getroffen door 85% van alle hacktivistaanvallen in 2023, gevolgd door Noord-Amerika (7%) en het Midden-Oosten (3%). We stellen vast dat de landen die ‘overdreven veel aanvallen’ te slikken kregen geografisch relatief dicht bij de oorlog tegen Oekraïne liggen.
Het onderzoek toont een voortdurende evolutie in de richting van ‘cognitieve’ aanvallen, die via technische activiteiten de perceptie proberen te beïnvloeden. Hier draait het dus niet zozeer om het verstorende effect van de aanval, of de waarde van de gegevens of systemen die worden aangevallen (bijv. gestolen, gelekt of vernietigd), maar eerder om de impact van die aanvallen op de maatschappelijke perceptie. We zien niet alleen cybergebeurtenissen die de fysieke wereld treffen, maar ook fysieke gebeurtenissen die rechtstreeks een cyberreactie van bedreigers uitlokken en op hun beurt die geopolitieke spanningen doen escaleren.
De meeste aanvallen van hacktivisten die we observeren zijn distributed-denial-of-service-aanvallen (DDoS). Sommige hacktivistgroepen hebben sterke DDoS-vaardigheden ontwikkeld, terwijl andere pochen over hun capaciteiten en impact met een taalgebruik en narratief die niet in verhouding staan tot hun eigenlijke handelingen (en impact).
Hacking blijft de absolute koploper met bijna een derde van de incidenten die zijn gedetecteerd binnen CyberSOC’s
Op basis van de VERIS[1]-structuur blijft de dreigingsactie ‘hacking’ het meest gedetecteerde beveiligingsincident. Met 30,32% is het goed voor bijna een derde van de bevestigde incidenten, een aanzienlijke stijging in vergelijking met de 25% van vorig jaar. ‘Malware’ was tot voor kort steevast een van de twee meest gedetecteerde ‘true positive’-incidenttypes, maar dit jaar is het met slechts 12,98% naar de derde plaats gezakt. ‘Misbruik’ was de tweede meest gemelde dreigingsactie met 16,61%, bijna evenveel als in het rapport van vorig jaar. Incidenten ingedeeld als ‘fout’ (7,33%) nemen opnieuw de vierde plaats in; ‘sociale’ incidenten (7,15%) vervolledigen de top vijf.
Volgens de gegevens stonden interne actoren in voor 37,45% van de gedetecteerde incidenten binnen organisaties, maar de meeste werden nog steeds veroorzaakt door externe actoren (43,6%). Het apparaat van de eindgebruiker was daarbij het meest getroffen bedrijfsmiddel (27,7%), gevolgd door de server (27,34%).
De efficiëntie van mature, gevestigde klanten kan tot vier keer hoger liggen dan die van nieuwe klanten
De CyberSOC-teams hebben vastgesteld dat er een sterk verband is tussen de detectie-efficiëntie van een klant en de hoeveelheid feedback die we van de klant krijgen. Dit jaar stellen we vast dat de efficiëntie van mature, gevestigde klanten tot vier keer hoger kan liggen dan die van nieuwe klanten die nog maar net het introductietraject bij ons gestart zijn. Wij menen dat deze maturiteit van de klant sterk tot uiting komt in de regelmaat van de feedback die we over incidenten ontvangen.
Bovendien is de kwantiteit van de incidenten die we aan onze klanten melden proportioneel gedaald de afgelopen jaren, terwijl de kwaliteit gestegen is. Dat is duidelijk te zien aan de ‘onbekende gebeurtenissen’; bij klanten die één tot tien maanden bij ons zijn, gaat dat over 15,33%. Dat percentage daalt tot 4,10% bij klanten met wie we al 41 tot 50 maanden samenwerken. Volgens ons komt dat door een zorgvuldigere detectie, een grondigere analyse, en andere verbeteringen in de dienstverlening. Naarmate onze klanten tot wasdom komen in ons systeem, kunnen ze bovendien beter reageren op gebeurtenissen die we aan hen melden. Ook verfijnen ze hun feedback naar ons toe. Met degelijke feedback kunnen we in een repetitieve cyclus de detectie intelligent afstellen en dus efficiënter maken.
Vertrouwenspartner die cyberbeveiligingsstrategieën definieert en toepast om zo te voldoen aan de behoeften van bedrijven
“Het rapport van dit jaar benadrukt de onvoorspelbare omstandigheden waar we vandaag mee te maken hebben. We merken dat onze teams harder dan ooit werken, terwijl het aantal gedetecteerde incidenten blijft stijgen (+30% op jaarbasis). Hoewel we een toename zien in het aantal grote ondernemingen die getroffen worden door cyberafpersing (40%), zijn kleine en middelgrote bedrijven samen goed voor bijna de helft van alle slachtoffers (48%)”, aldus Hugues Foulon, CEO van Orange Cyberdefense.
“Samen met onze klanten voeren we een standvastig beleid van bewustzijn en ondersteuning voor een wereld waarin we alsmaar meer met elkaar verbonden zijn. We passen ons aan nieuwe technologieën aan, en bereiden ons voor op nieuwe bedreigers door voortdurend te anticiperen op aanvallen. Zo kunnen we ze meteen detecteren en in de kiem smoren wanneer ze zich voordoen”, sluit Foulon af.
Het complete rapport met gedetailleerde bevindingen en inzichten uit de volledige cyberbeveiligingssector hier gedownload worden.