<strong>Ernst van cyberdreigingen stijgt tijdens vakantieperiodes</strong>

Uit XDR-gegevens van secu­ri­ty­be­drijf Barracuda blijkt dat tussen juni en september succes­volle Microsoft 365-logins vanuit een verdacht land de meest voor­ko­mende drei­gingen waren (goed voor 40% van de aanvallen), gevolgd door commu­ni­catie vanuit het netwerk naar een bekend gevaar­lijk IP-adres (15% van de aanvallen) en pogingen tot brute force authen­ti­catie van gebrui­kers (10%).

Onder­zoe­kers hebben aan de hand van gegevens uit Barracuda’s XDR-platform en Security Opera­tions Centre (SOC) onder­zocht hoe volume en de ernst van drei­gingen zich dit jaar hebben ontwik­keld, waarbij vooral is gekeken naar de zomermaanden.

Tot nu toe gedetecteerde bedreigingen in 2022

In januari 2022 piekte het aantal gede­tec­teerde drei­gingen tot 1,4 miljoen, om vervol­gens sterk te dalen met iets minder dan driekwart (71,4%.) Dit werd weer­spie­geld door een tweede piek van 1,4 miljoen drei­gingen in juni, die werd gevolgd door een verge­lijk­bare, maar meer gelei­de­lijke daling in juli tot en met augustus.

Van dreigingsmeldingen naar waarschuwingen van klanten

Het beeld is anders als wordt gekeken naar hoeveel van deze drei­gings­mel­dingen hebben geleid tot een waar­schu­wing naar klanten, nadat de experts van Barracuda deze hadden onderzocht.

In januari was slechts ongeveer 1,25% van de drei­gings­mel­dingen, of 1 op de 80 (17.500), ernstig genoeg om een bevei­li­gings­waar­schu­wing aan de klant te recht­vaar­digen – maar in juni tot september steeg dit tot 1 op de 5 (96.428).

De dreigingsmeldingen van voor de zomer 

Van de 476.994 meldingen die tussen juni en september door de experts van Barracuda zijn geana­ly­seerd, waren 96.428 (20%) ernstig genoeg om de klant te waar­schuwen voor het poten­tiële gevaar en ze te adviseren om gepaste maat­re­gelen te nemen.

De drie meest gede­tec­teerde drei­gingen tussen juni en september waren:

1. Een succes­volle Microsoft 365 login vanuit een verdacht land – geclas­si­fi­ceerd als ‘hoog risico’.

Dit type aanval was goed voor 40% van alle aanvallen die in de periode van 90 dagen tussen juni en eind september werden gede­tec­teerd. De landen daarbij die een auto­ma­ti­sche bevei­li­gings­waar­schu­wing genereren zijn Rusland, China, Iran en Nigeria. Een succes­volle inbreuk op een Microsoft 365-account is bijzonder riskant omdat een indringer hiermee poten­tieel toegang heeft tot alle verbonden en geïn­te­greerde infor­matie die op het platform zijn opge­slagen. Analisten kijken onder meer naar bewijzen van logins vanuit meerdere landen op hetzelfde account, zoals een login vanuit het VK dat een uur later wordt gevolgd door een login vanuit Rusland of China. Slechts 5% van deze meldingen bleken uitein­de­lijk toch legitieme logins te zijn.

Drei­gingen die gekwa­li­fi­ceerd worden als ‘hoog risico’ zijn events die mogelijk ernstige schade kunnen toebrengen aan de klan­tom­ge­ving en die onmid­del­lijke actie vereisen. 

2. Commu­ni­catie naar een IP-adres dat bekend is bij Threat Intel­li­gence – ‘gemiddeld risico’.
Dit type aanval, goed voor 15% van alle aanvallen in deze periode, omvat iedere poging tot scha­de­lijke commu­ni­catie vanaf een device binnen het bedrijfs­net­werk naar een website of een bekende command & control server, etc.

Een ‘gemiddeld risico’ vraagt om actie, maar heeft als op zichzelf staande gebeur­tenis doorgaans geen grote gevolgen.

3. Poging tot ‘brute force’ authen­ti­catie – ‘gemiddeld risico’
Deze dreiging is goed voor 10% van alle aanvallen en bestaat uit geau­to­ma­ti­seerde aanvallen die een orga­ni­satie proberen binnen te dringen door zoveel mogelijk combi­na­ties van namen en wacht­woorden te gebruiken.

Wat betekenen deze gegevens?

Cyber­aan­val­lers plegen vooral aanvallen wanneer de kans groot is dat er weinig IT- en secu­ri­ty­spe­ci­a­listen beschik­baar zijn bij bedrijven. Bijvoor­beeld in het weekend, ’s nachts of tijdens een vakan­tie­pe­riode, zoals de zomer. Dit blijkt uit de XDR-gegevens, die laten zien dat ondanks een algemene daling van het aantal drei­gingen, een aanzien­lijk groter deel van de drei­gingen die tijdens de zomer­maanden zijn gede­tec­teerd een hoger risico vormden. 

Het is belang­rijk om dit in gedachten te houden nu de feest­dagen weer voor de deur staan, met veel vrije dagen. 

Hier zijn enkele stappen die orga­ni­sa­ties kunnen nemen om de risico’s te beperken:

• Schakel multi­factor authen­ti­catie (MFA) in alle toepas­singen en systemen
• Zorg ervoor dat er back-ups worden gemaakt van alle kritieke systemen
• Imple­men­teer een robuuste secu­ri­ty­op­los­sing die e‑mailbescherming en Endpoint Detection and Response (EDR) omvat.
• Zorg voor zicht­baar­heid in de gehele IT-infrastructuur
• Maakt gebruik van een 24x7 Security Opera­tions Center (SOC) om te monitoren, drei­gingen te detec­teren en snel daarop te reageren – intern of via een vertrouwde service provider. 

Het volume, de aard en de inten­si­teit van cyber­drei­gingen voor orga­ni­sa­ties varieert in de loop van de tijd en weer­spie­gelt het veran­de­rende gedrag van aanval­lers, betere bevei­li­gings­me­thoden en betere infor­matie. Inzicht in deze trends kan orga­ni­sa­ties helpen beter te anti­ci­peren op aanvallen en hun verde­di­ging beter in te richten.

De bevin­dingen zijn gebaseerd op detec­tie­ge­ge­vens van Barracuda XDR, een compleet uitge­breid platform voor inzicht, detectie en respons (XDR), onder­steund door een 24×7 Security Opera­tions Center (SOC). Barracuda XDR is momenteel beschik­baar voor MSP’s.