Qualys detecteerde in 2022 wereldwijd meer dan 2,3 miljard kwetsbaarheden in IT-middelen. Cybercriminelen maken hier steeds opportunistischer en flexibeler misbruik van om succesvolle aanvallen uit te voeren. Dit blijkt uit het 2023 TruRisk Research Report van de Qualys Threat Unit (TRU).
Bij veel bedrijven en overheden verloopt de digitale transformatie steeds sneller door het streven om de productiviteit te verhogen. Hierdoor neemt ook het aantal nieuwe softwaretools toe dat deze initiatieven en programma’s ondersteunt. Daarmee loopt echter ook het aantal kwetsbaarheden in de IT-omgeving snel op, waardoor organisaties aanzienlijke risico’s lopen.
De Qualys Threat Research Unit (TRU) onderzocht meer dan 13 biljoen gebeurtenissen die gevolgd worden binnen het Qualys Cloud Platform. TRU analyseerde geanonimiseerde detectiestatistieken en kreeg hiermee inzicht in de kwetsbaarheden die voorkomen op apparaten, in de beveiliging van webapplicaties en door misconfiguratie van on-premise apparaten. De onderzoekers keken bovendien naar de stand van zaken met betrekking tot cloudbeveiliging. De combinatie van deze analyses en het unieke inzicht van TRU in de activiteiten van de cybercriminelen, zowel voor als na het misbruik van kwetsbaarheden, leverde vijf “risicofeiten” op.
- Risico feit #1: Snelheid is essentieel om tegenstanders te slim af te zijn
Nadat een kwetsbaarheid is ontdekt en een patch beschikbaar is, voert slechts 57,7% van de organisaties deze uit. Zij doen dit gemiddeld binnen 30,6 dagen. Aanvallers maken echter al gemiddeld binnen 19,5 dagen misbruik van deze kwetsbaarheid. Dit betekent dat cybercriminelen gemiddeld 11,1 dagen de vrijheid hebben om het kwaad aan te richten.
- Risicofeit #2: Automatisering is het verschil tussen succes en mislukking
Volgens het onderzoek werden geautomatiseerde patches 45% vaker en 36% sneller geïmplementeerd dan handmatig geïmplementeerde patches. De geautomatiseerde patches werden binnen 25,5 dagen geïmplementeerd, terwijl dit voor handmatig gepatchte kwetsbaarheden 39,8 dagen in beslag nam. Het patchpercentage voor de geautomatiseerde set was 72,5% vergeleken met 49,8% voor de handmatige set.
- Risicofeit #3: Initial Access Brokers (IAB’s) richten de pijlen op wat organisaties negeren
De onderzoekers van Qualys TRU zien een groeiend aantal cybercriminelen in de categorie Initial Access Brokers (IAB’s). Uit het rapport blijkt dat organisaties weliswaar sneller zijn met het patchen van Windows en Chrome en dat met name deze IAB’s zich hierdoor noodgedwongen richten op kwetsbaarheden buiten deze “grote twee”. Het duurt gemiddeld 45,5 dagen voordat deze kwetsbaarheden zijn verholpen, vergeleken met 17,4 dagen voor Windows en Chrome. De patchpercentages zijn ook lager, namelijk 68,3% vergeleken met 82,9% voor Windows en Chrome.
- Risicofeit #4: Misconfiguraties komen nog steeds veel voor in webapplicaties
De onderzoekers keken ook naar geanonimiseerde detecties uit 2022 van de Qualys Web Application Scanner. Deze controleert wereldwijd 370.000 webapplicaties en correleert gegevens met de OWASP Top 10. De scans brachten meer dan 25 miljoen kwetsbaarheden aan het licht, waarvan 33% in OWASP-categorie A05: Misconfiguratie. Deze misconfiguraties boden cybercriminelen in ongeveer 24.000 webapplicaties een ingang om malware te verspreiden.
- Risicofeit #5: Misconfiguraties in de infrastructuur openen de deur voor ransomware
TRU onderzocht alle controles die meer dan 50% van de scans niet doorstaan en de MITRE ATT&CK-technieken die hiermee verbonden zijn. De top drie technieken die de falende controles voor cloud misconfiguraties veroorzaakten waren T1210: Exploitatie van Remote Services, 1485: Vernietiging van gegevens en 1530: Gegevens uit Cloud Storage Object. Hieruit blijkt dat organisaties zichzelf door misconfiguraties in de cloud blootstellen aan misbruik, versleuteling en gegevensdiefstal. Deze drie technieken beschrijven precies hoe ransomware tegenwoordig werkt. Misconfiguraties worden bovendien in verband gebracht met de mogelijkheid voor cybercriminelen om zich zijdelings binnen een organisatie te verplaatsen.
“Aanvallers maken er hun werk van om de kwetsbaarheden en zwakheden binnen de omgeving van hun slachtoffers te kennen, waardoor het machtsevenwicht in hun voordeel kan verschuiven”, zegt Chantal ’t Gilde, managing director Benelux & Nordics van Qualys. “Dit rapport geeft CISO’s en beveiligingsteams ongekende, op gegevens gebaseerde inzichten voor een doeltreffende aanpak voor het begrijpen en minimaliseren van aanvalspaden en methodes van bedreigers.”
