Sophos publiceerde zijn Active Adversary Report for Business Leaders, een diepte-onderzoek naar de veranderende gedragingen en aanvalstechnieken die vijanden in 2022 gebruikten. De geanalyseerde gegevens, afkomstig van meer dan 150 incidentresponsen (IR) van Sophos, wezen op meer dan 500 unieke tools en technieken, waaronder 118 ‘living off the land binaries’ (LOLBins). In tegenstelling tot malware zijn LOLBins programmabestanden die van nature voorkomen in besturingssystemen, waardoor ze voor verdedigers veel moeilijker te blokkeren zijn wanneer aanvallers ze uitbuiten voor kwaadaardige praktijken.
Daarnaast heeft Sophos ontdekt dat niet-gepatchte zwakke plekken er het vaakst voor zorgden dat aanvallers aanvankelijk toegang kregen tot geviseerde systemen. Bij de helft van de onderzochte gevallen in het verslag benutten aanvallers immers zwakke plekken in ProxyShell en Log4Shell – kwetsbaarheden van 2021 – om organisaties binnen te dringen. Gecompromitteerde inloggegevens vormden de op een na meest voorkomende oorzaak van aanvallen.
“Wanneer aanvallers vandaag niet inbreken, loggen ze gewoon in. De bedreigde omgeving is namelijk zo groot en complex geworden dat er voor verdedigers geen waarneembare gaten meer zijn waarop ze zich kunnen richten. Voor de meeste organisaties liggen de dagen van zelfredzaamheid ver achter hen. Je moet echt altijd en overal tegelijk waakzaam zijn. Bedrijven kunnen echter een beroep doen op tools en diensten die de verdedigingslast een beetje verlichten. Zo kunnen ze zich concentreren op hun kernactiviteiten”, aldus John Shier, field CTO, commercial, Sophos.
Bij meer dan twee derde (68%) van de aanvallen die het IR-team van Sophos onderzocht, was er sprake van ransomware. Dat geeft aan dat het nog steeds een van de grootste bedreigingen voor bedrijven vormt. Sterker nog, de afgelopen drie jaar waren bijna drie vierde van de IR-onderzoeken van Sophos aanvallen met ransomware.
Hoewel ransomware het dreigingslandschap nog steeds domineert, is de verblijfstijd van aanvallers in 2022 afgenomen van vijftien tot tien dagen, voor alle soorten aanvallen. Bij aanvallen met ransomware is de verblijfstijd verminderd van elf tot negen dagen, terwijl de afname nog groter was bij aanvallen zonder ransomware. De verblijfstijd bij die laatstgenoemde bedroeg in 2021 nog 34 dagen, terwijl die in 2022 is afgenomen tot elf. Anders dan in voorgaande jaren verschilde de verblijfstijd niet significant voor organisaties of sectoren van verschillende omvang.
“Organisaties die met succes gelaagde verdedigingen met continue monitoring hebben ingebouwd, staan er beter voor wat de ernst van aanvallen betreft. Het neveneffect van een verbeterde verdediging is echter dat vijanden sneller moeten werken om hun aanvallen tot een goed einde te brengen. En snellere aanvallen vragen om een vroegere detectie. De wedloop tussen aanvallers en verdedigers zal blijven escaleren en degenen zonder proactieve controle zullen de zwaarste gevolgen ondervinden”, aldus Shier.
Het Sophos Active Adversary Report for Business Leaders is gebaseerd op 152 IR-onderzoeken in 22 sectoren over de hele wereld. De geviseerde organisaties bevonden zich in 31 verschillende landen, waaronder de VS en Canada, het VK, Duitsland, Zwitserland, Italië, Oostenrijk, Finland, België, Zweden, Roemenië, Spanje, Australië, Nieuw-Zeeland, Singapore, Japan, Hongkong, India, Thailand, de Filippijnen, Qatar, Bahrein, Saoedi-Arabië, de Verenigde Arabische Emiraten, Kenia, Somalië, Nigeria, Zuid-Afrika, Mexico, Brazilië en Colombia. De best vertegenwoordigde sectoren zijn de productiesector (20%), gevolgd door de gezondheidszorg (12%), onderwijs (9%) en kleinhandel (8%).
Het Sophos Active Adversary Report for Business Leaders verschaft organisaties bruikbare informatie en inzichten over bedreigingen, die ze nodig hebben om hun beveiligingsstrategieën en verdediging te optimaliseren.
Lees het Sophos Active Adversary Report for Business Leaders op sophos.com om meer te weten te komen over het gedrag, de tools en technieken van aanvallers.