Fortinet publiceerde de laatste editie van zijn halfjaarlijkse Global Threat Landscape Report van FortiGuard Labs. In de eerste helft van 2023 constateerde FortiGuard Labs een afname van het aantal organisaties die ransomware detecteerden, significante activiteit van advanced persistent threat (APT)-groepen en een verschuiving in de MITRE ATT&CK-technieken die cybercriminelen gebruiken. Een volledige analyse is te vinden in het 1H 2023 Global Threat Landscape Report.
Derek Manky, chief security strategist en global vice president Threat Intelligence bij FortiGuard Labs: “Het aanpakken van cybercriminelen vraagt om een wereldwijde inspanning en sterke vertrouwensbanden en samenwerking tussen de publieke en private sector. Er zijn ook investeringen nodig in door AI ondersteunende beveiligingsdiensten die overbezette securityteams helpen om real-time bedreigingsinformatie op gecoördineerde wijze toe te passen binnen de hele organisatie. Securityteams kunnen zich niet permitteren om werkeloos toe te kijken terwijl het aantal gerichte cyberaanvallen een recordhoogte bereikt. FortiGuard Labs, de onderzoeksdivisie van Fortinet, blijft voorzien in innovatieve en praktisch toepasbare threat intelligence zoals de Red Zone en analyses op basis van het nieuwe Exploit Prediction Scoring System. Securityteams kunnen op die manier proactief prioriteiten stellen voor het patchen van kwetsbaarheden en sneller dan ooit op cyberbedreigingen reageren.”
Organisaties worden nog altijd in de verdediging gedwongen door de groeiende vindingrijkheid van cybercriminelen en een stortvloed aan gerichte cyberaanvallen. Het 1H 2023 Global Threat Landscape Report reikt waardevolle informatie aan die kan dienen als vroegtijdig waarschuwingsysteem voor cyberbedreigingen. Securitymanagers kunnen op die manier de juiste prioriteiten stellen voor hun beveiligingsstrategie en patchingactiviteiten. Belangrijke onderzoeksbevindingen zijn onder meer:
Het aantal organisaties dat ransomware detecteert neemt af: FortiGuard Labs heeft de afgelopen jaren gewezen op een forse opleving van het aantal ransomware-varianten. Die toename wordt voor een belangrijk deel veroorzaakt door de opkomst van Ransomware-as-a-Service (RaaS). FortiGuard Labs merkte echter dat minder organisaties in het eerste halfjaar van 2023 ransomware detecteerden (13%) dan in dezelfde periode vijf jaar geleden (22%). Ondanks die afname moeten organisaties waakzaam blijven. Dat bevestigt de trend die FortiGuard Labs de afgelopen jaren signaleerde, namelijk dat ransomware-aanvallen en andere cyberaanvallen een steeds gerichter karakter krijgen. Dat is te wijten aan de toenemende vindingrijkheid van cybercriminelen en hun wens om hun return on investment (ROI) per aanval op te voeren. Daarnaast blijft het aantal ransomware-detecties sterke schommelingen vertonen. Zo werd het eerste halfjaar van 2023 afgesloten met 13 keer meer detecties dan aan het einde van 2022. Dat aantal blijft echter een neerwaartse trend vertonen in vergelijking met heel 2022.
Cybercriminelen maken vallen met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie kwetsbaarheden met de hoogste EPPS-scores aan: Fortinet heeft van meet af aan belangrijke data over misbruik van kwetsbaarheden (exploits) aangeleverd ten behoeve van het Exploit Prediction Scoring System (EPSS). Dit initiatief maakt gebruik van informatie uit een veelheid aan bronnen om de kans te voorspellen dat een bepaalde kwetsbaarheid wordt misbruikt. FortiGuard Labs analyseerde data voor een periode van zes jaar die ruim 11.000 gepubliceerde kwetsbaarheden en detecties van exploits besloeg. Hieruit bleek dat common vulnerabilities & exposures (CVE’s) met een hoge EPSS-score (de top 1% qua ernst) met 327 keer grotere waarschijnlijkheid binnen zeven dagen na publicatie worden misbruikt. Die unieke analyse biedt CISO’s en securityteams een vroegtijdige indicatie van gerichte aanvallen op hun organisatie. Net zoals de Red Zone die in het vorige Threat Landscape Report werd geïntroduceerd kan deze informatie securityteams helpen om hun patchingactiviteiten systematisch op prioriteit in te delen om de risico’s voor hun organisatie tot een minimum te beperken.
De Red Zone helpt CISO’s met de prioriteitstelling voor patching: De analyse de prioriteitstelling FortiGuard Labs exploits van EPSS-kwetsbaarheden vormt een aanvulling op zijn inspanningen voor het definiëren van de Red Zone. Die term verwijst naar het percentage kwetsbaarheden op endpoints dat actief wordt aangevallen. In de tweede helft van 2022 vertegenwoordigde de Red Zone ongeveer 8,9% van alle kwetsbaarheden. Dat betekent dat circa 1.500 van de ruim 16.500 bekende CVE’s werden aangevallen. In de eerste helft van 2023 daalde dit percentage lichtelijk tot 8,3%. De verschillen tussen de tweede helft van 2022 en de eerste helft van 2023 zijn minimaal. De Red Zone lijkt daarmee de ‘sweet spot’ te zijn voor cybercriminelen die hun pijlen richten op kwetsbaarheden op endpoints. Hierbij moet worden aangetekend dat het aantal kwetsbaarheden dat wordt ontdekt, op endpoints aanwezig is en wordt misbruikt voortdurend fluctueert. Deze variabelen en een effectieve strategie voor patchbeheer kunnen de Red Zone aanzienlijk verkleinen. FortiGuard Labs blijft investeren in effectieve manieren om organisaties te helpen met het op prioriteit indelen van kwetsbaarheden, zodat ze beveiligingslekken snel kunnen dichten.
Bijna een derde van alle APT-groepen was in het eerste halfjaar van 2023 actief: Voor de eerste keer in de geschiedenis van het Global Threat Landscape Report bracht FortiGuard Labs het aantal cybercriminelen achter trends in kaart. Het bleek dat 41 (30%) van de 138 cybercriminele groeperingen die door MITRE worden gevolgd in het eerste halfjaar van 2023 actief waren. Turla, StrongPity, Winnti, OceanLotus en WildNeutron waren het meest actief gemeten naar het aantal malwaredetecties. De aanvalscampagnes van APT-groepen en staatshackers zijn gerichter en relatief kortstondig in vergelijking met die van andere categorieën cybercriminelen.
Een vergelijking over een periode van vijf jaar wijst op een explosieve groei van exploits, malware-varianten en botnets
- Unieke exploits beleven een opmars: In de eerste helft van 2023 detecteerde FortiGuard Labs ruim 10.000 unieke exploits. Dat is 68% meer dan vijf jaar geleden. Die detectiepiek geeft blijk van het enorme aantal cyberaanvallen waarop securityteams beducht moeten zijn en het feit dat deze aanvallen zich in relatief korte tijd vermenigvuldigen en nieuwe vormen aannemen. Het rapport wijst daarnaast op een afname van het aantal exploitpogingen per organisatie met ruim 75% in vijf jaar tijd en een afname van 10% van het aantal ernstige exploits. Dat doet vermoeden dat cybercriminelen hun toolkits niet alleen hebben uitgebreid, maar dat hun cyberaanvallen ook een veel gerichter karakter hebben dan vijf jaar geleden.
- Malware-families en -varianten vertoonden een explosieve groei met respectievelijk 135% en 175%: Een andere opmerkelijke onderzoeksbevinding is dat het aantal malware-families dat hun weg vond naar minimaal 10% van alle wereldwijde organisaties de afgelopen vijf jaar is verdubbeld. Dat kwam omdat meer cybercriminelen en APT-groepen hun activiteiten hebben uitgebreid en hun aanvallen op nieuwe manieren vormgeven. Een belangrijk aandachtspunt in het laatste Global Threat Landscape-rapport was de toename van wiper-malware, die voornamelijk terug te voeren was op het conflict tussen Rusland en Oekraïne. Deze toename hield in heel 2022 aan, maar zwakte in de eerste helft van 2023 af. FortiGuard Labs merkt dat wipers nog altijd door staatshackers worden gebruikt, maar dat ook steeds meer cybercriminelen dat doen voor hun aanvallen op IT-bedrijven, productiebedrijven, overheidsinstellingen, telecombedrijven en zorginstellingen.
- Bots blijven langer dan ooit in netwerken aanwezig: Het rapport wijst op een toename van het aantal actieve botnets (+27%) en een sterkere aanwezigheid van botnets binnen organisaties (+126%) in de afgelopen vijf jaar. Nog schokkender is de exponentiële groei van het aantal ‘actieve dagen’. FortiGuard Labs definieert dit als de tijd die verstrijkt tussen de eerste en laatste keer dat een botnet een beveiligingssensor aftast. In het eerste halfjaar van 2023 duurde het gemiddeld 83 dagen voordat de communicatie tussen bots en hun command and control (C2)-server werd verbroken. Dat is duizend keer langer dan vijf jaar geleden en wijst eens temeer op het belang van snelle incidentrespons. Want hoe langer organisaties bots binnen hun netwerk toelaten, hoe groter de schade en risico’s voor hun onderneming.
Het aanpakken van cybercriminaliteit vraagt om een holistische aanpak
De bijdragen die FortiGuard Labs de afgelopen tien jaar aan de threat intelligence-gemeenschap leverde hebben een enorme wereldwijde impact gehad. Ze hielpen klanten, partners en overheidsinstellingen met het verbeteren van hun beveiliging en het bestrijden van cybercriminaliteit. Het elimineren van silo’s en opvoeren van de kwaliteit van bedreigingsinformatie helpt organisaties om beveiligingsrisico’s terug te dringen en vergroot de slagkracht van de securitysector. Beveiligingsprofessionals beschikken inmiddels over de tools, kennis en ondersteuning die nodig zijn om cybercriminelen het vuur aan de schenen te leggen. De sectorbrede toewijding aan samenwerking en het delen van bedreigingsinformatie zal leiden tot een breder ecosysteem voor de bestrijding van cybercriminaliteit, zodat de sector de overhand krijgt op cybercriminelen.
Als leider in zakelijke cybersecurity en netwerkinnovatie beschermt Fortinet wereldwijd ruim een half miljoen organisaties, waaronder multinationals, dienstverleners en overheidsinstellingen. Fortinet blijft artificial intelligence (AI)-oplossingen voor nieuwe beveiligingstoepassingen ontwikkelen. Deze worden ingezet binnen FortiGuard Labs en zijn complete productaanbod. Dat draagt bij aan snellere preventie, detectie en incidentrespons voor bekende en nieuwe cyberbedreigingen.
Zo worden de door AI ondersteunde security services van FortiGuard gebruikt door beveiligingsmechanismen voor endpoints en applicaties binnen het complete bedrijfsnetwerk en alle cloudomgevingen. Speciaal ontwikkelde technologieën voor detectie en incidentrespons die gebruikmaken van AI-engines en cloudgebaseerde analysemogelijkheden (waaronder EDR en NDR) kunnen eveneens met deze beveiligingsmechanismen worden geïntegreerd. Fortinet biedt daarnaast tools aan voor incidentrespons vanaf een centrale locatie, zoals XDR, SIEM, SOAR en DRPS. Deze maken gebruik van AI, automatiseringsmogelijkheden en orchestration om cyberbedreigingen sneller te kunnen verhelpen. Al deze oplossingen weren cybercriminelen uit het bedrijfsbrede aanvalsoppervlak.