'Hidden persistence' de meest gevreesde cyberaanval

Gepubliceerd op 21 oktober 2021 om 15:00

Deep Instinct, aanbieder van een op deep learning gebaseerde security-framework, publiceerde vorige week zijn halfjaarlijkse Voice of SecOps Report. Uit dit rapport blijkt dat organisaties gemiddeld 17,2 uur nodig hebben om op een cyberaanval te reageren, oftewel twee werkdagen. Wereldwijd ligt dit gemiddeld nog hoger, namelijk 20.9 uur. Gezien de vertraging die security-teams vaak oplopen wanneer ze met een beveiligingsincident te maken krijgen, hebben de respondenten weinig vertrouwen in hun vermogen om de constante golf van cyberaanvallen de baas te blijven.

Volgens de security-professionals die aan het onderzoek deelnamen, vormen vooral bedreigingen door insiders een hardnekkig probleem. 76% van de Nederlandse respondenten heeft er weinig fiducie in dat hun collega’s niet op kwaadaardige links zullen klikken. Hiermee kunnen ze razendsnel cyberbedreigingen in IT-omgeving binnenhalen en een cyberaanval in werking zetten.

Beveiligingsproblemen van security operation centers (SOC’s)

De blootstelling aan ransomware en andere typen malware is een verre van opgelost vraagstuk. Er zijn echter nog andere belangrijke problemen waar security-professionals tegenaan blijven lopen.

  • Zorgen over de omgang met cyberaanvallen:

    • Het gebrek aan specifieke technologie voor de preventie van nog niet eerder geobserveerde malware (33%) is een belangrijk punt van zorg.
    • 'Hidden persistence' is de meest gevreesde tactiek die cybercriminelen hanteren om grootscheepse aanvallen uit te voeren, geeft 47% van de Nederlandse respondenten aan. Wereldwijd is dit aantal 40%. 'Hidden persistence' houdt in dat cybercriminelen zich geruime tijd onopgemerkt binnen het netwerk ophouden en in het geniep toegang tot data en applicaties zoeken. Ze behouden daarbij ook hun aanwezigheid als computersystemen opnieuw worden opgestart of aanmeldingsgegevens worden gewijzigd.
    • Een tekort aan gekwalificeerde SecOps-professionals (wereldwijd 35%) zorgt voor problemen rond de incident respons. Dat geldt met name voor organisaties in de gezondheidszorg (52%) en de publieke sector (55%).

  • Zorgen rond de digitale transformatie en regelmatig thuiswerkende werknemers

    • Een derde van de Nederlandse respondenten (33%) meent dat de snelheid waarmee de organisatie de digitale transformatie doorzet, leidt tot blinde vlekken die beveiligingsrisico’s vormen.
    • Het groeiende hybride werknemersbestand veroorzaakt meerdere hoofdbrekens. 51% van de Nederlandse respondenten maakt zich ongerust over het gebruik van niet toegestane diensten (Shadow IT); de impact op de beveiliging door apparaten die medewerkers zelf meebrengen (BYOD) (47%), en of de huidige beveiligingsoplossingen de toegenomen druk wel aankunnen (37%).

  • Integrale beveiliging van endpoints blijft moeilijk te realiseren:

    • Bijna alle respondenten (99%) vermoeden dat niet elk endpoint binnen hun organisatie met minstens één endpoint-agent is beveiligd.
    • 37% van de Nederlandse respondenten zegt dat elk endpoint binnen hun organisatie dat wel beveiligd is, dezelfde mate van bescherming geniet. De meerderheid in Nederland (55%) zegt niet in staat te zijn om cyberbedreigingen op alle endpoints te blokkeren, wereldwijd zegt 60% dit.

  • Problemen rond gegevensopslag in de cloud en kwaadaardige bestanden:

    • Bestanden die in de cloud zijn opgeslagen vertegenwoordigen voor 80% van alle organisaties een kwetsbaarheid waarop niet wordt gecontroleerd.
    • 58% van de Nederlandse respondenten maakt zich zorgen over collega’s die per ongeluk kwaadaardige bestanden uploaden en daarmee bedrijfsomgevingen in gevaar brengen, wereldwijd is dit 68%.

 

Joost van der Spek,  Regional Sales Manager Benelux bij Deep Instinct: “Dat bedrijven twee dagen nodig hebben om op een hack of aanval te reageren is natuurlijk beangstigend nieuws. Organisaties kunnen echter een aantal dingen doen om de responstijd flink te verkorten. Het is belangrijk om de securityomgeving goed onder loep te leggen. Zijn alle securityoplossingen wel opgewassen tegen de huidige cyberbedreigingen? Veel securityoplossingen werken voornamelijk reactief, pas als het kwaad is geschied gaat er een alarm af. Daardoor kan de malware onmiddellijk of voor langere tijd schade toebrengen aan het bedrijf, soms zelfs zonder dat dit gesignaleerd wordt.

Cybersecuritytoepassingen die preventief werken zorgen wél voor goede beveiliging. Deze oplossingen stoppen cyberbedreigingen in de pre-executie fase, dus nog voordat een proces of file dat kwaadaardige content bevat geopend kan worden. Kortom, de reactiesnelheid op cyberaanvallen is cruciaal om erger te voorkomen. Deep Learning is in staat geavanceerde malware en/of ransomware te herkennen en te stoppen in een snelheid van minder dan 20 ms. Dat is een groot verschil met de twee dagen die veel organisaties nu kwijt zijn na een cyberaanval.”

Hoop in de strijd tegen cybercriminaliteit

Met name in de ICT-sector en de financiële dienstverlening is er sprake van optimisme onder security-professionals. De respondenten in de eerste groep waren optimistisch over het succes van hun inspanningen om cyberbedreigingen te voorkomen. Het aantal respondenten in de ICT-sector dat van mening is dat de preventie van alle malware een haalbare kaart is, ligt twee keer hoger dan voor hun collega’s in andere sectoren.

De financiële dienstverleningssector loopt voorop als het gaat om de tijd die nodig is voor de incident respons. Professionals in deze sector reageren bijna vier uur eerder op beveiligingsincidenten dan collega’s in andere branches. 62% van alle Nederlandse respondenten denkt dat het in de komende twee tot vijf jaar mogelijk zal zijn om alle cyberbedreigingen uit het bedrijfsnetwerk te weren.

Verder is 59% van alle respondenten wereldwijd optimistisch gestemd over de haalbaarheid van bedreigingspreventie. Dientengevolge leggen bedrijven in Nederland een grotere nadruk op technologie voor preventie (70%) en detectie (64%). Wereldwijd is dit 57% en 62%, wat laat zien dat organisaties in Nederland veel meer aandacht aan preventie besteden. Met functionaliteit voor geautomatiseerde detectie en preventie kunnen security-teams hun focus richten op de meest urgente problemen in plaats van voortdurend door beveiligingsmeldingen te worden overspoeld.

Onderzoeksmethodiek

Het rapport van Deep Instinct is het gevolg van vraaggesprekken met 1.500 senior security-professionals in 11 landen. Zij waren actief bij bedrijven met meer dan duizend werknemers en een jaaromzet van boven de 500.000 dollar. Deze organisaties waren actief in zeven verticale markten: financiële dienstverlening, retail en e-commerce, gezondheidszorg, productie-industrie, de publieke sector, vitale infrastructuren en technologie.

DI Voicesofsecop Report Final
PDF – 3,1 MB 531 downloads
DI Voicesof Sec Ops 2 Report FINAL
PDF – 362,1 KB 515 downloads

Bron: deepinstinct.com, dutchitchannel.nl |Witold Kepinski

Bekijk alle vormen en begrippen 》

Actuele aanvallen overzicht per dag 》

Ernstige kwetsbaarheden 》

Meer rapporten bekijken of downloaden 》

 

Tips of verdachte activiteiten gezien? Meld het hier.

Meer nieuws

Supply chain aanvallen, Marimo gehackt en FBI leest Signal

Aanvallers misbruiken steeds vaker de vertrouwensrelaties tussen softwareleveranciers en cloudservices. De officiele website van CPUID verspreidde zes uur lang malware via de downloads van CPU-Z en HWMonitor, ShinyHunters stal authenticatietokens om via Anodot in Snowflake omgevingen te komen en de Lazarus Group registreerde legale Amerikaanse bedrijven als dekmantel voor malwarecampagnes. Ondertussen werd een kritieke kwetsbaarheid in het Python notebook platform Marimo binnen tien uur na openbaarmaking actief misbruikt. De FBI liet in een rechtszaak zien dat gewiste Signal berichten te herstellen zijn via de notificatiedatabase van een iPhone. En ransomwaregroepen breiden hun arsenaal uit met bijna negentig verschillende tools om beveiligingssoftware uit te schakelen.

Lees meer »

NB413: ChipSoft ransomware treft ziekenhuizen, REvil baas ontmaskerd en twee Fortinet zerodays

Deze week werd Nederland opgeschrikt door een ransomware aanval op ChipSoft, de grootste leverancier van patiëntendossiers in Nederland. Elf ziekenhuizen haalden uit voorzorg hun portalen offline en de Autoriteit Persoonsgegevens ontving 23 meldingen. Ondertussen onthulde de Duitse BKA de identiteit van de beruchte REvil ransomware leider UNKN, ontmantelden de FBI en het VK een Russische spionagecampagne via gehackte routers en namen aanvallen op Kubernetes met 282 procent toe. Twee kritieke zerodays in FortiClient EMS werden binnen een week ontdekt en actief misbruikt en Noord-Koreaanse hackers stalen in 2025 al meer dan twee miljard dollar aan crypto. LinkedIn bleek stilletjes browserextensies van gebruikers te volgen en een bankhelpdeskfraudeur kreeg zeven jaar cel na het stelen van 900.000 euro. De politie zoekt daarnaast meer slachtoffers van verdachte Turpien. Lees alle details in de vier artikelen van deze week.

Lees meer »

ChipSoft ransomware treft zorg, VENOM steelt executive logins en 7 jaar cel

Een ransomware aanval op EPD leverancier ChipSoft treft de hele Nederlandse zorg, elf ziekenhuizen halen hun portalen offline en de Tweede Kamer stelt vragen over de gevaarlijke afhankelijkheid van een handvol leveranciers. Cybercriminelen misbruiken echte Meta notificaties om meer dan veertigduizend phishing mails te versturen en het gesloten VENOM platform jaagt specifiek op CEO's en CFO's. Het updatesysteem van een populaire WordPress plugin wordt gekaapt voor een volledige supply chain aanval en onderzoekers ontdekken dat het CLAUDE.md bestand van AI assistent Claude Code misbruikt kan worden voor SQL injectie. In de rechtbank krijgt een 24 jarige man uit Delfzijl zeven jaar cel voor het stelen van 900.000 euro via bankhelpdeskfraude.

Lees meer »

Politie zoekt extra slachtoffers van verdachte Turpien

De politie roept slachtoffers van een man uit Spijkenisse op om zich te melden. De verdachte zou onder de naam Turpien op Snapchat tientallen meisjes hebben afgeperst. Inmiddels zit hij vast, maar door de hoeveelheid beeldmateriaal die bij hem werd aangetroffen, vermoedt de politie dat er nog meer slachtoffers zijn die nog niet bekend zijn.

Lees meer »

Twee FortiClient zerodays, Noord-Korea's miljardenbusiness en LinkedIn als spion

Twee kritieke kwetsbaarheden in FortiClient EMS in één week, beide actief misbruikt als zeroday. Noord-Korea blijkt in 2025 voor meer dan twee miljard dollar aan crypto gestolen te hebben en hackt de populaire Axios library via een nep Teams update. Device code phishing neemt 37 keer toe door nieuwe phishing kits. En onderzoekers ontdekken dat LinkedIn meer dan 6.000 browserextensies scant van gebruikers.

Lees meer »

«   »