Het is de meest voorkomende vorm van kwaadaardige software (‘malware’), gevonden in 39 procent van malware-gerelateerde data-inbreuken. Dit is verdubbeld ten opzichte van het vorige DBIR-rapport, en is goed voor meer dan 700 incidenten. Uit Verizons onderzoek blijkt ook dat aanvallen zich nu steeds meer richten op bedrijfskritische systemen, die file servers of databases versleutelen. Deze aanvallen richten meer schade aan en de aanvallers vragen om grotere sommen losgeld.
Sociale technieken
De DBIR-analyse signaleert ook een verschuiving in de manier waarop sociale technieken worden gebruikt, bijvoorbeeld identiteitsfraude om vertrouwelijke financiële gegevens te verwerven (‘financial pretexting’) en phishing. Aanvallen zoals deze, die via medewerkers organisaties binnenkomen, worden steeds meer een vraagstuk voor specifieke afdelingen. Uit het DBIR blijkt dat dat Human Resource (HR)-afdelingen in alle branches nu worden benaderd om loon- en belastinggegevens van werknemers op te vragen, zodat criminelen belastingfraude kunnen plegen en belasting teruggaven kunnen omleiden.
Bedreigingslandschap
"Bedrijven vinden het moeilijk om op de hoogte te blijven van de meest recente ontwikkelingen in het bedreigingslandschap en blijven zichzelf in gevaar brengen door geen dynamische en proactieve veiligheidsstrategieën te hanteren," zegt George Fischer, President van Verizon Enterprise Solutions.
Belangrijkste bevindingen
De elfde editie van het DBIR blijft een uitgebreide data-gebaseerde analyse van het cyberdreigingslandschap bieden. Tot de belangrijkste bevindingen van het report behoren:
Ransomware is de meest voorkomende vorm van kwaadaardige software: het werd gevonden in 39 procent van de malware-gerelateerde gevallen die zijn onderzocht dit jaar, een stijging van de vierde plaats in het 2017 DBIR (en 22e in 2014). Het belangrijkste is dat, op basis van de dataset van Verizon, het bedrijfskritische systemen begint te raken in plaats van alleen desktops. Dit leidt tot grotere losgeld eisen, waardoor zijn activiteiten een cybercrimineel meer winst voor minder werk opleveren.
De menselijke factor blijft een belangrijk zwak punt: werknemers worden nog steeds het slachtoffer van sociale aanvallen. Financial pretexting en phishing vertegenwoordigen 98 procent van de sociale incidenten en 93 procent van alle onderzochte inbreuken, waarbij e-mail het belangrijkste toegangspunt blijft (96 procent van de gevallen). Bedrijven lopen bijna drie keer meer kans om door sociale aanvallen getroffen te worden dan door technische kwetsbaarheden. Dit benadrukt de noodzaak van permanente educatie op het gebied van cyberbeveiliging voor werknemers.
HR doel van financial pretexting: Identiteitsfraude om vertrouwelijke financiële gegevens te verwerven is sinds het DBIR van 2017 meer dan vervijfvoudigd, met 170 incidenten die dit jaar werden geanalyseerd (tegenover slechts 61 incidenten in het DBIR van 2017). 88 van deze incidenten hadden specifiek betrekking op HR-medewerkers om persoonsgegevens te verkrijgen voor het indienen van frauduleuze belastingaangiften.
Phishing-aanvallen mogen niet genegeerd worden: terwijl gemiddeld 78 procent van de mensen vorig jaar geslaagd is in een phishingtest, trapt vier procent van de mensen in elke phishing-campagne. Een cybercrimineel heeft slechts één slachtoffer nodig om toegang te krijgen tot een organisatie.
DDoS-aanvallen zijn overal aanwezig: DDoS-aanvallen kunnen iedereen treffen en worden vaak gebruikt als camouflage. Zij worden vaak gestart, gestopt en opnieuw gestart om andere inbreuken te verbergen. Ze zijn krachtig, maar ook beheersbaar als de juiste DDoS mitigatie strategie wordt toegepast.
De meeste aanvallers zijn buitenstaanders: Een inbreuk kan meerdere aanvallers hebben - 72 procent van de aanvallen werd gepleegd door buitenstaanders, 27 procent betrok interne partijen, twee procent betrok partners en twee procent zelfs meerdere partners. Georganiseerde misdaadgroepen zijn nog steeds goed voor vijftig procent van de geanalyseerde aanvallen.
Significante dreiging
"Ransomware blijft een significante bedreiging voor bedrijven van elke omvang," zegt Bryan Sartin, executive director security professional services bij Verizon. "Het is nu de meest voorkomende vorm van malware en het gebruik ervan is de afgelopen jaren aanzienlijk toegenomen. Wij vinden het opmerkelijk dat bedrijven nog steeds niet investeren in passende beveiligingsstrategieën om ransomware te bestrijden, wat betekent dat zij uiteindelijk geen andere keus hebben dan het losgeld te betalen - de cybercrimineel is de enige winnaar hier! Als sector moeten wij onze klanten helpen om hun veiligheid proactiever aan te pakken. Organisaties helpen de bedreigingen te begrijpen waarmee zij worden geconfronteerd, is de eerste stap om oplossingen te implementeren die hen beschermen."
Sartin vervolgt: "Bedrijven moeten ook blijven investeren in educatie van de medewerkers over cybercriminaliteit en de schadelijke effecten die een inbreuk kan hebben op merk, reputatie en het bedrijfsresultaat. Werknemers moeten de eerste verdedigingslinie van een bedrijf zijn en niet de zwakste schakel in de veiligheidsketen. Voortdurende opleidings- en onderwijsprogramma's zijn essentieel. Er is maar één persoon nodig die op een phishing e-mail klikt om een hele organisatie bloot te stellen."
Grootste risico's per sector
Dit jaar belicht het rapport de grootste bedreigingen waarmee individuele branches worden geconfronteerd en geeft ook richtlijnen voor het beperken van deze risico's. De belangrijkste bevindingen van de sector zijn onder meer:
Educatie - Social engineering gericht op persoonlijke informatie is in trek. De informatie wordt vervolgens gebruikt voor identiteitsfraude. Ook zeer gevoelig onderzoek loopt gevaar, waarbij twintig procent van de aanvallen wordt gemotiveerd door spionage. Elf procent van de aanvallen heeft ook "plezier" als motief in plaats van financieel gewin.
Financiële en verzekeringssector - De skimmers voor betaalkaarten die op geldautomaten zijn geïnstalleerd zijn nog steeds ‘big business’, maar er is nu ook een toename van 'ATM-jackpotting', waarbij frauduleus geïnstalleerde software of hardware de geldautomaten instrueert om grote hoeveelheden contant geld vrij te geven. DDoS-aanvallen vormen ook een bedreiging.
Gezondheidszorg - Dit is de enige sector waar bedreigingen van binnen groter zijn dan bedreigingen van buitenaf. Menselijke fouten blijven een belangrijke bijdrage leveren aan de risico’s in de gezondheidszorg.
Informatie - DDoS-aanvallen zijn goed voor meer dan de helft (56 procent) van de incidenten binnen deze sector.
Publieke sector - Cyberspionage blijft een belangrijk aandachtspunt, 43 procent van de inbreuken hebben een spionagemotief. Niet alleen staatsgeheimen zijn het doelwit, ook persoonsgegevens staan op het spel.
Andere branches die in het verslag aan de orde komen, zijn onder meer huisvesting en voedselvoorziening, professionele, technische en wetenschappelijke dienstverlening, productie en detailhandel.
Het is nu tijd om in actie te komen
Bij 68 procent van de inbreuken duurde het maanden of langer om hen te ontdekken, ook al werden bij 87 procent van de onderzochte inbreuken gegevens binnen enkele minuten of zelfs seconden gecompromitteerd. Hoewel veiligheid niet kan worden gegarandeerd, kunnen proactieve stappen worden ondernomen om te voorkomen dat organisaties slachtoffer worden. De belangrijkste zijn:
Blijf waakzaam - logbestanden en changemanagementsystemen kunnen vroegtijdig waarschuwen voor een inbreuk.
Maak personeel de eerste verdedigingslinie - train personeel om de waarschuwingstekens te herkennen.
Bewaar gegevens op een 'need-to-know'-basis - alleen werknemers die toegang tot systemen nodig hebben om hun werk te doen, mogen ze hebben.
Patch snel - dit kan beschermen tegen veel aanvallen.
Gevoelige gegevens versleutelen - maak gegevens vrijwel onbruikbaar in het geval ze gestolen worden.
Gebruik twee factor authenticatie - dit kan de schade beperken die kan worden aangericht met verloren of gestolen inloggegevens.
Vergeet de fysieke beveiliging niet - niet alle gegevensdiefstal gebeurt online.