Cyber-criminelen doorgaans gevat op servers en netwerken

Point of entry en tijdstip blijven mysterie

In een wereldwijd onderzoek werd geconcludeerd dat IT-managers cyber-criminelen eerder vangen op bedrijfsservers en -netwerken dan ergens anders. In feite ontdekten IT-managers dat 37 procent van hun belangrijkste cyber-aanvallen op hun servers en 37 procent op hun netwerken plaatsvindt. Slechts 17 procent werd ontdekt op endpoints en 10 procent werd gevonden op mobiele apparaten.

Servers slaan niet alleen financiële data op, maar ook die van werknemers en andere gevoelige documenten. Sinds vorig jaar gelden strenge AVG-wetten, en daarom zijn de beveiligingsniveaus voor servers historisch hoog. Het is logisch dat IT-managers zich richten op het beschermen van bedrijfskritieke servers om aanvallers ervan te weerhouden netwerken binnen te dringen. IT-managers kunnen endpoints niet negeren, omdat de meeste cyber-aanvallen juist daar beginnen. Aan de andere kant kan een verrassend aantal IT-managers simpelweg steeds niet vaststellen hoe en wanneer bedreigingen het systeem binnenkomen.

Toegang blijft mysterie

Volgens het onderzoek van Vanson Bourne (The 7 Uncomfortable Truths of Endpoint Security) kan twintig procent van de IT-managers die vorig jaar het slachtoffer werden van een of meer cyber-aanvallen niet vaststellen hoe de aanvallers toegang kregen. 17 procent weet niet hoe lang bedreigingen in de buurt waren voordat deze werden ontdekt. Om dit gebrek aan zichtbaarheid te verbeteren, hebben IT-managers Endpoint Detection and Response (EDR) nodig die het uitgangspunt van bedreigingen en digitale voetafdrukken van criminelen binnen een netwerk blootleggen.

Wanneer IT-managers de oorsprong van een aanval niet herkennen, kunnen ze risico’s niet minimaliseren of aanvalsketens onderbreken. EDR helpt IT-managers bij het identificeren van risico’s almede het opzetten van een plan aan beide uiteinden. Wanneer IT meer gericht is op opsporing, kan EDR sneller vinden, blokkeren en verhelpen. Als IT nog steeds een security-basis aan het opbouwen is, is EDR een integraal onderdeel dat de broodnodige threat intelligence oplevert.

EDR: drie belangrijkste functies

Volgens de enquête spenderen organisaties die elke maand één of meer beveiligingsincidenten onderzoeken gemiddeld 48 dagen per jaar om deze te onderzoeken. Het is geen verrassing dat IT-managers de identificatie van verdachte gebeurtenissen (27 procent), alert management (18 procent) en het prioriteren van verdachte gebeurtenissen (13 procent) als de drie belangrijkste functies zien die ze nodig hebben van EDR-oplossingen.

De meeste spray and pray cyber-aanvallen kunnen binnen enkele seconden op endpoints worden gestopt zonder alarm te slaan. Volhardende aanvallers, inclusief doelgerichte ransomware zoals SamSam, nemen de tijd die ze nodig achten om een ​​systeem te infiltreren door zwakke wachtwoorden te vinden op systemen die op afstand kunnen worden beoordeeld. Denk daarbij aan onder meer RDP, VNC en VPN. Vervolgens krijgen ze voet aan grond en verroeren zich niet totdat de schade is aangericht. Als IT-managers diepgaande maatregelen nemen met EDR, kunnen ze ook sneller incidenten onderzoeken en deze informatie hergebruiken.

Zodra cyber-criminelen weten dat bepaalde soorten aanvallen werken, gebruiken ze deze meestal opnieuw binnen organisaties. Het aan het licht brengen en blokkeren van patronen kan bijdragen tot het terugdringen van het aantal dagen dat IT-managers besteden aan het onderzoeken van potentiële incidenten.

57 procent van de respondenten geeft in het onderzoek aan dat ze van plan waren binnen een periode van een jaar een EDR-oplossing te implementeren; 80 procent van de IT-managers zou willen dat ze een sterker team om zich heen hadden.

(Bovenstaande bijdrage kwam tot stand in samenwerking met Sophos Benelux (Oosterhout)).

Meer info: 00-31/162.480.240 of http://www.sophos.com.

Meer sectornieuws

Agenda