In een onderzoek over de eerste helft van 2019 analyseerden Proofpoint onderzoekers gegevens van meer dan duizend afnemers van cloud-diensten met meer dan 20 miljoen gebruikersaccounts. Daarbij werden meer dan 15 miljoen ongeautoriseerde aanmeldingspogingen (of aanvallen) waargenomen, waarvan meer dan 400.000 succesvol waren.
Hoewel grootschalige cloud-aanvallen in alle sectoren werden waargenomen, kwamen in de loop van dit onderzoek verschillende trends naar voren. Van de onderzochte sectoren waren de onderwijs- en voedings- en drankensector bijzonder kwetsbaar voor ongeautoriseerde toegang. Gereguleerde sectoren zoals de gezondheidszorg en de financiële dienstverlening zijn beter beschermd in vergelijking met andere sectoren, met aanzienlijk minder succesvolle aanvallen.
Inhoudsopgave:
– Vooral vertegenwoordigers en managers doelwit van cyberaanvallen
– 50 procent kans om ongeautoriseerd toegang te krijgen tot cloud-accounts
– Trends in de eerste helft van 2019
– Geen sector wordt gespaard voor cloud-aanvallen
– Meest aangevallen sectoren
– Meest kwetsbare sectoren
– Franchisenemers blijken ideale doelwitten
– Best beveiligde sectoren
– Grote dreigingen en nieuwe aanvalsmethoden
– Waarschuwingssysteem
– Verdere gevolgen
– Conclusie
Vooral vertegenwoordigers en managers doelwit van cyberaanvallen
De Fortune 500-bedrijven in het onderzoek waren vaak het doelwit en 60 procent van hen had te maken met ten minste één corrupt cloudaccount. Bepaalde functies, zoals vertegenwoordigers en managers, waren in alle sectoren het doelwit. Waarschijnlijk komt dit doordat hun e-mails meestal openbaar toegankelijk zijn en hun functies hen toegang geven tot informatie over financiële managers, klanten en partners.
50 procent kans om ongeautoriseerd toegang te krijgen tot cloud-accounts
Behalve deze trends zagen de onderzoekers het volgende:
- 85 procent van de organisaties was ten minste één keer het doel van een cyberaanval.
- 45 procent van de organisaties kreeg te maken met tenminste één gecompromitteerd account.
- Bij 6 procent van de onderzochte organisaties lukte het cybercriminelen toegang tot het account van een leidinggevende te krijgen.
- Voor organisaties met ten minste één gecompromitteerd cloud-account geldt dat er gemiddeld 13 actieve accounts werden gehackt.
- 0,6 procent van de actieve gebruikersaccounts was ten minste één keer het doelwit.
Uit deze gegevens blijkt dat cybercriminelen ongeveer 50 procent kans maken om toegang tot een organisatie te krijgen via cloud-accounts. De geschiedenis leert dat slechts één gecompromitteerd account al een aanzienlijke impact kan hebben op de veiligheid van een organisatie.
Trends in de eerste helft van 2019
In het eerste kwartaal van 2019 zagen we een flinke stijging van het aantal ongeautoriseerde inlogpogingen bij cloud-diensten. Zowel de omvang als de effectiviteit van deze aanvallen is in het tweede kwartaal afgenomen. Om precies te zijn:
- In het eerste kwartaal werd 0,5 procent van de actieve accounts minstens één keer aangevallen. In het tweede kwartaal was 0,3 procent van de actieve accounts het doelwit.
- Ook was in het eerste kwartaal bij 50 procent van de onderzochte organisaties sprake van ongeautoriseerde toegang tot ten minste één cloudaccount, terwijl dit percentage in het tweede kwartaal met 42 procent iets lager was.
Geen sector wordt gespaard voor cloud-aanvallen
De onderzoekers ontdekten dat cloud-aanvallen geen enkele sector sparen:
- In 12 van de 14 sectoren richtten aanvallers zich op ten minste 80 procent van de geanalyseerde organisaties in de sector .
- Binnen de onderzochte sectoren was 92 procent van de bedrijven in de Fortune 500-lijst het doelwit en 60 procent had te maken met ongeautoriseerde toegang.
Meest aangevallen sectoren
In de eerste helft van 2019 werden organisaties in de zakelijke dienstverlening, bouwsector en de retail- en groothandelssector iets vaker aangevallen dan hun collega’s in andere sectoren. Geen enkele sector werd echter onevenredig vaak aangevallen of vermeden. Ongeacht de sector behoorden vertegenwoordigers en managers tot de meest aangevallen gebruikers. Vanwege hun functie zijn zij makkelijker te bereiken en moeten zij ongevraagde e-mails beantwoorden, hetgeen het risico op phishingaanvallen vergroot. Cybercriminelen richten zich ook op verkopers, omdat zij vaak contact hebben met mensen op financiële afdelingen en externe organisaties. Dit maakt verdere uitbreiding van de aanval, exploitatie van de toeleveringsketen en interne phishing mogelijk.
Meest kwetsbare sectoren
De onderwijs- en voedsel- en drankensector waren het kwetsbaarst voor cloud-aanvallen, met een slagingspercentage van meer dan 70 procent in het eerste en tweede kwartaal van 2019. Cybercriminelen zien onderwijsinstellingen als een makkelijke prooi, met veel studenten, faculteiten en gedecentraliseerde beveiliging. Veelgebruikte titels onder de doelwitten waren ‘professor’ en ‘alumnus’. Mogelijk ongebruikte cloud-accounts, zoals die regelmatig aan alumni worden verstrekt, zijn ideale doelwitten voor brute force aanvallen en andere activiteiten met spam, malware en phishing tot gevolg.
Franchisenemers blijken ideale doelwitten
In de voedings- en drankensector waren vooral franchisenemers erg kwetsbaar en vaak het doelwit. Zij bieden een ingang tot de financiële bedrijfsprocessen en toeleveringsketens van deze organisaties. Dit maakt franchisenemers ideale doelwitten voor fraude, verdere besmetting van het netwerk en interne phishing.
Best beveiligde sectoren
Van de onderzochte sectoren hadden cybercriminelen het minste succes in sterk gereguleerde sectoren. Dit wijst erop dat zij strengere beveiligingsmaatregelen toepassen in hun cloudimplementaties. Het slagingspercentage van aanvallen was 20 procent voor financiële instellingen en 40 procent voor zorginstellingen, wat minder is dan het gemiddelde van 50 procent. Het is echter het vermelden waard dat hogescholen en universiteiten vaak worden geassocieerd met ziekenhuizen, defensie en andere verticalen. Hierdoor lopen ook organisaties buiten de academische wereld meer risico. Bovendien zorgt de omvang van de aanvallen ervoor dat zelfs lage slagingspercentages kunnen leiden tot een groot aantal gedupeerde organisaties, zelfs in een relatief kort tijdsbestek.
Grote dreigingen en nieuwe aanvalsmethoden
Twee prominente aanvalsmethoden die een groot risico vormen voor cloud-omgevingen zijn brute force- en phishing-aanvallen. Een andere aanvalsmethode die we hebben waargenomen is via apps van derden die toegang hebben tot Office 365- en G Suite-gegevens. Infiltratie of het verkrijgen van OAuth-tokens gebeurt via phishing, social engineering, malware of gecompromitteerde accounts. Dit is een onopvallende, maar hardnekkige manier om data te bemachtigen en vormt een groot compliance-risico.
Waarschuwingssysteem
Om dit soort aanvallen te bestrijden, moet continu worden gekeken naar het gebruik van apps van derden, de verleende OAuth-machtigingen en de reputatie van de app. Het vereist ook een waarschuwingssysteem en de mogelijkheid om apps automatisch te verwijderen. Veel organisaties kiezen voor multifactor-authenticatie (MFA) als mogelijke oplossing. Cybercriminelen maken echter gebruik van meerdere methoden om MFA te ontwijken. Aanvallen die gebruikmaken van verouderde e-mailprotocollen zoals IMAP komen vaak voor. Realtime-phishing is een nieuwe methode die niet alleen de eerste factor, maar ook de tweede factor tijdens de authenticatie weet te phishen.
Verdere gevolgen
Nadat cybercriminelen toegang hebben gekregen tot een account kunnen ze hun aanval uitbreiden door interne en externe phishing-mails te versturen. Ze stellen regels voor het doorsturen van e-mail in, installeren OAuth-apps, maken nieuwe gebruikersaccounts aan en uploaden malware. Cybercriminelen starten ook BEC-aanvallen tegen werknemers en partners om fraude te plegen. De meeste succesvolle brute force-aanvallen op cloud-accounts leiden tot platforms voor spam-campagnes, waarbij misbruik wordt gemaakt van de merken en middelen van organisaties. We hebben ook gezien dat gegevens worden bemachtigd via malware en e-mail nadat toegang is verkregen tot een account.
Conclusie
Dit onderzoek toont aan dat cyberaanvallen op de cloud geen voorkeur hebben voor bepaalde sectoren; alle sectoren worden aangevallen. Sommige sectoren zijn kwetsbaarder dan andere, maar elke organisatie profiteert van gedegen kennis van cloud-dreigingen en geautomatiseerde beveiligingsmaatregelen op basis van dreigingsinformatie. Passende beveiligingsmaatregelen helpen om account-overnames en andere incidenten binnen organisaties of bij partners en klanten te voorkomen of snel te herstellen.
Dit artikel is geschreven door het Proofpoint Cloud App Security-team
– Cybersecurity: niet alleen een ict-feestje!
– 5G: kansen en uitdagingen voor veiligheid
– Cybercrisis: zijn we wel voldoende voorbereid?
Neem nu een gratis abonnement op de nieuwsbrief van Security en ontvang elke donderdagochtend relevante berichten en artikelen via de mail. Mis het niet!
Volg Security Management op LinkedIn