Technologiebedrijven hebben de tools ontwikkeld die we gebruiken om bedrijven op te bouwen en te runnen, consumententransacties te verwerken, met elkaar te communiceren en ons persoonlijke en professionele leven te organiseren. Technologie heeft de moderne wereld zoals wij die kennen gevormd - en onze afhankelijkheid van technologie blijft groeien.
Het belang van de technologie-industrie is niet verloren gegaan aan cybercriminelen en natiestaatgroepen, die zich om verschillende redenen op technologiebedrijven richten: om strategische, militaire en economische doelen te bereiken; om toegang te krijgen tot gevoelige bedrijfsgegevens die ze kunnen bewaren voor losgeld of verkopen op het Dark Web; toeleveringsketens in gevaar brengen; en veel meer.
Technologiebedrijven zijn geen onbekende op het gebied van cybercriminaliteit - ze zijn al lang het doelwit van vijandige activiteiten - maar het afgelopen jaar zijn deze aanvallen snel toegenomen. Technologie was tussen juli 2021 en juni 2022 de meest gerichte branche voor cyberinbraken, volgens CrowdStrike-dreigingsgegevens. Dit maakte tech de meest populaire sector voor bedreigingsactoren gedurende een jaar waarin CrowdStrike-dreigingsjagers meer dan 77,000 potentiรซle inbraken registreerden, of ongeveer รฉรฉn potentiรซle inbraak om de zeven minuten.
Als dit u bekend voorkomt, komt dat waarschijnlijk omdat u deze dreigingsactiviteit in het nieuws hebt gezien โ datalekken die van invloed zijn op de technologie-industrie domineerden de krantenkoppen in 2022. Technologiebedrijven van elke omvang zouden zich zorgen moeten maken over het potentieel voor vijandige activiteiten, omdat ze vaak proberen gegevens te stelen. Laten we eens nader kijken naar de bedreigingen waar technologiebedrijven zich het meest zorgen over zouden moeten maken, hoe die vijandige tactieken eruit zien en hoe ze kunnen worden gestopt.
Hoe de tegenstanders van vandaag zich richten op technologiebedrijven
Ondernemingen, kleine tot middelgrote bedrijven (MKB) en start-ups moeten zich bewust zijn van de bedreigingen waarmee ze worden geconfronteerd en hoe ze zich daartegen kunnen verdedigen.
Kwaadwillenden stappen steeds meer weg van malware in een poging om detectie te omzeilen: CrowdStrike-bedreigingsgegevens tonen aan dat malware-vrije activiteit goed was voor 71% van alle detecties tussen juli 2021 en juni 2022. Deze verschuiving houdt gedeeltelijk verband met het feit dat aanvallers steeds vaker misbruik maken van geldige referenties om toegang te krijgen en persistentie te behouden (dwz langdurige toegang tot systemen tot stand te brengen ondanks verstoringen zoals herstarts of gewijzigde inloggegevens) in IT-omgevingen. Er is echter nog een andere factor: de snelheid waarmee nieuwe kwetsbaarheden worden onthuld en de snelheid waarmee kwaadwillenden exploits kunnen operationaliseren.
Het aantal zero-days en nieuw onthulde kwetsbaarheden blijft jaar na jaar stijgen. Uit CrowdStrike-dreigingsgegevens blijkt dat er in 20,000 meer dan 2021 nieuwe kwetsbaarheden zijn gemeld - meer dan enig vorig jaar - en begin juni 10,000 waren dat er meer dan 2022. Dit is een duidelijke indicatie dat deze trend niet afremt.
Een nadere blik op de tactieken, technieken en procedures (TTP's) die tijdens indringers worden gebruikt, onthult gemeenschappelijke patronen in de activiteit van tegenstanders. Wanneer een kwetsbaarheid met succes wordt misbruikt, wordt dit routinematig gevolgd door de inzet van webshells (dwz kwaadaardige scripts die kwaadwillenden in staat stellen webservers te compromitteren en aanvullende aanvallen uit te voeren).
Wat kunnen technologiebedrijven doen om inbreuken te stoppen?
De technologie-industrie wordt uitgedaagd om een โโsterke verdediging te behouden tegen een constant evoluerend bedreigingslandschap. De aanvallers van tegenwoordig veranderen hun TTP's om subtieler te zijn, detectie te omzeilen en meer schade aan te richten. Het is aan verdedigers om de workloads, identiteiten en gegevens te beschermen waar hun bedrijf op vertrouwt.
Er is geen pasklaar model voor hoe cybercriminelen hun aanvallen uitvoeren, en er is ook geen wondermiddel voor technologiebedrijven om zich tegen elke inbraak te verdedigen. Een nadere blik op de inbraakactiviteit onthult echter kritieke aandachtsgebieden voor IT- en beveiligingsteams. Hieronder staan โโde belangrijkste aanbevelingen:
- Ga terug naar de basis: Het is van het grootste belang dat technologiebedrijven de basisprincipes van beveiligingshygiรซne op orde hebben. Dit omvat het implementeren van een sterk patchbeheerprogramma en het zorgen voor robuust gebruikersaccountbeheer en privileged access management om de effecten van gecompromitteerde inloggegevens te beperken.
- Controleer routinematig externe toegangsservices: Kwaadwillenden maken gebruik van reeds bestaande tools voor externe toegang die tot hun beschikking staan โโof proberen legitieme software voor externe toegang te installeren in de hoop dat deze geautomatiseerde detecties omzeilt. Regelmatige audits moeten controleren of de tool is geautoriseerd en of de activiteit binnen een verwacht tijdsbestek valt, zoals binnen kantooruren. Verbindingen gemaakt van hetzelfde gebruikersaccount met meerdere hosts in een kort tijdsbestek kunnen een teken zijn dat een tegenstander inloggegevens heeft gecompromitteerd.
- Proactief jagen op bedreigingen: Als een tegenstander eenmaal de verdediging van een technologiebedrijf heeft doorbroken, kan het moeilijk zijn om hem te detecteren omdat hij stilletjes gegevens verzamelt, gevoelige informatie zoekt of inloggegevens steelt. Dit is waar de jacht op bedreigingen om de hoek komt kijken. Door proactief op zoek te gaan naar tegenstanders in hun omgeving, kunnen technologiebedrijven aanvallen eerder detecteren en hun beveiligingspositie versterken.
- Geef prioriteit aan identiteitsbescherming: Kwaadwillenden richten zich steeds vaker op inloggegevens om technologiebedrijven te doorbreken. Elke gebruiker, of dit nu een werknemer, een externe leverancier of een klant is, kan onbewust worden gecompromitteerd en een aanvalspad voor kwaadwillenden bieden. Technologiebedrijven moeten elke identiteit authenticeren en elk verzoek autoriseren om cyberaanvallen, zoals een supply chain-aanval, ransomware-aanval of datalek, te voorkomen.
- Vergeet bedreigingspreventie niet: Voor technologiebedrijven kunnen tools voor het voorkomen van bedreigingen cyberdreigingen blokkeren voordat ze een omgeving binnendringen of voordat ze schade aanrichten. Detectie en preventie gaan hand in hand. Om cyberdreigingen te voorkomen, moeten ze in realtime worden gedetecteerd. Hoe groter de IT-omgeving, hoe groter de behoefte aan tools die kunnen helpen bij het detecteren en voorkomen van bedreigingen.
De evolutie van cybercriminaliteit en activiteiten van nationale staten vertoont geen tekenen van vertraging. Technologiebedrijven moeten hun verdediging versterken en de technieken van een tegenstander begrijpen om hun workloads, identiteiten en gegevens te beschermen en hun organisaties draaiende te houden.
