Identiteitsdiefstal is een groeiende dreiging binnen het huidige digitale landschap. Uit gegevens van Proofpoint blijkt dat in Nederland, van de organisaties die in 2022 slachtoffer waren van een succesvolle phishing-aanval, 38% leidde tot diefstal van referenties en/of account compromittering. Hierbij werden de referenties van werknemers omgekeerd blootgegeven, waardoor dreigingsactoren toegang kregen tot bedrijfsnetwerken.
We gebruiken de term ‘mensgericht’ om het moderne dreigingslandschap en de verdedigingsstijl, die nodig is om ons ertegen te beschermen, aan te duiden. Cybercriminelen gebruiken identiteiten om hun criminele winsten te vergroten. Dit doen ze vrij letterlijk: volgens een patroon, of een ‘aanvalsketen’.
De manier waarop we omgaan met bedrijfsnetwerken is voorgoed veranderd en traditionele perimeterbeveiliging is niet langer geschikt voor het beoogde doel. Werken zonder vaste locatie (‘Working from anywhere’) groeit met de dag, waardoor de afhankelijkheid van cloud-technologie toeneemt. En de meeste organisaties verdedigen een ongelijk aanvalsoppervlak op verschillende locaties, accounts en apparaten.
Dreigingsactoren beseffen dat het nu effectiever, sneller en goedkoper is om referenties te stelen en in te loggen, dan het proberen te hacken van technische controles. Als ze eenmaal de logingegevens van slechts één account hebben ontfutseld en er misbruik is gemaakt van een kwetsbaarheid in de identiteit, kunnen de dreigingsactoren lateraal door systemen en netwerken bewegen, informatie verzamelen, schadelijke payloads verspreiden en kritieke bedrijfsgegevens exfiltreren.
Het is nu veel te makkelijk voor een aanvaller om één gecompromitteerde identiteit om te zetten in een organisatiebreed ransomware-incident of datalek. En hoe langer een kwaadwillende actor onopgemerkt blijft, hoe groter de kans is op identiteitdoorkruizingen – van privilege-escalatie tot misbruik van Active Directory en cloudomgevingen. Met desastreuze gevolgen van dien. De vraag is dus: hoe kunnen organisaties het groeiende probleem van identiteitsdiefstal bestrijden?
Stap één is het stoppen van de eerste compromittering. Voorkom dat aanvallers de organisatie binnendringen via phishing, social engineering, bedrog, Business Email Compromise (BEC) en ransomware. Het implementeren van een robuuste e-mailsecuritystrategie, ondersteund door AI/ML, rust beveiligingsteams uit met meer zichtbaarheid en flexibiliteit. Ook stelt het hen in staat om de geavanceerde aanvallen van vandaag de dag, zoals zoals e-mailfraude (BEC), ransomware, schadelijke URL’s, omzeiling van multi-factor authenticatie (MFA) voor credential phishing en meer, onschadelijk te maken. En dat alles voordat de criminelen de inbox van medewerkers bereiken.
Een ander cruciaal element is het vergroten van het bewustzijn van het personeel op het gebied van cybersecurity, om te voorkomen dat zij slachtoffer worden van aanvallen die zich op hen richten. Dit ondersteunt ook bij het verkleinen van de kans dat werknemers fouten maken. Dit is vooral het geval in Nederland: 86% van de CISO’s geeft toe dat ze het afgelopen jaar slachtoffer waren van dreigingen van binnenuit (vergeleken met een wereldwijd gemiddelde van 66%).
Daarnaast is het noodzakelijk om oplossingen tegen laterale bewegingen te hebben. Het is een klein probleem wanneer een aanvaller binnenkomt. De aanvaller maakt er een groter probleem van door lateraal te bewegen en identiteiten te zoeken die privilege-escalatie mogelijk maken.
Het gebruik van Identity Threat Detection and Response (ITDR)-oplossingen is cruciaal voor het doorbreken van de aanvalsketen. ITDR-oplossingen ontpoppen zich als kritieke controlemechanismen die in staat zijn aanvallen te dwarsbomen voordat ze zich volledig materialiseren in desastreuze incidenten, zoals ransomware of gegevensdiefstal.
ITDR-oplossingen bieden de noodzakelijke proactieve securitymaatregelen om dreigingen in hun vroegste stadium te dwarsbomen. Dit doen ze door het actief bewaken en analyseren van identiteitsgerelateerde activiteiten. Hierdoor is het voor organisaties mogelijk om effectief het risico op aanzienlijke securityschendingen te beperken, kritieke gegevens te beschermen en de operationele continuïteit te behouden.