Over web-applicaties en staatshackers

Raymond Pompon

30 september 2021

Wat hebben web-applicaties en staatshackers met elkaar gemeen? Op het eerste gezicht wellicht niet zo veel, maar uit onderzoek komt naar voren dat web-applicaties het grootste risico vormen voor bedrijven doordat ze volop worden misbruikt bij aanvallen. En wie zitten er achter die aanvallen? Precies, voornamelijk hackers aangestuurd door natiestaten.

De afgelopen vijf jaar was 56 procent van de grootste cyberincidenten direct gerelateerd aan een applicatie. Van deze incidenten kon 57 procent in verband worden gebracht met staatshackers. Dat blijkt uit een grootschalig onderzoek door het Cyentia Institute, waarbij voor het eerst meerdere databronnen zijn gecombineerd. De resultaten zijn samengevat in een door F5 Labs gesponsord rapport getiteld The State of the State of Application Exploits in Security Incidents.

De dubbele term in de titel is bewust; het is voor het eerst dat er zo’n uitgebreide analyse is uitgevoerd op basis van de Cyentia Research Library en verschillende, aanvullende databronnen. Er is gekeken naar zowel de frequentie van het applicatiemisbruik, als de rol ervan in alle cyberincidenten. Het doel is om een completer beeld te realiseren in de industrie die over het algemeen losstaande onderzoeken gebruikt.

Grote schadeposten

In dit nieuwe rapport komt dus naar voren dat meer dan de helft van de grootste incidenten in de afgelopen vijf jaar is voortgekomen uit een web-applicatie issue. De maatregelen die moesten worden genomen waren goed voor een waarde van 7,6 miljard dollar. Dit is goed voor 43 procent van alle financiële verliezen die geregistreerd staan als ‘extreme cybergerelateerde verliezen’. Gedurende zes van de afgelopen acht jaar stonden web-applicatie aanvallen ook bovenaan de lijst met aanleidingen tot data-inbraken.

Naast de oorzaken hebben de onderzoekers gekeken naar de daders. Een opvallende 57 procent van de grootste web-applicatie incidenten was terug te voeren op staatsgerelateerde hackers. Deze aanvallen vertegenwoordigen een waarde, of schadepost, van 4,3 miljard dollar.

De rapporten die door het Cyentia Insitute zijn onderzocht, bekijken hun onderwerp vanuit verschillende aannames. Sommige zijn gericht op de intentie van aanvallers, of tactieken, technieken en procedures. Andere kijken meer naar kwetsbaarheden. De onderzoekers ontdekten een soort ‘Toren van Babel’-effect, waardoor ze geen duidelijker conclusies konden trekken dan dat SQL-injecties en cross-site scripting inderdaad voorkomt. Al deze methoden wezen echter wel dezelfde kant op: aanvallen op web-applicaties, meer specifiek authenticatie-aanvallen en de inzet van web exploits, vormen de grootste risicobron.

Een andere opvallende vondst was de ‘time-to-discovery’, ofwel de periode tussen aanval en het moment dat het ontdekt wordt. Bij web-applicatie aanvallen was deze gemiddeld 254 dagen, veel hoger dan het gemiddelde van 71 dagen bij andere incidenten die onder de noemen ‘extreem verlies’ vallen.

Theorie in praktijk

De data en rapporten die werden geanalyseerd leiden tot een kort advies van het Cyentia Institute om de schade van aanvallen te beperken: Fix je code, patch je systemen, versterk je credentials en let op de achterdeur.

Je zou kunnen verwachten dat de conclusie van deze ‘the State of the State of’, ofwel SoSo, is dat alles uiteenloopt, maar er is juist overeenstemming over de aanpak, en over hoe moeilijk dat is. De meeste security-teams weten wat ze moeten doen, maar de theorie in praktijk brengen blijkt het grootste probleem.

Gerelateerde artikelen

Bijna alle organisaties misconfigureren cloudomgeving

Bijna alle organisaties misconfigureren cloudomgeving

Ruim 98 procent van de organisaties heeft misconfiguraties in de beveiliging van hun cloudomgeving. En bijna zeven op de tien organisaties maken gebruik van externe gebruikers die admin-rechten hebben voor de cloudomgeving, wat kan leiden tot problemen rond data governance en een hoger risico op data-exfiltratie en -exploitatie.

IT-analytics: de lijm die Operations en Security bindt

IT-analytics: de lijm die Operations en Security bindt

Ooit waren IT-operations en beveiliging twee gescheiden werelden. Gedreven door de behoefte aan robuuste cyberhygiëne en zichtbaarheid zien we beide disciplines echter steeds meer integreren. De juiste analytics krijgen over je IT-omgeving helpt bijvoorbeeld om security en IT-operaties meer met elkaar te laten communiceren.

Cybercrime aanmerkelijk minder gegroeid in 2022

Cybercrime aanmerkelijk minder gegroeid in 2022

De explosieve groei van cybercriminaliteit in 2020 en het eerste deel van 2021 is flink afgenomen. Van oktober 2021 tot en met september 2022 waren er weliswaar méér cybercriminele pogingen (99.506 versus 94.806), maar de toename was met vijf procentpunten opvallend zwakker dan een jaar eerder.

Vertrouwen is geen optie meer

Vertrouwen is geen optie meer

Cyberaanvallen worden steeds geraffineerder. Cybercriminelen zijn beter georganiseerd dan ooit tevoren. Voor organisaties is het de hoogste tijd om in te zien dat het opzeggen van alle vertrouwen de best mogelijke beveiliging is. Anders gezegd: zero trust security is eigenlijk de enige manier waarop we ons kunnen verdedigen tegen cybercriminelen.