Proofpoint heeft onlangs zijn vijfde jaarlijkse State of the Phish Report gepubliceerd. Dit rapport biedt inzicht in drie belangrijke componenten van bedreigingen door phishing. In de eerste plaats het begrip van eindgebruikers voor fundamentele cybersecurity-concepten. Daarnaast een blik vanuit informatieveiligheidsoogpunt op social engineering-aanvallen en de gevolgen daarvan. En tenslotte hoe met behulp van bewustwordingstrainingen de risico’s voor en door eindgebruikers beter kunnen worden beperkt.
Laat ik het vooropstellen: ook uit dit rapport blijkt weer dat technische maatregelen al lang niet meer voldoende zijn om een organisatie te beschermen tegen cyberboeven. Een beveiligingsstrategie die de mens centraal stelt is van cruciaal belang.
Hieronder bespreek ik de drie belangrijkste resultaten uit het rapport.
Resultaat #1: social engineering-aanvallen in alle vormen en smaken nemen toe
Voor dit onderzoek spraken we duizenden security-specialisten van over de hele wereld. 83% van de respondenten kreeg in 2018 te maken met phishing-aanvallen, een duidelijke stijging ten opzichte van 76% in 2017. Maar niet alleen deze aanvalsmethode werd in 2018 vaker toegepast. Onze respondenten meldden een hogere frequentie van alle soorten social engineering-aanvallen in vergelijking met een jaar eerder:
Voordat je USB nu afschrijft als aanvalsmethode, is het de moeite waard om een blik te werpen op recent onderzoek naar 29 verschillende manieren waarop USB-apparaten kunnen worden gebruikt om toestellen binnen een organisatie te compromitteren. Het is belangrijk om er rekening mee te houden dat eindgebruikers waarschijnlijk vertrouwen hebben in gevonden apparaten (vooral als je hen niet over het tegendeel hebt verteld). De (ook al gematigde) toename van organisaties die met deze aanvallen te maken hebben gehad, toont aan dat cybercriminelen vasthoudend zijn en alle mogelijke kanalen willen gebruiken om munt te slaan uit het gedrag van eindgebruikers.
Resultaat #2: diefstal van toegangsgegevens heeft een vlucht genomen sinds 2016
Elk jaar vragen we security-professionals naar de gevolgen van phishing-aanvallen. Dit jaar zagen we een interessante trend: in plaats van malware-infecties zijn het nu gehackte accounts die het vaakst worden geïdentificeerd als gevolg van succesvolle phishing-aanvallen. In 2018 zijn de meldingen van gehackte accounts met 70% gestegen ten opzichte van 2017 en met maar liefst 280% ten opzichte van 2016. Deze feiten bevestigen dat er een groei gaande is van phishing-aanvallen die gebruikmaken van gestolen toegangsgegevens, een trend die Proofpoint-onderzoekers medio 2018 al in hun rapport Protecting People signaleerden.
Verrassend genoeg zagen we weinig organisatie gebruikmaken van gesimuleerde phishing-aanvallen die gebruikers vragen om gegevens in te voeren zoals login-namen, wachtwoorden of andere gevoelige gegevens. Ons advies aan security-teams is dit soort phishing-tests te gebruiken om zich beter te beschermen tegen aanvallen met gestolen toegangsgegevens. Deze tests zijn zeker geen zonde van je tijd. Want één enkele set gegevens biedt vaak toegang tot meerdere bronnen van gevoelige informatie binnen een organisatie.
Resultaat #3: baby boomers zijn de beste als het erom gaat phishing- en ransomware-terminologie te herkennen
Het is van cruciaal belang voor security-teams om te beseffen dat, op een fundamenteel niveau, veel werkende volwassenen nog steeds niet bekend zijn met termen als phishing en ransomware. Uitgaan van het tegendeel kan een negatieve invloed hebben op bewustwordingstrainingen.
Er bestaan ook significante verschillen tussen de generaties, met name bij millennials, die zo’n belangrijke rol spelen in de huidige beroepsbevolking. Vaak is de perceptie dat deze ‘digital natives’ zo bekend zijn met alles wat digitaal is dat zij zich meer bewust zijn van de risico’s en daarom hoogstwaarschijnlijk ook beter begrijpen wat goede cyberbeveiliging inhoudt.
Helaas betekent ‘je thuis voelen in de digitale wereld’ niet per se dat je de fundamentele eisen van cyberbeveiliging ook begrijpt. In feite deden millennials het bij alle vragen die wij stelden aanzienlijk slechter dan tenminste één andere leeftijdsgroep. Baby boomers daarentegen — waarvan we verwachtten dat ze van alle leeftijdsgroepen in ons onderzoek zich het minst op hun gemak voelen in de digitale wereld — lieten een veel beter fundamenteel begrip van phishing en ransomware zien dan elke andere generatie.
E-mail is het belangrijkste aanvalskanaal voor cybercriminelen. En de cybercriminelen van vandaag de dag richten zich consequent op waardevolle personen die heel uitgebreide toegangsrechten of toegang tot gevoelige gegevens binnen een organisatie hebben. Deze bedreigingen komen steeds vaker voor en worden steeds slimmer. Daarom is het van cruciaal belang dat organisaties bewustwordingstrainingen hoog in het vaandel hebben staan. Zij moeten medewerkers informeren over de beste cybersecurity-praktijken en een beveiligingsstrategie handhaven die de mens centraal stelt. Dit is essentieel om de organisatie te verdedigen tegen de niet aflatende aandacht van cyberboeven voor eindgebruikers.
Je kunt het 2019 State of the Phish Report hier downloaden. Het rapport laat onder meer zien hoe eindgebruikers in zestien branches reageren op gesimuleerde phishing-aanvallen. En hoe organisaties informatie over bedreigingen en data uit hun bewustwordingstrainingen kunnen gebruiken. Het is mogelijk daarmee zwakke plekken in de houding van mensen ten opzichte van veiligheidskwesties op te sporen en de gebruikers en afdelingen aan te spreken die gevaar opleveren.
Jim Cox, Area Vice President Benelux Proofpoint
