Microsoft heeft haar nieuwe “Digital Defense Report” gepubliceerd. Het wordt beschreven als “een nieuwe voorstelling” van Microsoft’s “Security Intelligence Report” (SIR).
Het “Digital Defense Report” is een jaarlijkse publicatie waarin statistieken van een aantal beveiligingsteams van Microsoft worden gecombineerd. Het rapport laat cyber-criminele trends van het afgelopen jaar zien. “Het doel van dit rapport is om organisaties te helpen begrijpen hoe cybercriminelen hun aanvalswijzen en de beste manieren om die aanvallen te bestrijden veranderen”, aldus het rapport.
Over het algemeen lijkt het rapport zowel gericht te zijn op het niveau van de Chief Information Security Officer als op algemene lezers.
Opvallend is dat het rapport ook een sectie over actoren van de natiestaten bevat, waarbij Rusland, Iran, China en Noord-Korea worden genoemd.
Microsoft verzamelt meer dan “8 biljoen beveiligingssignalen per dag” van apparaten, firewalls en de cloud:
- 470 miljard e-mails gescand
- 600 miljard documenten gescand
- 18 miljoen URL’s gescand
- 4,1 miljard vergaderminuten opgeleverd
- 630 miljard authenticatiegebeurtenissen
- 5 miljard geblokkeerde bedreigingen
Phishing
Pogingen tot phishing om inloggegevens te stelen zijn een belangrijk thema van het rapport. Microsoft beweert dat haar oplossingen meer dan “13 miljard kwaadaardige en verdachte mails” heeft geblokkeerd. Ze bevatten doorgaans URL’s die zijn ingesteld om phishing aanvallen mogelijk te maken.
Het blijkt dat aanvallers geïnteresseerd zijn in het binnen dringen van zakelijke e-mail accounts en het vervalsen van de identiteit van managers in e-mails om werknemers te misleiden om geld over te maken. Ze zijn gericht op e-mailaccounts van leidinggevenden, boekhoudkundige en salarisadministraties. Het blijkt winstgevend daarom een interessante activiteit voor criminele organisaties.
Het binnendringen van zakelijke e-mail accounts wordt ook wel ‘Business E-mail compromise’ (BEC) genoemd. Deze aanvallen waren goed voor verliezen van meer dan $ 1,7 miljard – wat neerkomt op bijna de helft van alle financiële verliezen als gevolg van cybercriminaliteit.
De top 10 van sectoren waarop BEC-aanvallen het meest gericht zijn, boekhouding en advies, groothandelsdistributie, IT-diensten, onroerend goed, onderwijs, gezondheidszorg, chemicaliën, hightech en elektronica, juridische diensten en uitbestede diensten zijn.
Cybercriminelen sturen meestal vervalste e-mails alsof ze afkomstig zijn van officiële bronnen om gebruikers te verleiden om op kwaadaardige links te klikken. Het rapport meldt dat de top vijf van vervalste merken Microsoft, UPS, Amazon, Apple en Zoom zijn.
Ransomware
Volgens het rapport is ransomware een onverminderd hoog risico. Het rapport meldt dat het wellicht een economisch goede beslissing is om het gevraagde losgeld te betalen. Echter wordt het dan nog resterende risico niet onder ogen gezien. Als de criminelen informatie weten de ontfutselen en dat ontsluiten of verkopen. De criminelen laten dan vaak achterdeurtjes in het netwerk voor toekomstige criminele activiteiten – en deze risico’s blijven bestaan, ongeacht of het losgeld wordt betaald.
Om voet aan de grond te krijgen om ransomware te installeren, willen criminelen toegang krijgen tot geprivilegieerde accounts, zoals degene die worden gebruikt door IT-professionals:
Patch je VPN’s
Doordat er meer en meer wordt thuisgewerkt zijn virtual private networks (VPN’s) een gevoeliger gebied geworden, zowel wat betreft een aanvalsroute als wat betreft problemen met de netwerkbandbreedte. VPN’s kunnen bijvoorbeeld worden blootgesteld aan DDoS-aanvallen. In het rapport raadt Microsoft split-tunneling aan om de bandbreedteproblemen op te lossen. Daarbij wordt het verkeer van Microsoft een vertrouwde bron wordt die niet via de VPN wordt geleid.
Het rapport meldt dat het up-to-date houden van de VPN als problematisch wordt gezien.
Aanbevelingen
Het rapport bevat aan het einde een sectie “Bruikbare lessen”. Microsoft raadt organisaties aan om multifactor-authenticatie (MFA) in te schakelen, e-mailsystemen te gebruiken die controleren op kwaadaardige links, patches voor alle systemen te installeren (inclusief VPN’s), back-ups te maken, gebruikers te voorzien van accounts die uitsluitend rechten hebben om de werkzaamheden te kunnen uitvoeren.