Identiteitsdiefstal is een groeiende bedreiging in het huidige digitale landschap. Cybercriminelen zien in dat het stelen van inloggegevens effectiever, goedkoper en sneller is dan proberen om in te loggen door technische controles te breken.
Zodra aanvallers de inloggegevens van één werknemer hebben bemachtigd, gaan ze verder: ze stelen nog meer inloggegevens, escaleren bevoegdheden, compromitteren servers en endpoints en downloaden gevoelige data. Aanvallers hebben aan slechts één gestolen identiteit genoeg om een ransomware-incident of datalek te veroorzaken.
Voor het buitmaken van organisatiegegevens richten aanvallers zich tot werknemers met veel bevoegdheden. Het opsporen van deze aanvallen is nog steeds erg moeilijk. Daarom zijn de meeste organisaties zich (nog) niet bewust van dit risico. Beveiligingsteams moeten nadenken over tools die ondersteuning bieden bij het zoeken naar verdachte gebruikers en laterale bewegingen in omgevingen voordat de schade te groot is.
E-mail blijft zwakte
Cybercriminelen begrijpen dat medewerkers toegang hebben tot de meest kritieke gegevens van een organisatie. En het is relatief makkelijk om die medewerkers te misleiden tot een actie die de veiligheid van een organisatie in gevaar brengt. De meeste aanvallen beginnen namelijk met een normaal ogende e-mail.
Een aanval via de mail, ook bekend als phishing-aanval, domineert al jaren het bedreigingslandschap. Uit onderzoek blijkt dat 90 procent van alle phishing-aanvallen op Nederlandse organisaties in het afgelopen jaar succesvol was. En hiervan resulteerde 38 procent in diefstal van inloggegevens en/of het compromitteren van accounts. Werknemers gaven hun inloggegevens prijs, waardoor de criminelen toegang kregen tot gevoelige informatie en bedrijfsaccounts.
Veel van de huidige aanvallen komen voort uit gecompromitteerde identiteiten, waaronder ransomware. Uit hetzelfde onderzoek blijkt dat 94 procent van de Nederlandse organisaties in het afgelopen jaar te maken kreeg met een ransomware-aanval via e-mail, waarvan 76 procent succesvol was. Daarnaast meldde 86 procent van de organisaties dat zij in 2022 te maken hadden met gegevensverlies door toedoen van een insider.
Het is duidelijk dat e-mailbeveiliging van cruciaal belang is. Organisaties kunnen het merendeel van de gerichte aanvallen blokkeren voordat zij de medewerkers bereiken. Dit kan door een technische combinatie van regels voor e-mail gateways, geavanceerde dreigingsanalyse, e-mailverificatie en inzicht in cloudapplicaties.
We moeten voor een effectieve strategie echter rekening houden met de hele aanvalsketen en de bedreigingen waarmee mensen en hun identiteit voortdurend worden geconfronteerd.
Aanvalsketen doorbreken
Om voet aan de grond te krijgen binnen een organisatie en zo veel mogelijk schade aan te richten, vertrouwen cybercriminelen op dezelfde methode: medewerkers benaderen met een phishing-mail. Het is eenvoudig en werkt in de meeste gevallen. Mits organisaties niet nagaan hoe zij deze aanvalsketen kunnen doorbreken.
Om de keten te doorbreken, moet een aanval al in de eerste fase worden tegengehouden. Een robuuste strategie voor e-mailbeveiliging is hierbij van cruciaal belang. Eén e-mail kan al leiden tot business e-mail compromise (bec), overname van cloudaccounts of cybercriminelen die organisaties via hun leverancier aanvallen. Cybercriminelen hebben direct na het slagen van een aanval al toegang tot het bedrijfsdomein, wat weer zorgt voor toegang tot e-mailaccounts en de mogelijkheid om fraude te plegen.
Het is zorgwekkend dat verdachte accounts vaak onopgemerkt blijven en geen enkel bewijs van malware achterlaten. En, ondanks de invoering van privileged account management (pam) en multifactorauthenticatie (mfa), nemen deze aanvallen nog steeds toe. Organisaties staan tegenover een nog groter probleem wanneer deze aanvallen onontdekt blijven, namelijk dat van privileged escalation en laterale bewegingen binnen de bedrijfsnetwerken.
Om dit tegen te gaan, moeten organisaties technologie implementeren om verdachte gebruikers te identificeren, erop te reageren en te verwijderen wat aanvallers nodig hebben om te slagen: toegang tot accounts met extra bevoegdheden. Een unieke aanpak van identity threat detection and response (itdr) biedt organisaties meer inzicht in de risico’s van accounts met extra bevoegdheden. Daarnaast begrijpen ze hierdoor beter wat de mogelijke gevolgen zijn, zoals toegang tot gevoelige informatie en intellectueel eigendom.
Identiteitsdiefstal voorkomen
De implementatie van dergelijke robuuste technische controles stelt organisaties in staat om identiteitsdiefstal te voorkomen. Maar, zoals bij alle bedreigingen is een combinatie van mensen, processen en technologie cruciaal.
Beveiliging is een gedeelde verantwoordelijkheid. Het is noodzakelijk dat medewerkers, op alle niveaus binnen een organisatie, inzicht krijgen in beveiliging en het risicovolle gedrag dat tot inbreuken kan leiden. Recent onderzoek laat zien dat slechts 52 procent van de Nederlandse organisaties het gehele personeelsbestand traint op dit onderwerp. Hier valt dus nog veel winst te halen.
Hetzelfde onderzoek toont aan dat 60 procent van de Nederlandse organisaties haar medewerkers traint op beveiligingsonderwerpen die zich expliciet richten op de organisatie. Opleidings- en bewustmakingsprogramma’s zijn cruciaal, maar niet voor iedereen geschikt. Bekijk het vanuit het perspectief van de gebruiker: zorg dat het programma zowel voor werk als privé interessant is.
Ook blijkt dat 99 procent van de cyberdreigingen menselijke interactie nodig heeft om succesvol te zijn. Wanneer medewerkers zo’n belangrijke factor zijn voor een succesvolle aanval, moeten zij onderdeel zijn van de verdedigingsstrategie. Cybercriminelen proberen dag en nacht netwerken, systemen en gegevens binnen te dringen. Het minste wat we kunnen doen is hen hier harder voor laten werken.