93% bedrijven makkelijk aan te vallen

Dat blijkt uit onderzoek van de Amerikaanse beveiliger Positive Technologies. Het onderzoek is gebaseerd op 45 projecten van het pentestteam van het bedrijf bij klanten, tussen juli 2020 en juni 2021. Bij 93% van de bedrijven die de pentesters hebben aangevallen, kregen zij toegang tot het netwerk en lokale apparatuur. Bij ruim 70% konden de zakelijke processen geraakt worden. Elke bank die door het team van Positive Technologies was getest, kon bijvoorbeeld zodanig geraakt worden dat met een aanval de zakelijke processen verstoord werden.

Voor een geslaagde aanval was het niet eens nodig geavanceerde aanvalstechnieken te gebruiken. Bij 71% van de geslaagde aanvallen maakten de onderzoekers gebruik van inloggegevens van gebruikers omdat uiterst simpele wachtwoorden eenvoudig waren te achterhalen. 60% van de aanvallen slaagde dankzij het gebruik van bekende softwarelekken, die de aanvallers makkelijk toegang gaven tot het netwerk. In 54% van de gevallen konden de aanvallers gebruik maken van slechte configuraties van apparatuur en software.

Slordig

De kwetsbaarheid voor aanvallers wijten de onderzoekers voor een deel aan slordig gedrag op het gebied van IT-beveiliging, ook aan de kant van IT’ers. Zo had 90% van de technici plaintext-documenten waarop delen van het netwerk werden beschreven en inloggegevens die niet versleuteld waren.

De adviezen die de beveiliger geeft, zijn net als de gebruikte aanvalstechnieken niet erg geavanceerd, maar blijkbaar nog hoognodig. Zo wordt geadviseerd eerst een lijst te maken van de kritieke assets, zakelijke processen te segmenteren zodat aanvallers niet gelijk overal toegang toe hebben als ze ergens binnen zijn. Ook raadt de IT-beveiliger aan potentiële aanvalsdoelen te monitoren en processen aan te passen met bijvoorbeeld multifactor-authenticatie.