Bedrijven worstelen al jaren met dezelfde security issues

Voor het rapport onderzocht Cobalt de gegevens uit 1.602 pentesten in 2020 en interviewde zij 601 bedrijven uit Europa, Azië, Noord- en Zuid Amerika. Bedrijven kunnen nog altijd niet adequaat reageren als er sprake is van cyberdreiging. Hoewel veel bedrijven zich goed beschermen, is adequaat reageren bij 93% een probleem. Voor bedrijven is het ook niet makkelijk, omdat nieuw cybertalent moeilijk te vinden is.

Een ander risico is het gebrek aan samenwerking tussen de teams. Veel security- en developmentteams stemmen risico's niet met elkaar af of werken (7 op de 10 bedrijven) helemaal niet met elkaar samen. Volgens Cobalt is hier veel ruimte voor verbetering. Vooral handmatige processen moeten verbeteren (>50%). Verder kampen teams met een gebrek aan kennis (>50%), is er een tekort aan AppSec tools-integraties (40%), zijn de securityteams te klein waardoor ze moeilijk bijblijven (>38%) en komen KPI's vaak niet met elkaar overeen (>20%). De meest voorkomende risico's ontstaan door verkeerde configuraties van de serverbeveiliging (28%) en problemen met cross-site scripting (15,5%).

De resultaten van het onderzoek van Cobalt zijn niet nieuw, zo staat in het rapport. "Er is duidelijk sprake van een trend. Onze klanten worstelen al vier jaar op een rij met dezelfde kwetsbaarheden. Ondanks het feit dat de industrie hier al mee bekend is, blijkt dat de teams er toch moeite mee hebben om de problemen op te lossen en te voorkomen." Zo doet een vierde van de bedrijven er nu meer dan 60 dagen over om lage (met weinig impact) - tot middelgrote veiligheidsrisico's te adresseren. En dat brengt volgens 67% van de ondervraagden een serieus risico met zich mee als ze hier niets aan veranderen. 

Belangrijk thema

Toch blijkt dat het voor veel bedrijven wel een belangrijk thema is om hun security op orde te krijgen. Zo geeft 78% van de bedrijven hoge prioriteit aan het voldoen van pentesten. Maar in de praktijk blijkt dat de pentesten op slechts 63% van het bedrijf worden toegepast. Dit komt met name doordat pentesten duur zijn en het budget te beperkt is om interne pentesten op het hele bedrijf toe te passen. Voor veel bedrijven (86%) is het lastig om de juiste mensen te vinden die de testen kunnen uitvoeren en ook zijn pentesten niet binnen een paar dagen georganiseerd.

De overdracht van de resultaten vinden veel van de respondenten omslachtig en komt ook niet ten goede aan het verbeteren van de workflow. Zo worden de resultaten van de pentesten bij 39% van de bedrijven handmatig naar de trackingssoftware gepusht. En bij een derde van de bedrijven worden de resultaten via een PDF met elkaar gedeeld.   

Adviezen

Volgens Cobalt zouden de pentesten sneller en makkelijker kunnen en moeten ze financieel aantrekkelijker worden. Ook is het van belang dat de resultaten niet genegeerd of uitgesteld worden zodat voorkomen wordt dat lage en medium risico's escaleren. Volgens de respondenten zou het helpen als de resultaten van een pentest niet via een PDF, maar real-time worden gedeeld. Ook zou er software moeten komen die automatisch informatie en statusupdates deelt van de dashboards van beide teams. 

Sommige industrieën hebben meer last van securityrisico's dan anderen, aldus Cobalt. Volgens de FBI waren het met name de bedrijven in de gezondheidszorg en e-learning die slachtoffer werden van cyberattacks. Ziekenhuizen en vaccinproducenten werden voornamelijk slachtoffer van phishing campagnes. Bij de e-learning bedrijven nam het aantal cyberaanvallen in 2020 met 30% toe. De vraag voor hun digitale oplossing sloeg tijdens de pandemie de pan uit en daardoor lag de focus niet bij security met alle consequenties dien.