Rapport: Onervaren hackers kunnen bij ongeveer 3 van de 4 bedrijven het netwerk binnendringen - ProteQtor IT Security B.V.

Rapport: Onervaren hackers kunnen bij ongeveer 3 van de 4 bedrijven het netwerk binnendringen

Wij vinden dat Nederlandse en Belgische organisaties uit met name het MKB vaak niet weerbaar genoeg zijn tegen de steeds maar slimmer en agressiever opererende cybercriminelen. Veelal zijn deze organisaties niet goed bewust van de risico's van deze cybergevaren en kunnen niet goed inschatten wat deze risico's betekenen voor hun bedrijfscontinuïteit.

Cybersecurity organisaties zoals leveranciers, service providers en (inter)nationale cybersecurity centers brengen regelmatig rapporten uit over cybersecurity. Deze rapporten bevatten veel interessante informatie en aanbevelingen die zeker ook voor MKB-, kleiner (semi-)overheden en non-profit organisaties interessant zijn. Daarom zullen we regelmatig deze rapporten bespreken in begrijpelijke taal voor niet-cybersecurity-geschoolde lezers.

Dit keer bespreken we het rapport Penetration testing of corporate information systems van Securitybedrijf Positive Technologies. Hun schokkende conclusie: criminelen met weinig hacking skills kunnen binnen 30 minuten een bedrijf hacken.

More...

Positive Technologies voert pentesten uit om daarmee kwetsbaarheden in de beveiliging van een bedrijf te zoeken en te vinden. Pentesters zijn ethische hackers die op verzoek van een bedrijf hun netwerkbeveiliging testen door te werken zoals criminele hackers werken. In dit rapport worden de resultaten van 28 projecten beschreven.

93% van de geteste bedrijven konden gehackt worden

Ondanks dat steeds meer organisaties bewust worden van de noodzaak om hun organisaties beter digitaal te beveiligen, blijven cybercriminelen nog steeds succesvol in hun hackpogingen. Daarom blijft het van groot belang om deze destructieve hacks te voorkomen.

Het pentestonderzoek van Positive Technologies laat zien dat er nog een lange weg te gaan is. Hun pentesters slaagden erin om bij 93% van de bedrijven hun netwerk binnen te dringen en daarmee toegang te krijgen tot de lokale netwerken. Slechts 7% had zijn it security op orde en konden de pentesters zich geen toegang hacken.

Andere schokkende ontdekkingen waren:

  • Bij een zesde van de geteste bedrijven vonden ze sporen van eerdere aanvallen. Met andere woorden, de netwerkinfrastructuur van die bedrijven was waarschijnlijk al onder controle van (echte) aanvallers.
  • De gemiddelde tijd om in een lokaal netwerk binnen te dringen, was vier dagen. In één geval was de benodigde tijd slechts 30 minuten.
  • Bij 71 procent van de bedrijven zou zelfs een onervaren hacker het interne netwerk kunnen penetreren.
  • Driekwart van de succesvolle hackpogingen (77%) konden slagen vanwege onvoldoende bescherming van webapplicaties.

1 op de 6 bedrijven was al eerder gehackt door een echte cybercrimineel

Bij een zesde deel van de bedrijven die een pentest lieten uitvoeren om hun it security te testen, werden onaangenaam verrast met de constatering dat ze al waren gehackt.

Zo werden er bijvoorbeeld web shells op de netwerkperimeter gevonden, waren er kwaadaardige links op officiële sites, of geldige credentials in publieke data dumps. Dit geeft aan dat de infrastructuur mogelijk al onder de controle van hackers is geweest.

Een hacker heeft 30 minuten tot 10 dagen nodig om een netwerk binnen te dringen

De gemiddelde tijd om in een lokaal netwerk binnen te dringen, was vier dagen. In één geval duurde de succesvolle hackpoging slechts 30 minuten. In de meeste gevallen was de aanvalscomplexiteit laag, waardoor de aanval binnen het bereik lag van een hacker met 'middelmatige' vaardigheden. Bij 71 procent van de bedrijven was er ten minste één gemakkelijke penetratievector (methode om kwetsbaarheden in de beveiliging uit te buiten om zodoende een netwerk binnen te dringen).

Een hacker onderneemt verschillende stappen om binnen een interne bedrijfsnetwerk te dringen. Bij 68% van de gevallen waren er slechts twee stappen nodig om dat te bereiken.

Minimum aantal stappen om een netwerk binnen te dringen (procent van de bedrijven)

Favoriete hackmethode: gebruikmaken van de kwetsbaarheden in de beveiliging van webapplicaties

Een andere interessante uitkomst van het onderzoek was dat 77% van de inbreuken te maken had met onvoldoende bescherming van webapplicaties.

Het lukte de pentesters om het netwerk te hacken door:

  • gebruik te maken van de kwetsbaarheden in de beveiliging van webapplicaties (77% van de bedrijven)
  • brute forcing* van de inloggegevens van database management systemen (DBMS) (15% van de bedrijven)
  • brute forcing van de inloggegevens van remote access services (6% van de bedrijven)
  •  brute forcing domain user inloggegevens samen met het uitbuiten van softwarekwetsbaarheden (1% van de bedrijven)
  • brute forcing inloggegevens voor de FTP-server (1% van de bedrijven)

De meest succesvolle hack is overduidelijk het gebruikmaken van de kwetsbaarheden en fouten in de bescherming van webapplicaties. Hieronder een overzicht welke hackmethodes tegen webapplicaties het meest succesvol waren:

Figuur 2. Aanvallen tegen webapplicaties om het netwerk binnen te dringen (procent van de bedrijven)

Aanbevelingen

  • Check regelmatig de beveiliging van webapplicaties
  • Voer regelmatig pentesten uit, het liefst zogenaamde 'white box' pentesten waarbij de broncode geanalyseerd wordt
  • Kwetsbaarheden komen ook voor in third party software. Deze apps blijven kwetsbaar totdat de ontwikkelaar een patch vrijgeeft. Deze patch moet dan zo spoedig mogelijk na het vrijgeven geïnstalleerd worden.
  • Bescherm de omgeving van het netwerk met een firewall voor webapplicaties (WAF) om te voorkomen dat kwetsbaarheden worden uitgebuit.
  • Check of de interfaces die open staan voor verbinding daadwerkelijk beschikbaar moeten zijn voor alle internetgebruikers.
  • Inventariseer regelmatig de internettoegankelijke bronnen
  • Installeer zo snel mogelijk veiligheidsupdates van het OS
  • Installeer de nieuwste versies van apps zo snel mogelijk.
  • Zorg ervoor dat software met bekende kwetsbaarheden niet op het bedrijfsnetwerk aanwezig is
  • Verbied makkelijk te hacken wachtwoorden. In het onderzoek kwam het wachtwoord 123456 regelmatig voor.

In aanvulling van deze aanbevelingen is het verstandig om de volgende stappen te ondernemen:

Mark van Horik

Mark is mede-oprichter en managing partner van ProteQtor IT Security. Mark schrijft en geeft lezingen over onderwerpen die te maken hebben met privacy, cybersecurity en marketing technology.