Jamf Blog

Security Report 360: Een inleiding

Duik in de bevindingen van de Jamf Threat Labs teams met betrekking tot de bedreigingen voor apparaten die op de moderne werkplek worden gebruikt. Inclusief ondersteunende gegevens over hoe het moderne bedreigingslandschap zich blijft ontwikkelen doordat kwaadwillenden hun aanvallen aanpassen wanneer zij zich richten op gevoelige gegevens en privacygegevens van gebruikers.

In deze blog bespreken we kort de top 5 trends voor 2023:

  • Social engineering
  • Privacy van gebruikers
  • nieuwe bedreigingen
  • Compliance
  • verspreiding van het personeel

Beveiligingspraktijken veranderen mettertijd en er worden nieuwe technologieën geïntroduceerd om beheerders te helpen bij een betere bestrijding van bedreigingen die de beveiliging van kritieke bedrijfsgegevens, eindpunten en gebruikers en hun privacy beïnvloeden.

Maar eindpuntbeveiliging is niet het enige dat upgrades krijgt in de strijd om gegevensbeveiliging. Bedreigers blijven ook hun instrumenten en processen versterken om detectie te omzeilen, nieuwe manieren te vinden om zich op slachtoffers te richten en de beveiliging van doelapparaten en bedrijfsnetwerken verder aan te tasten.

Laten we het niet hebben over de vorm, maar meteen duiken in de trends die in 2023 de krantenkoppen zullen blijven halen.

Social engineering

De belangrijkste bedreiging die de leiding blijft houden, is niet in de laatste plaats te danken aan het relatieve gemak waarmee slechte actoren aanvalscampagnes kunnen uitvoeren. In combinatie met de minimale overhead die nodig is om aanvallen uit te voeren, bieden social engineering-bedreigingen een maximaal rendement in vergelijking met de minimale inspanning die vaak nodig is.

Ongeacht of de aanval wordt uitgevoerd van het traditionele phishing-type via e-mail, smishing-aanvallen waarbij gebruik wordt gemaakt van sms-berichten om hapklare berichten af te leveren aan honderden of duizenden doelwitten op een bepaald moment. Ook worden er nieuwere campagnes uitgevoerd via sociale media, waarin anonimiteit en korte reacties een geaccepteerde manier van communiceren zijn. Vergis je niet, social engineering-aanvallen kunnen worden opgezet om vrijwel elk type slachtoffer te treffen en vrijwel elk type gegevens te verzamelen.

'Volgens Jamf werd In 2022 bij 31% van de organisaties ten minste één gebruiker het slachtoffer van een phishing-aanval. En dat is niet verwonderlijk, aangezien het vaak voorkomt dat je een bericht, telefoontje of e-mail ontvangt van onbekende bronnen, die heel gemakkelijk kunnen beweren iemand (of iets, zoals een bedrijf) te zijn die ze niet zijn. Aangezien de gemiddelde gebruiker nauwelijks in staat is de authenticiteit van de identiteit van een potentiële oplichter te verifiëren, blijft het hoge succespercentage van social engineering-aanvallen aanvallers ervan overtuigen dat deze aanvalsmethode de moeite waard is. Zelfs met alle beveiligingsinstrumenten ter wereld is het van weinig belang om bedreigingen tegen te houden wanneer de gebruikers zelf vrijwillig wachtwoorden en andere gevoelige gegevens verstrekken. Daarom is voortdurende gebruikerstraining die gericht is op bedreigingen, zowel breed als specifiek voor je branche, vaak de beste verdediging tegen social engineering-aanvallen.

Privacy van gebruikers

Een ander type gegevens dat steeds meer aandacht krijgt van zowel gebruikers als aanvallers zijn privacygegevens van gebruikers. Zoals het type metagegevens dat vaak wordt gekoppeld aan gegevens die worden gegenereerd door het gebruik van toepassingen die steunen op de vele sensoren en componenten die in mobiele apparaten zijn ingebouwd.

Waarom is this zo belangrijk, zul je je afvragen? Omdat bedreigingsactoren privacygegevens gebruiken voor persoonlijk en financieel gewin. Als onderdeel van geraffineerde social engineering-campagnes die gericht zijn op iets anders nemen slechte actoren hun toevlucht tot het afpersen van slachtoffers inruil voor het niet lekken van privacygegevens die anders hun reputatie, banen of status in de publieke belangstelling zouden kunnen beïnvloeden. Er zijn ook aanvallers van nationale staten die kwaadaardige code in apps injecteren om dissidenten, klokkenluiders of personen die door hen als een bedreiging voor de regering worden beschouwd, te bespioneren.

Hoewel de privacy van gebruikers vaak het doelwit is van een aanvalsketen en niet het centrale doelwit van de aanval zelf, is de beste verdediging een waakzame gebruiker die een actieve rol speelt bij het autoriseren en regelmatig controleren van welke apps toegang krijgen tot welke onderdelen. Zo is het zinvol om een app met routebeschrijvingen toegang te geven tot GPS op je smartphone als je regelmatig gebruik maakt van de routebeschrijving om je weg te vinden. Maar waarom vraagt een berichten-app van derden toegang tot dezelfde GPS-sensor? Het is niet alsof GPS een centraal onderdeel is van het uitwisselen van berichten met contacten, toch?

Nieuwe bedreigingen

Aanvallen op basis van malware blijken het afgelopen jaar te zijn afgenomen. Dit is iets om te vieren, maar voordat we te hard van stapel lopen, mogen we niet vergeten dat ook aanvallers hun tools en vaardigheden blijven aanscherpen. En dit komt tot uiting in geconvergeerde aanvallen waarbij meerdere aanvalstypen worden gecombineerd tot een nieuw type bedreiging - waarvan sommige nog nooit eerder zijn gezien.

Dit is ook een reactie op de veranderende werkomgeving en/of organisaties die hun bedrijfsvoering aanpassen. De omschakeling naar werken op afstand, hybride omgevingen of zelfs het toestaan dat werknemers hun eigen persoonlijke apparaten (BYOD) gebruiken voor het werk zijn katalysatoren die nieuwe vormen van aanvallen hebben gekweekt om gebruikers van hun apparaten te isoleren en apparaten van hun gegevens te scheiden.

Uit gegevens van Jamf Threat Labs bleek dat 'ineen enkele maand van 2022 53% van de gecompromitteerde apparaten toegang had tot conferentiehulpmiddelen, terwijl 35% toegang had tot e-mail, 12% tot een CRM en 9% tot cloudopslagdiensten.' Dit gecombineerd met voorbeelden van geraffineerde aanvallen in het wild geeft aan dat aanvallen meer dan één vorm kunnen aannemen en over een willekeurige periode kunnen plaatsvinden zonder dat een van de in de keten gebruikte bedreigingen wordt gedetecteerd totdat het te laat is. Hoewel convergerende aanvallen zeker moeilijker te beschermen zijn omdat beheerders moeilijk kunnen voorspellen wanneer aanvallen zullen plaatsvinden, bieden bepaalde praktijken, in combinatie als een defense-in-depth beveiligingsstrategie, de beste bescherming tegen nieuwe bedreigingen.

Denk aan een mix van:

  • actief monitoren van eindpunten
  • eindpuntbeveiliging inzetten
  • uitvoering van beleidsgebaseerd beheer
  • het veilig delen van telemetrie tussen oplossingen
  • patchbeheer in de praktijk brengen
  • machine learning (ML) gebruiken voor gedragsanalyse
  • workflows voor incidentenbestrijding automatiseren

Compliance

Bij het verzamelen van gegevens voor het Security 360: Annual Trends Report, ontdekte Jamf dat 'in 2022, 21% van de werknemers apparaten gebruikte die verkeerd geconfigureerd waren, waardoor ze aan risico's werden blootgesteld.' Dat moge natuurlijk duidelijk zijn, maar dit cijfer geeft aan dat mogelijk iets meer dan een vijfde van de werknemers van een organisatie apparaten gebruikt, ongeacht of ze eigendom zijn van het bedrijf of van zichzelf, die niet aan de voorschriften voldoen.

Als een bedreiging een van deze getroffen apparaten vindt en op zijn beurt misbruik maakt van een van deze kwetsbaarheden in de configuratie, is de omvang van het datalek niet te voorspellen. Dit is niet bedoeld om angst, onzekerheid of twijfel (aka FUD) aan te wakkeren, maar eerder om in alle ernst te spreken over de ernst van het naleven van regelgeving en de mogelijke gevolgen van wetsovertredingen wanneer eindpunten niet voldoen.

Het vaststellen van de sancties waaraan je organisatie kan worden onderworpen en op basis van overtredingen die voortvloeien uit voorschriften die op je bedrijfstak van toepassing zijn, valt buiten het bestek van dit artikel of het daarin besproken Security 360-rapport. Toch blijft het een feit dat de overheid vereist dat organisaties hun wetten naleven om als compliant te worden beschouwd. Bovendien worden organisaties regelmatig onderworpen aan audits om ervoor te zorgen dat hun bedrijfsprocessen en beschermde gegevenstypen in overeenstemming met de regelgeving worden behandeld.

Dit legt de bewijslast bij de organisatie zelf om het bewijs te verzamelen en te leveren dat zij van begin tot eind aan de voorschriften voldoet. Met dit in gedachten is compliance geen afzonderlijk stuk dat alleen door een compliance officer of een risicobeoordelingsspecialist moet worden beheerd. Compliance maakt deel uit van de beveiligingsstack en vormt, net als de privacy van gebruikers, een cruciaal onderdeel van de algehele beveiliging van de organisatie en moet als zodanig worden behandeld bij het plannen, testen en inzetten van beveiligingscontroles, processen, personeel, toepassingen, diensten en workflows die van invloed zijn op gereglementeerde gegevens.

Remote/hybride omgevingen

Remote en hybride werkomgevingen zijn in veel sectoren net zo algemeen aanvaard en alomtegenwoordig geworden als e-mail voor bedrijfscommunicatie. Dit werd mogelijk gemaakt dankzij technologieën die de leegte opvulden die ontstond toen de netwerkomtrek begon af te brokkelen toen organisaties overschakelden op gebruikers die in meer of mindere mate op afstand werkten.

En in de jaren sinds de eerste uittocht van bedrijfskantoren naar thuiswerken (WFH) zijn er nog steeds organisaties die er nu pas aan toe zijn om te migreren of die gewoon nog steeds niet de juiste combinatie van oplossingen en beleidsregels hebben gevonden om de gaten in hun beveiliging te dichten.

Toen Jamf Threat Labs ontdekte dat '1 op elke 5 apparaten een besturingssysteem gebruikte dat niet up-to-date was', kwalificeert dit de vorige uitspraak. In de kern is de oorzaak hiervan niet bekend omdat deze van bedrijf tot bedrijf verschilt, net zoals behoeften van bedrijf tot bedrijf uniek zijn. Wat wel bekend is, is dat dit de zeer reële behoefte aan inzicht in je apparatenvloot nog eens onderstreept evenals een duidelijk begrip van hoe elk onderdeel dat deel uitmaakt van de beveiligingspostuur precies aansluit op de infrastructuur van de organisatie. Als je organisatie deel uitmaakt van een sterk gereguleerde sector, zoals de financiële sector of de gezondheidszorg, is zichtbaarheid een essentieel onderdeel van het bereiken en handhaven van compliance.

Naast zichtbaarheid zijn enkele stappen die organisaties kunnen nemen om mobiele apparaten in externe/hybride omgevingen te beveiligen:

  • integratie tussen beheers- en beveiligingstooling
  • geautomatiseerde processen en workflows
  • gedecentraliseerde registratie en informatie over bedreigingen
  • risicobeoordelingspraktijken om assets en bedreigingen te identificeren

Hoewel het veel informatie is om te verwerken, geeft het bovenstaande een voorbeeld van wat er in de 'Jamf Security 360: Annual Trends Report 'staat

Ben je benieuwd naar het volledige rapport of wil je beter begrijpen hoe je je organisatie het beste kunt beschermen tegen evoluerende bedreigingen in 2023?

Schrijf je in voor het Jamf blog

Krijg markttrends, Apple updates en Jamf nieuws direct in je inbox.

Raadpleeg ons Privacybeleid voor meer informatie over de manier waarop we uw gegevens verzamelen, gebruiken, bekendmaken, verplaatsen en bewaren.