Zoeken

Een jaar in aanvallen – CyberSOC statistieken

Het is geen geheim dat het aantal cybersecurity incidenten en aanvallen de afgelopen jaren is toegenomen. Maar wat zijn nu precies de cijfers? In ons Security Navigator rapport hebben we uitgebreid onderzoek gedaan naar het incidentlandschap van 2021. Wat voor soort aanvallen zagen we het meest voorkomen? Zijn de effecten verschillend voor grote of kleine organisaties? En welke sectoren werden het meest geraakt?

Over de data

Van oktober 2020 tot september 2021 hebben we in totaal 94.806 incidenten geïdentificeerd, tegenover 45.398 in 2020. Van de incidenten kan 36% worden bevestigd als security incidenten.

Een toelichting over terminologie: we registreren een event dat aan bepaalde voorwaarden voldoet en daarom wordt beschouwd als een indicator van compromis, aanval of kwetsbaarheid. Een incident is wanneer dit geregistreerde event, of meerdere events, worden gecorreleerd of gemarkeerd voor onderzoek door een mens - onze beveiligingsanalisten. Een incident wordt als ‘bevestigd’ beschouwd wanneer we, met hulp van de klant of naar goeddunken van de analist, kunnen vaststellen dat de beveiliging inderdaad in gevaar is gebracht.

Type incidenten

In 2021 hebben we de volgende soorten incidenten geconstateerd:

  • Malware is kwaadaardige software zoals ransomware.
  • Netwerk- en applicatieafwijkingen, zoals tunneling, IDS/IPS alerts en andere aanvallen met betrekking tot netwerkverkeer en applicaties.
  • Accountafwijkingen, zoals brute force aanvallen, hergebruik van inloggegevens, laterale bewegingen, misbruik van bevoegdheden of soortgelijke incidenten.
  • Systeemafwijkingen zijn gebeurtenissen die rechtstreeks verband houden met het besturingssysteem en de componenten eromheen, zoals drivers die niet meer werken of services die onverwacht worden beëindigd.
  • Policy schendingen, zoals het installeren van niet-ondersteunde software of het aansluiten van een niet-geautoriseerd apparaat op het netwerk.
  • Social Engineering is elke poging om gebruikers voor de gek te houden; inclusief, maar niet beperkt tot, phishing en spoofing.

Trends

Wat in alle data opvalt, is dat we een verschuiving zien in de verdeling van incidenttypes. Met 38% van het totale aantal incidenten is malware het nummer één incidenttype geworden.

Network & Application Anomalies, dat in 2020 met 35% op nummer één stond, is met 22% opgeschoven naar de tweede plaats. Een forse daling.

De toename van malware incidenten kan deels worden verklaard doordat sommige van onze grotere klanten hun detectie capaciteiten voor malware hebben vergroot. Bovendien was er over het algemeen meer malware activiteit in de afgelopen 12 maanden, vooral in maart 2021 en juni 2021, waar we het hoogste aantal bevestigde beveiligingsincidenten zagen.

Incidenten naar bedrijfsgrootte

Binnen onze observaties maken we een onderscheid tussen organisatiegrootte om onze klanten te classificeren. Dat onderscheid is als volgt:

  • Klein – Aantal medewerkers = 101-1000
  • Middelgroot – Aantal medewerkers = 1001-10.000
  • Groot – Aantal medewerkers = 10.000+

Van alle klanten die in ons rapport zijn onderzocht:

  • Is 37% geclassificeerd als klein en vertegenwoordigt 17% van alle gedetecteerde incidenten
  • Is 41% geclassificeerd als middelgroot en vertegenwoordigt 30% van alle gedetecteerde incidenten
  • Is 22% wordt geclassificeerd als groot en vertegenwoordigt 53% van alle gedetecteerde incidenten

Kleine organisaties

We zien incidentvolumes die correleren met de bedrijfsgrootte, dus grotere operaties zien meer incidenten. Er is één uitzondering die dit jaar opvalt: kleine bedrijven werden meer gewaarschuwd voor potentiële malware-incidenten dan middelgrote organisaties. Als gevolg ondervonden kleinere organisaties 38% meer bevestigde malware incidenten dan middelgrote bedrijven.

Een verklaring voor deze statistiek zou kunnen zijn dat kleine organisaties minder tijd en middelen hebben voor hun IT-beveiliging, waardoor malware 'gemakkelijker' zijn weg naar een organisatie kan vinden.

Middelgrote organisaties

De organisaties die zijn gecategoriseerd als middelgroot vallen op door hun hoge aantal netwerk- en applicatieafwijkingen dit jaar. Het aantal incidenten was zelfs hoger dan bij grote organisaties. Bovendien heeft deze groep een kleiner aantal bevestigde incidenten in vergelijking met kleine organisaties in de categorieën policy schendingen, malware en social engineering. In vier van de zeven incidentcategorieën geldt voor middelgrote bedrijven dus niet het principe van incidentvolume versus organisatiegrootte.

Grote organisaties

Over het algemeen zien grote organisaties het hoogste aantal malware incidenten, met bijna twee keer zoveel bevestigde incidenten als vorig jaar. Zo hadden grote organisaties, net als vorig jaar, bijna de helft van het aantal netwerkgerelateerde incidenten in vergelijking met kleine organisaties.

Een interessante observatie is dat bij het inzoomen op incidenten rond bevestigde ransomware gerelateerde incidenten, grote organisaties net zo weinig bevestigde incidenten hebben gehad als kleine organisaties. Of om dit om te keren: kleine organisaties hadden net zoveel bevestigde ransomware gerelateerde incidenten als grote organisaties.

Incidenten per sector

Naast de bedrijfsgrootte hebben we onze gegevens over de verschillende bedrijfssectoren beoordeeld. Hoewel er verschillen kunnen worden gedetecteerd, zien we uiteindelijk dat alle industrieën worstelen met steeds geavanceerdere aanvallen.

In ons onderzoek hebben we een groot aantal statistieken verzameld voor de verschillende sectoren. Hier zijn een paar interessante hoogtepunten:

  • Van alle sectoren die we hebben geanalyseerd, is manufacturing het vaakst doelwit van cyber extortion groepen.
  • De gezondheidszorg is opnieuw de sector met het hoogste aantal netwerkgerelateerde beveiligingsincidenten. Daarnaast zagen we een merkbare toename van het aantal phishing-aanvallen. Als sector heeft de gezondheidszorg van oudsher te kampen met zijn eigen gebruikers als grootste risico: de insider threat.
  • De financiële en verzekeringssector blijft een van de branches met het hoogste aantal bevestigde Social Engineering-incidenten (12%).
  • De laagste spreiding van policy schendingen is te vinden in de sector Professionele, Wetenschappelijke en Technologische Dienstverlening. Het is lastig te zeggen of dit komt doordat gebruikers in deze sector het beleid meer naleven dan in andere sectoren, dat er minder beleid is geïmplementeerd, of dat detectiemogelijkheden zich richten op andere soorten incidenten.
  • Phishing was de grootste component die werd geregistreerd onder Social Engineering incidenten voor de detailhandel, gevolgd door opportunistische spam en meer gerichte Spear Phishing-incidenten.
  • In de meeste incident categorieën zagen we een daling voor de vastgoed-, verhuur- en leasesector, maar met een sterke toename van netwerk- en applicatieafwijkingen.
  • We zagen een duidelijke toename van het aantal Malware incidenten voor de Transport en Warehousing sector, waarbij de activiteit gericht was op pogingen tot malware installatie op werkstations, wat inhield dat malware activiteit vroegtijdig werd gedwarsboomd.
  • Hoewel ze slechts 4% van de klanten vertegenwoordigen die werden opgenomen in het rapport van dit jaar, heeft Accommodatie en Food Services bijgedragen aan veel incidenten, waarvan een aanzienlijk deel werd gecategoriseerd als malware.

Conclusie

Met meer dan 30% van alle bevestigde incidenten zagen we dit jaar een verschuiving naar  malware als nummer één incident. Het is een trend die niet noodzakelijk zichtbaar is in de huidige status van het algehele dreigingslandschap, maar die wel inzicht geeft in waar onze klanten het meest mee worstelen.

Hoewel er verschillen optreden in het soort incidenten tussen verschillende bedrijfsgroottes en sectoren, zien we dat organisaties van alle soorten en maten met vergelijkbare problemen te maken hebben. Uiteindelijk is iedereen een doelwit van de evoluerende tegenstander met een verfijnde set geavanceerde tools.

Download de Security Navigator

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.

Tel: +31 184 78 81 11