image

Fox-IT: Gemiddeld aantal incidenten per klant explosief toegenomen

woensdag 28 februari 2018, 15:18 door Redactie, 14 reacties

Analisten van Fox-IT hebben vorig jaar ruim 41% meer incidenten onderzocht dan in 2016. In totaal hebben de analisten in 2017 36.026 incidenten onderzocht. Een jaar eerder waren dat er nog 25.406.

“We zien niet alleen een stijging in het aantal incidenten, maar ook het gemiddeld aantal incidenten per klant neemt explosief toe. Zij hadden in 2017 bijna 2,5 keer zoveel incidenten te verwerken ten opzichte van 2016", aldus Fox-IT in hun blog "De dreigingen van 2017 en de trends van 2018".

De stijging is volgens het bedrijf deels te verklaren door de aangepaste werkwijze van hackers. Aanvallers zijn technisch steeds slimmer en ontwikkelen efficiëntere methoden. Ook worden aanvallen steeds vaker geautomatiseerd uitgevoerd. De incidenten die zijn onderzocht, zijn heel divers, aldus de beveiligingsonderzoekers. Het kan gaan om hackers die een systeem proberen aan te vallen via een webportal of hackers die een phishing-campagne opstarten.

“We zien steeds meer aanvallen die niet direct gericht zijn op een organisatie maar juist op leveranciers van software. Deze zogenaamde ‘Supply chain attacks’ kunnen zich razendsnel verspreiden middels bijvoorbeeld een software update. Een andere variant die steeds vaker voorbij komt in het SOC is de worm. Deze variant van ransomware kan andere pc’s infecteren zonder directe interactie van de hacker”, schrijft Fox-IT.

Ook wordt opgemerkt dat aanvallers steeds vaker tools gebruiken die al beschikbaar zijn op een pc of netwerk. Dat vraagt van organisaties dat ze weten welke tools en gedragingen normaal zijn en welke niet. Het monitoren van netwerken en endpoints wordt daardoor steeds belangrijker, aldus Fox-IT.

Reacties (14)
28-02-2018, 17:29 door karma4
Met dat soort statistieken is dat je ook de aantallen zou moeten weten van alle gevallen die voorheen gemist zijn.
28-02-2018, 17:47 door Anoniem
Wel, karma4, wat zegt dat dan over de algehele veiligheidsituatie op de infrastructuur.
Wordt het onveiliger of alleen maar complexer, of allebei?

Kijk aparte veiligheidsincidenten worden niet nader geanalyseerd. Daar heeft een bedrijf vaak ook de tijd niet voor,
en er zijn maar enkelingen, die echt geinteresseerd zijn waar een alert naar verwijst. Jij en ik wellicht.

Ik wil altijd weten achteraf waar het aan schort of schortte. Denken dat een overzicht van gemiste gevallen of ook FP's daarbij helpen is wel van belang voor mensen met relevante kennis, maar de "man in de straat" en de "aansturende manager met alleen aangeprate inzichten via dozenschuivers"doen de rest.
28-02-2018, 19:21 door MathFox
Een afgeslagen aanval hoef je niet uitgebreid te analyseren. Het kan de moeite waard zijn om eens te kijken naar patronen in de data en of je daaruit kunt afleiden of er een gerichte campagne bezig is. Wanneer een aanval je verdedigingen (deels) doorbreekt heb je wel iets te analyseren.
28-02-2018, 20:13 door karma4
Door Anoniem: Wel, karma4, wat zegt dat dan over de algehele veiligheidsituatie op de infrastructuur.
Wordt het onveiliger of alleen maar complexer, of allebei?
...
Als we zouden weten of er meer incidenten per klant zijn omdat men nu voor elk vermoeden een melding doet en voorheen alleen bij een constatering dan wisten we meer.
Met een opgesplitste lijst met oorzaak en impact zou je zoiets kunnen zien met de verschuiving in categorieën. Daar heb je goed punt.

Van de fouten kun je leren en zet daarbij risico impact en je kan een model naken voor meeste opbrengst bij verbeteringen.
Als ja naar de financiële risicomodellen kijkt doen die niets anders dan dat.
28-02-2018, 20:27 door karma4
Door MathFox: Een afgeslagen aanval hoef je niet uitgebreid te analyseren. Het kan de moeite waard zijn om eens te kijken naar patronen in de data en of je daaruit kunt afleiden of er een gerichte campagne bezig is. Wanneer een aanval je verdedigingen (deels) doorbreekt heb je wel iets te analyseren.
Big data analytics (splunk werkt er hard aan) als je weet hoe een aanval er uit ziet ook al is hij afgeslagen dan kun je er mogelijk meer van vinden die je anders niet zou afslaan.
Het is het zoeken naar overeenomsten.
De andere insteek is zien te bepalen wat normaal is. Zie iets afwijkends dan kan dat op een aanval of misbruik duiden.
Je profileert op gedrag mogelijk op ip adressen die persoonsgegevens zijn. Het werk voor security is soms verrasend, zelfs in techniek. Een beslisboom neuraal netwerk of regresssie wat zou je voorkeur hebben in lift begrijpbaarheid traceerbaarheid?
28-02-2018, 20:30 door Anoniem
Volgens de statistieken was XP dus veiliger dan Win 10 nu :)
28-02-2018, 21:27 door SecGuru_OTX
Ik wist niet dat een worm een variant van Ransomware was? Weer iets nieuws geleerd van onze FOX specialisten,

Man, man, man......
28-02-2018, 22:08 door Anoniem
Door SecGuru_OTX: Ik wist niet dat een worm een variant van Ransomware was? Weer iets nieuws geleerd van onze FOX specialisten,

Man, man, man......

WannaCry, NotPetya e.d. als ransomware kunnen prima als wom worden geclassificeerd.
28-02-2018, 23:21 door Anoniem
Door SecGuru_OTX: Ik wist niet dat een worm een variant van Ransomware was? Weer iets nieuws geleerd van onze FOX specialisten,

Man, man, man......

Had je ook vaseline voor de mier ?

Ransomware met een worm-gebaseerd distributie mechanisme kan andere PCs (binnen de organisatie) besmetten zonder directe interactie .
Als expert wist je natuurlijk dat er ransomware de ronde doet die zich vanaf de initiële infectie als worm verder kan verspreiden

Maar omdat je graag even een schopje wilde geven tegen een bekende naam miereneuk je door de formulering te lezen als "alle wormen zijn een vorm van ransomware" , waar (zoals je natuurlijk wel wist , toch, guru ?) de lezing "sommige ransomware is ook een worm" klopt met de realiteit.
De gekozen formulering staat in principe beide lezingen toe. Blogs en persberichten dichtimmeren als notariële acties komt de leesbaarheid niet ten goede.
01-03-2018, 00:09 door Anoniem
Het gaat erop lijken dat je tegenwoordig maar beter niet of niet te snel je toepassingen kunt opdaten.
Of op z'n minst eerst checken of de betreffende update server veilig is. Dat laatste zal lastig zijn want voor zover mij bekend is er geen centrale (actuele!) infomatie over welke softwareleveranciers wel of niet een veilige updateserver hebben.

Daar waar steeds gezegd werd en wordt dat je je systeem up to date moet houden (liefst per dag, zoals in veel Lnux versies) loop je nu met snel updaten meer gevaar dan met nog even wachten en eerst weten of er iets mee is. Weer extra werk: niet alleen updaten maar ook nog alle updates eerst zien te verifieren.
01-03-2018, 10:25 door Anoniem
Het probleem is dat met de komst van GDPR je wettelijk verplicht bent uit te zoeken wat de impact van een aanval is geweest. Als je niet kunt uitsluiten op basis van enig geloofwaardig bewijs (access logs bijvoorbeeld of netflow logs) dat gegevens grootschalig zijn weg gekopieerd moet je formeel uitgaan van een mogelijk groot datalek. Uiteraard worden de meest waanzinnige aannames gedaan om maar de impact van een infectie weg te kunnen wuiven. Maar dat doet niks af aan het feit dat in de meeste gevallen men eigenlijk niet weet wat er werkelijk gebeurd is. Er is namelijk maar 1 manier om zaken te bewaken. Loggen tot je er bij neer valt... Want je weet van te voren niet welke data relevant zal zijn. Behalve data die altijd relevant is zoals netflow data bijvoorbeeld.
01-03-2018, 12:52 door Anoniem
Ja je kunt dan maar beter geen kleine developer zijn van zogeheten "riskware".
Dan krijg je subiet last van valse positieven, zeker op niet-gesigneerde downloads,
van kleine leveranciers van software, waarbij de uitgepakte software best compleet clean kan zijn.

Kijk naar Sys Internals na de overname door MS. Geen alerts meer.

Opgekocht door een Big Tech Company en zulke problemen verdwijnen ineens als sneeuw voor de zon,
Wie detecteert ten onrecht, weet bij een eventele FP, dat de tegenpartij al vaak een advocaat klaar heeft staan.
Kijk naar Portable Apps en RJL software bij voorbeeld.

Kijk eens hier: http://www.geeksalive.com/links.html

Jodocus Oyevaer
01-03-2018, 14:57 door Anoniem
Analisten van Fox-IT hebben vorig jaar ruim 41% meer incidenten onderzocht dan in 2016. In totaal hebben de analisten in 2017 36.026 incidenten onderzocht. Een jaar eerder waren dat er nog 25.406.

“We zien niet alleen een stijging in het aantal incidenten, maar ook het gemiddeld aantal incidenten per klant neemt explosief toe. Zij hadden in 2017 bijna 2,5 keer zoveel incidenten te verwerken ten opzichte van 2016"

Dus een totale toename van 41% tegen een 250% hoger gemiddelde per klant. Kan iemand uitrekenen hoeveel klanten er weggelopen zijn?

Peter
02-03-2018, 09:59 door Anoniem
Door Anoniem:
Analisten van Fox-IT hebben vorig jaar ruim 41% meer incidenten onderzocht dan in 2016. In totaal hebben de analisten in 2017 36.026 incidenten onderzocht. Een jaar eerder waren dat er nog 25.406.

“We zien niet alleen een stijging in het aantal incidenten, maar ook het gemiddeld aantal incidenten per klant neemt explosief toe. Zij hadden in 2017 bijna 2,5 keer zoveel incidenten te verwerken ten opzichte van 2016"

Dus een totale toename van 41% tegen een 250% hoger gemiddelde per klant. Kan iemand uitrekenen hoeveel klanten er weggelopen zijn?

Peter

Het betreft 2,5x het aantal naar de klant geescaleerde incidenten. De 41% heeft betrekking op het aantal onderzochte incidenten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.