2020 Data Breach Investigations Report

Dimitri van Zantvliet
5 min readJun 6, 2020

--

Ieder jaar kijk ik uit naar het databreach rapport van Verizon. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..

67% van de databreaches ontstaat uit drie oorzaken

Niets nieuws aan de horizon. Deze tactieken zijn al jarenlang de meest gebruikte. Hier moet dan ook de meeste security effort op gezet worden.

  • sociale aanvallen (met name phishing) zijn de meest voorkomende aanvalstactieken. Mensen blijven klikken op rogue urls en hun credentials afgeven op Office365 lookalikes.
  • gebruik van gestolen credentials blijft een eenvoudige wijze om in te loggen als er geen MultiFactor Authenticatie laag aanwezig is.
  • menselijke fouten in verzenden van post of e-mail en het verkeerd configureren van infrastructuur als goede derde. Ik post op LinkedIn regelmatig databreaches onder de hashtag #databreachdaily en heb dit jaar al zeker 10 ElasticSearch databases gepost die zonder fatsoenlijke beveiliging in een DMZ draaide. Sinds 2014 is er een sterke stijging in misconfiguraties te zien.

Het zorgwekkende aan deze cijfers is dat de huidige thuiswerk situatie vanwege de covid-19 pandemie organisaties extra blootstelt aan deze aanvallen. Zaak om goed en snel na te denken over het gewijzigde dreigingslandschap!

screenshot uit 2020 Data Breach Investigations Report

27% van de malware incidenten is ransomware

De afgelopen jaren is het afpersen van organisaties door het encrypten van hun informatie een ware sport geworden. We zien dan ook een flinke stijging op de malware ladder bij de incidenten én bij de daadwerkelijke lekken. Met de jaarwisseling zagen we in Nederland uni Maastricht als lichtend voorbeeld maar eenvoudige google alerts brengen dagelijks ransomware voorbeelden over de bühne. Veel ransomware aanvallen blijven niet meer beperkt tot het versleutelen van bestanden maar steeds vaker wordt de data eerst ge-exfiltreerd (doxware). Op die manier kun je ook de slachtoffers van de slachtoffers afpersen. Ook is de mobiele ransomware en ransomware as a service in opkomst. Zorg dus voor een goede contingency met deugdelijke backups. 18% van de organisaties blokkeerde tenminste één ransomware attack overigens.

43% van de databreaches werd veroorzaakt via een webapplicatie aanval

Het aantal aanvallen via webapplicaties is verdubbeld ten opzichte van vorig jaar. Omdat veel organisaties hun werkprocessen meer en meer richting cloud verschuiven en het aantal API’s explodeert is dat niet verwonderlijk. De hackers bewegen natuurlijk in die richting mee. 80% van de aanvallen gebeurt met het brute-forcen of credential stuffing van de inlogpagina. Iets minder dan 20% gebeurt door middel van het exploiteren van kwetsbaarheden in de (mobiele)applicatie. Time to market druk blijft een bitch in ieder geval..

58% van de databreaches bevat persoonsgegevens

Ook dit percentage is verdubbeld ten opzichte van vorig jaar. Nu moet gezegd worden dat wetgeving zoals AVG ook een handje helpt om het aantal datalek meldingen te laten stijgen. Tevens bevat dit cijfer ook alle emailadressen die per ongeluk niet in de BCC stonden. 59% van de gelekte/gehackte e-mail adressen komt overigens uit het .com top level domein. Persoonlijk vond ik het grappig om te lezen dat een gemiddeld datalek met emailadressen een organisatie zoveel kost als een knappe middenklasse auto.

17% van de datalekken wordt door fouten veroorzaakt

Ook hier een verdubbeling ten opzichte van vorig jaar die volgens de onderzoekers grotendeels wordt verklaard doordat de privacy wetgeving vereist dat deze fouten gemeld worden. Veel organisaties hebben awareness programma’s lopen en gebruikers zijn zich meer en meer bewust van het feit dat ze per ongeluk de verkeerde persoon hebben gemaild. Ze zijn dus niet persé 2 keer zo dom geworden. Persoonlijk zie ik ook veel ontwerpfouten ontstaan doordat data-aggregatie en smart city pilots verkeerd anonimiseren. Als het niet by design en default goed geregeld is en het gaat mis met de persoonsgegevens dan is het ook een menselijke fout.

credits: J klossner cartoons

Het rijk der fabels

Volgens het rapport zijn externe aanvallen nog steeds in de meerderheid ondanks het veelgehoorde insider threat verhaal. Het toenemen van het aantal insider threats is met name te wijten aan betere interne SIEM dus rapportage. Ook is financieel gewin een grotere motivator gebleken dan spionage. Men kan zich dus beter meer zorgen maken over georganiseerde misdaad aan de buitenkant dan over de sysadmin.

Ook nog wat goed nieuws

Tools om aanvallen te pareren worden beter en beter. Het aantal aanvallen met Trojan malware werd sinds 2016 van 50% teruggebracht naar 6.5%. Veel van de backdoors, keyloggers en droppers worden tegenwoordig gedetecteerd en gestopt.

Minder dan 5% van de breaches kwam voort uit het exploiteren van een kwetsbaarheid. Dat betekent dat de meeste bedrijven goed bezig zijn met patchen en hardenen. Je moet dan natuurlijk wel je asset management op orde hebben zodat je ook alle belangrijke te patchen kroonjuwelen in kaart hebt. Veel organisaties hebben deze vergeten kroonjuwelen in een van de 5 of meer van hun netwerken direct aan het web hangen en worden daarmee alsnog kwetsbaar voor hacks.

Slotoverweging

Persoonlijk lees ik het rapport al vele jaren en ben ik dagelijks bezig met de cyber security materie. Toch vind ik dat het rapport steeds toegankelijker wordt voor non security officers. Het is eigenlijk verplicht leesvoer voor netwerk- en systeembeheerders, architecten, software developers, devops en wat mij betreft zeker ook CIO’s.

Veel leesplezier! https://enterprise.verizon.com/resources/reports/2020-data-breach-investigations-report.pdf

P.S. Ik heb de definitie van Verizon gebruikt in de tekst en een Databreach gezien als een security incident waarbij daadwerkelijk data is vrijgegeven. Dit hoeft dan niet persé een datalek volgens de AVG (incl. persoonsgegevens) te zijn.

“Incident vs breach We talk a lot about incidents and breaches and we use the following definitions: Incident: A security event that compromises the integrity, confidentiality or availability of an information asset. Breach: An incident that results in the confirmed disclosure — not just potential exposure — of data to an unauthorized party.”

--

--

Dimitri van Zantvliet

dad, husband, friend, explorer, cyber geek, wonderer..and CISO of Dutch Railways