80% van de blootstellingen is het gevolg van verkeerde configuraties, minder dan 1% van CVE’s

Een nieuw rapport van XM Cyber ​​heeft – naast andere inzichten – a dramatisch kloof tussen waar de meeste organisaties hun beveiligingsinspanningen op richten en waar de ernstigste bedreigingen zich daadwerkelijk bevinden.

Het nieuwe rapport, Navigating the Paths of Risk: The State of Exposure Management in 2024, is gebaseerd op honderdduizenden aanvalspadbeoordelingen uitgevoerd door het XM Cyber-platform in 2023. Deze beoordelingen brachten meer dan 40 miljoen blootstellingen aan het licht die miljoenen bedrijven troffen. kritische activa. Geanonimiseerde gegevens over deze blootstellingen werden vervolgens aan het Cyentia Instituut verstrekt voor onafhankelijke analyse. Als u het volledige rapport wilt lezen, kunt u het hier bekijken.

E-boekafbeelding

Download het rapport en ontdek:

  • Belangrijkste bevindingen over de soorten blootstellingen waardoor organisaties het grootste risico lopen op inbreuken.
  • De status van aanvalspaden tussen lokale en cloudnetwerken.
  • Top aanvalstechnieken gezien in 2023.
  • Hoe u zich kunt concentreren op wat het belangrijkst is, en hoe u de blootstellingsrisico's met grote impact op uw kritieke activa kunt verhelpen.

De bevindingen werpen een kritisch licht op de aanhoudende overmatige nadruk op het herstellen van CVE’s in cyberbeveiligingsprogramma’s. XM Cyber ​​heeft dat zelfs ontdekt Op CVE gebaseerde kwetsbaarheden zijn verantwoordelijk voor minder dan 1% van het lokale blootstellingslandschap van de gemiddelde organisatie. Zelfs wanneer blootstellingen met een hoge impact worden meegerekend die het risico met zich meebrengen dat bedrijfskritische activa in gevaar komen, vertegenwoordigen deze CVE's nog steeds slechts een klein percentage (11%) van het blootstellingsrisicoprofiel.

Waar ligt het leeuwendeel van het risico eigenlijk? Laten we dieper ingaan op de resultaten:

CVE's: niet noodzakelijkerwijs blootstellingen

Bij het analyseren van de lokale infrastructuur ontdekte het XM Cyber-rapport van de overgrote meerderheid van de organisaties (86%), niet verrassend, dat kwetsbaarheden met uitvoerbare code op afstand (zoals hierboven vermeld) verantwoordelijk waren voor minder dan 1% van alle blootstellingen en slechts 11% van kritische blootstellingen.

Uit het onderzoek blijkt dat verkeerde configuraties van identiteit en inloggegevens maar liefst 80% van de beveiligingsrisico's binnen organisaties vertegenwoordigen, waarbij een derde van deze risico's ervoor zorgt dat kritieke bedrijfsmiddelen direct risico lopen op inbreuk – een gapende aanvalsvector die actief wordt uitgebuit door tegenstanders.

Het rapport maakt dus duidelijk dat het patchen van kwetsbaarheden weliswaar belangrijk is, maar niet voldoende. Meer voorkomende bedreigingen, zoals aanvallers die gedeelde mappen vergiftigen met kwaadaardige code (gedeelde inhoud besmetten) en gemeenschappelijke lokale inloggegevens op meerdere apparaten gebruiken, leggen een veel groter deel van de kritieke activa bloot (24%) vergeleken met CVE's.

Beveiligingsprogramma's moeten dus veel verder gaan dan het patchen van CVE's. Goede praktijken op het gebied van cyberhygiëne en een focus op het beperken van knelpunten en blootstellingen zoals zwak referentiebeheer zijn van cruciaal belang.

Zweet niet op doodlopende wegen, maar ga op jacht naar knelpunten met grote impact

Traditionele beveiliging probeert elke kwetsbaarheid op te lossen, maar het rapport van XM Cyber ​​laat zien dat 74% van de blootstellingen feitelijk een doodlopende weg zijn voor aanvallers, waardoor ze minimale voorwaartse of zijwaartse beweging krijgen. Dit maakt deze kwetsbaarheden, blootstellingen en verkeerde configuraties minder kritisch voor uw herstelinspanningen, waardoor u meer tijd heeft om u te concentreren op de echte problemen die een gevalideerde bedreiging vormen voor kritieke bedrijfsmiddelen.

De resterende 26% van de blootstelling die in het rapport wordt ontdekt, zou tegenstanders in staat stellen hun aanvallen verder te verspreiden richting kritieke activa. De XM Cyber ​​Attack Graph Analysis(™) identificeert de belangrijkste kruispunten waar meerdere aanvalspaden richting kritieke activa samenkomen als “knelpunten”. Het rapport benadrukt dat slechts 2% van de blootstellingen plaatsvindt op ‘knelpunten’. Hierdoor krijgen beveiligingsteams een veel kleinere subset van risicovolle risico's waarop ze hun herstelinspanningen kunnen richten. Deze “knelpunten” zijn geel en rood gemarkeerd in de onderstaande grafiek. Ze zijn vooral gevaarlijk omdat het compromitteren van slechts één ervan een aanzienlijk deel van de kritieke activa kan blootleggen. Uit het rapport blijkt zelfs dat 20% van de knelpunten 10% of meer van de kritieke activa blootlegt. Het identificeren van aanvalspaden en het vinden van knelpunten met een hoog risico kan verdedigers dus meer waar voor hun geld geven, waardoor de risico's veel efficiënter worden verminderd. Bekijk dit artikel voor meer informatie over knelpunten.

Blootstellingen vinden en categoriseren: focus op kritieke activa

Waar bevinden zich de risico's en hoe misbruiken aanvallers deze? Traditioneel wordt het aanvalsoppervlak gezien als alles in de IT-omgeving. Uit het rapport blijkt echter dat voor effectieve beveiliging inzicht nodig is waar waardevolle bezittingen zich bevinden en hoe deze worden blootgesteld.

Het rapport analyseert bijvoorbeeld de verdeling van potentiële aanvalspunten over omgevingen, waarbij wordt vastgesteld dat niet alle entiteiten kwetsbaar zijn (zie onderstaande grafiek). Een meer kritische maatstaf is de blootstelling aan kritieke activa. Cloudomgevingen bevatten de meest kritieke activaposities, gevolgd door Active Directory (AD) en IT-/netwerkapparaten.

Het is de moeite waard om dieper in te gaan op de extreme kwetsbaarheid van organisatorische AD. Active Directory blijft de hoeksteen van het identiteitsbeheer van organisaties, maar het rapport constateert dat 80% van alle geïdentificeerde beveiligingsrisico's vloeien voort uit verkeerde configuraties of zwakke punten van Active Directory. Nog verontrustender is dat een derde van alle kritieke kwetsbaarheden in activa terug te voeren is op identiteits- en inloggegevensproblemen binnen Active Directory.

Wat is hier de afhaalmaaltijd? Beveiligingsteams zijn vaak georganiseerd op basis van kritieke activacategorieën. Hoewel dit voldoende kan zijn om het totale aantal entiteiten te beheren, kan dit het grotere geheel over het hoofd zien. Kritieke blootstellingen, hoewel minder, vormen een veel groter risico en vereisen specifieke aandacht. (Om u op het goede spoor te houden bij het aanpakken van AD-beveiligingsproblemen, raden we u deze handige beveiligingschecklist met best practices voor AD aan.)

Verschillende behoeften voor verschillende industrieën

Het rapport analyseert ook de verschillende cyberveiligheidsrisico’s in verschillende sectoren. Industrieën met een groter aantal entiteiten (potentiële aanvalspunten) hebben doorgaans meer kwetsbaarheden. De gezondheidszorg heeft bijvoorbeeld vijf maal zoveel blootstelling als energie en nutsvoorzieningen.

De belangrijkste risicomaatstaf is echter het aandeel van de blootstellingen die een bedreiging vormen voor kritieke activa. Hier draait het beeld om. Transport en energie hebben een veel hoger percentage kritieke blootstellingen, ondanks dat er over het algemeen minder kwetsbaarheden zijn. Dit betekent dat ze een hogere concentratie aan kritieke activa bevatten waarop aanvallers zich kunnen richten.

De conclusie is dat verschillende industrieën verschillende beveiligingsbenaderingen vereisen. Financiële bedrijven beschikken over meer digitale activa, maar een lager kritisch blootstellingspercentage vergeleken met energie. Het begrijpen van het branchespecifieke aanvalsoppervlak en de bedreigingen waarmee het wordt geconfronteerd, is cruciaal voor een effectieve cyberbeveiligingsstrategie.

Het komt neer op

Een laatste belangrijke bevinding toont aan dat blootstellingsbeheer geen eenmalig of jaarlijks project kan zijn. Het is een steeds veranderend, continu proces om verbeteringen te bewerkstelligen. Maar de huidige overmatige focus op het patchen van kwetsbaarheden (CVE's) leidt tot verwaarlozing van meer voorkomende bedreigingen.

Het huidige veiligheidsecosysteem en het dreigingslandschap zijn niet die van gisteren. Het is tijd voor een paradigmaverschuiving op het gebied van cyberbeveiliging. In plaats van elke kwetsbaarheid te patchen, moeten organisaties prioriteit geven aan de blootstellingen met een hoge impact die aanvallers aanzienlijke voorwaartse en zijwaartse beweging bieden binnen een geschonden netwerk – met speciale aandacht voor de 2% van de blootstellingen die zich op ‘knelpunten’ bevinden waar de belangrijkste zwakheden in het netwerk worden verholpen. uw omgeving zal de meest positieve vermindering van uw algehele risicohouding vertonen.

De tijd is gekomen om verder te gaan dan een check-the-box-mentaliteit en ons te concentreren op echte aanvalsvectoren.

E-boekafbeelding

De bevindingen van het State of Exposure Management-rapport zijn gebaseerd op gegevens van het XM Cyber ​​Continuous Exposure Management Platform die onafhankelijk zijn geanalyseerd door het Cyentia Institute. Vraag hier uw gratis rapport aan.

Opmerking: dit artikel is vakkundig geschreven door Dale Fairbrother, Senior Product Marketing Manager bij XM Cyber.

Thijs Van der Does