Wat is het meest voorkomende oorsprongspunt van ransomware-aanvallen volgens het rapport?

Het rapport stelde vast dat 57% van de ransomware-aanvallen afkomstig was van externe of hybride endpoint-apparaten. Dit maakt externe endpoints het dominante aanvalspatroon bij ransomware-incidenten in ondernemingen.

58% van de CISO's zou losgeld betalen terwijl externe endpoints aanvallen aandrijven

Q: Welk percentage van de CISO's zei dat ze zouden overwegen losgeld te betalen?

Volgens het Absolute Security-rapport zei 58% van de Chief Information Security Officers dat ze zouden overwegen losgeld te betalen om een aanval te beëindigen. Operationele downtime werd aangehaald als de voornaamste drijfveer achter deze bereidheid.

Q: Waarom zegt het artikel dat de bereidheid van CISO's om losgeld te betalen een operationeel probleem is in plaats van een moreel probleem?

Het artikel stelt dat wanneer CISO's zeggen dat ze zouden betalen, ze erkennen dat hun herstelmogelijkheden mogelijk niet toereikend zijn om de downtime na een grote aanval op te vangen. Dit herformuleert de kwestie als een voorbereidingsprobleem in plaats van louter een morele of juridische vraag.

58% van de CISO's zou losgeld betalen terwijl externe endpoints aanvallen aandrijven

Een nieuw rapport van Absolute Security heeft een precies getal gesteld op een probleem waar beveiligingsprofessionals al jaren omheen cirkelen: ransomware-bescherming van externe endpoints via VPN is niet langer optioneel voor gedistribueerde personeelsbestanden. Volgens het onderzoek zou 58% van de Chief Information Security Officers overwegen losgeld te betalen om een aanval te beëindigen, waarbij operationele downtime wordt aangehaald als de voornaamste drijfveer. Misschien nog opvallender: 57% van de ondervraagde ondernemingen meldde dat ransomware-aanvallen afkomstig waren van externe of hybride endpoint-apparaten. Samen schetsen die twee cijfers een duidelijk beeld van waar de bedrijfsbeveiliging tekortschiet en wat het kost wanneer dat gebeurt.

Hoe externe en hybride endpoints het favoriete toegangspunt van ransomware zijn geworden

De verschuiving naar gedistribueerd werken creëerde een uitgestrekt aanvalsoppervlak dat veel organisaties nooit volledig in kaart hebben gebracht, laat staan beveiligd. Externe endpoints — of het nu gaat om laptops van medewerkers die verbinding maken vanuit thuisnetwerken, apparaten van aannemers op openbare wifi, of hybride werkers die wisselen tussen kantoor- en externe omgevingen — bevinden zich vaak buiten het directe zichtbereik van bedrijfsbeveiligingsteams. Ze draaien mogelijk verouderde software, gebruiken zwakke authenticatie, of maken via onjuist geconfigureerde tunnels verbinding met bedrijfssystemen.

Aanvallers hebben dit opgemerkt. Remote Desktop Protocol (RDP)- en VPN-inloggegevens behoren nog steeds tot de meest misbruikte initiële toegangsvectoren bij ransomware-campagnes, en endpoint-apparaten zijn vaak de eerste dominosteen die valt. Zodra één enkel extern apparaat is gecompromitteerd, gebruiken aanvallers het als voet aan de grond om lateraal door het netwerk te bewegen, rechten te escaleren en ransomware-payloads te implementeren voordat de meeste organisaties tijd hebben de inbraak te detecteren. De bevindingen van Absolute Security, waaruit blijkt dat 57% van de aanvallen terug te voeren is op externe of hybride endpoints, bevestigen dat dit geen marginaal risico is. Het is het dominante aanvalspatroon.

De gevolgen van dat patroon reiken veel verder dan individuele organisaties. De ChipSoft-ransomware-aanval die Nederlandse patiëntgegevens blootlegde illustreert wat er gebeurt wanneer aanvallers met succes van een endpoint naar een systeem doordringen dat op grote schaal gevoelige gegevens bevat. Gezondheidszorg, financiën en kritieke infrastructuur worden allemaal geconfronteerd met samengesteld risico naarmate hun personeelsbestanden meer gedistribueerd raken.

Waarom 58% van de CISO's bereid is te betalen en wat dat zegt over voorbereiding

De bereidheid om losgeld te betalen wordt vaak geframed als een morele of juridische kwestie, maar de gegevens van Absolute Security herformuleren het als een operationele kwestie. Wanneer 58% van de CISO's zegt te overwegen te betalen, onderschrijven ze geen criminele activiteit. Ze erkennen dat hun herstelmogelijkheden mogelijk niet toereikend zijn om de downtime na een grote aanval op te vangen zonder aanzienlijke financiële en reputatieschade te accepteren.

Dat is een voorbereidingsprobleem. Organisaties met robuuste, geteste back-up- en herstelinfrastructuur, gecombineerd met sterke incidentresponsplannen, hebben veel minder kans om in een situatie te belanden waarin betalen als de enige optie aanvoelt. Het feit dat meer dan de helft van de ondervraagde beveiligingsleiders het zou overwegen, suggereert dat veel ondernemingen onvoldoende voorbereid blijven, met name wanneer de aanval afkomstig is van een endpoint dat buiten de traditionele beveiligingsperimeters valt.

Het weerspiegelt ook hoe kostbaar downtime is geworden. Toeleveringsketens, klantgerichte diensten en interne operaties zijn allemaal afhankelijk van continue toegang tot systemen en gegevens. Wanneer ransomware die systemen vergrendelt, heeft elk uur hersteltijd een meetbare dollarwaarde. Die berekening — niet morele souplesse — is wat beslissingen over losgeldbetalingen drijft. En zoals de e-mailcompromittering van de FBI-directeur duidelijk maakte, is geen enkele organisatie of persoon categorisch immuun voor gerichte aanvallen.

Hoe VPN-infrastructuur het aanvalsoppervlak en het risico op laterale beweging vermindert

Een goed geïmplementeerde VPN is geen wondermiddel, maar het is een fundamentele laag die, indien correct geconfigureerd, de blootstelling die externe endpoints creëren aanzienlijk vermindert. Versleutelde tunnels voorkomen het onderscheppen van inloggegevens op onbeveiligde netwerken. Netwerksegmentatie die via VPN-beleid wordt afgedwongen, beperkt hoe ver een aanvaller zich kan bewegen zodra hij binnen is. En gecentraliseerde authenticatievereisten betekenen dat gecompromitteerde apparaten minder snel onopgemerkt door het netwerk kunnen bewegen.

Het cruciale woord is "correct." VPN-configuraties die afhankelijk zijn van enkelvoudige authenticatie, die brede netwerktoegang verlenen in plaats van beperkte rechten, of die langdurig ongepatcht blijven, kunnen zelf aanvalsvectoren worden. Het principe van minimale rechten, toegepast op de VPN-laag, betekent dat een gecompromitteerd endpoint alleen de specifieke bronnen kan bereiken die het nodig heeft — niet het volledige bedrijfsnetwerk. Het combineren van VPN-toegang met meervoudige authenticatie en endpoint-gezondheidscontroles vóór verbinding creëert een betekenisvolle barrière die aanvallers vertraagt en verdedigers tijd geeft om te reageren.

Voor hybride personeelsbestanden in het bijzonder is consistente handhaving van VPN-beleid op alle apparaattypen — inclusief persoonlijke apparaten die voor werk worden gebruikt — essentieel. Het aanvalsoppervlak dat het Absolute Security-rapport beschrijft is deels een handhavingstekort in beleid, net zozeer als een technisch probleem.

Wat gedistribueerde teams nu kunnen doen om hun endpoints te verharden

De bevindingen van Absolute Security zijn een aansporing tot actie, niet alleen tot reflectie. Organisaties met gedistribueerde personeelsbestanden kunnen concrete stappen ondernemen om het risico te verminderen dat externe endpoints vormen.

Controleer uw endpoint-inventaris. U kunt niet beschermen wat u niet kunt zien. Een complete, actuele inventaris van elk apparaat dat verbinding maakt met bedrijfssystemen — inclusief apparaten van aannemers en persoonlijke apparaten — is het startpunt voor elke endpoint-beveiligingsstrategie.

Dwing MFA af op alle VPN-verbindingen. Deze enkele maatregel elimineert een aanzienlijke categorie van op inloggegevens gebaseerde aanvallen. Gestolen wachtwoorden alleen mogen niet voldoende zijn om externe toegang te verkrijgen.

Segmenteer netwerktoegang per rol. In plaats van externe gebruikers brede netwerktoegang te verlenen, configureert u VPN-beleid zodat elke gebruiker of apparaatklasse alleen de systemen kan bereiken die relevant zijn voor hun functie. Dit beperkt laterale beweging als een apparaat wordt gecompromitteerd.

Patch endpoints en VPN-infrastructuur consequent. Veel spraakmakende ransomware-inbraken maken misbruik van bekende kwetsbaarheden waarvoor al patches beschikbaar zijn. Geautomatiseerd patchbeheer elimineert de menselijke vertraging waarop aanvallers rekenen.

Test uw herstelplan. Als een ransomware-aanval vandaag uw meest kritieke systemen zou treffen, hoe lang zou herstel dan duren? Het regelmatig uitvoeren van tafeloefeningen en herstelrestauratietests van back-ups is de enige manier om die vraag eerlijk te beantwoorden en de hiaten te dichten voordat ze van belang zijn.

Het Absolute Security-rapport is een nuttige benchmark voor waar de bedrijfsbeveiliging momenteel staat op het gebied van ransomware-paraatheid. De cijfers zijn ontnuchterend: een meerderheid van de aanvallen begint bij externe endpoints en een meerderheid van de beveiligingsleiders voelt dat betaling onvermijdelijk kan zijn. Maar ze wijzen ook direct op wat er moet veranderen. Endpoint-zichtbaarheid, afgedwongen VPN-beleid en geteste herstelmogelijkheden zijn geen exotische maatregelen. Ze zijn de basislijn die elke gedistribueerde organisatie zou moeten kunnen verifiëren. Evalueren of uw huidige configuratie daadwerkelijk aan die norm voldoet, is de juiste plek om te beginnen.

58% van de CISO's zou losgeld betalen terwijl externe endpoints aanvallen aandrijven

Hoe externe en hybride endpoints het favoriete toegangspunt van ransomware zijn geworden

Waarom 58% van de CISO's bereid is te betalen en wat dat zegt over voorbereiding

Hoe VPN-infrastructuur het aanvalsoppervlak en het risico op laterale beweging vermindert

Wat gedistribueerde teams nu kunnen doen om hun endpoints te verharden

// FAQ

// Gerelateerd