Bedrijven die gehackt zijn en zich alleen op de computers met malware richten missen de helft van de computers waar de aanvallers toegang toe hebben. Dat beweert Richard Bejtlich, beveiligingsonderzoeker en Chief Security Officer van het Amerikaanse beveiligingsbedrijf Mandiant. Hij waarschuwt dat bedrijven waar een incident heeft plaatsgevonden verder moeten kijken dan alleen infecties.

"Hoeveel van de onderneming is in handen van de aanvallers? Tot hoeveel computers hadden de aanvallers toegang? Hoeveel data is bekeken, gestolen, gewijzigd of gemanipuleerd?" zijn vragen die volgens Bejtlich de aard en snelheid van de 'schoonmaakactie' bepalen.

Toegang
Uit eigen onderzoek zou blijken dat aanvallers gemiddeld de helft van de systemen infecteren waar ze toegang toe hebben. Door zich alleen op malware te richten missen bedrijven de helft van de aanval en blijven de aanvallers toegang tot de infrastructuur hebben.

Voor aanvallers is het verstandig om zo snel als mogelijk met malware te stoppen. "Het is veel effectiever voor de aanvaller om dezelfde toegangsmiddelen als normale werknemers te gebruiken, zoals inloggegevens en VPN-toegang", gaat de CTO verder.

Deze toegangsmiddelen worden door het bedrijf zelf ondersteund en zouden lastiger om ongeautoriseerde toegang te auditen zijn, afhankelijk van de omvang en complexiteit van de organisatie.