Sophos: gestolen inloggegevens voornaamste oorzaak security-incidenten
Gestolen wachtwoorden en andere inloggegevens zijn de voornaamste oorzaak van security-incidenten, zo stelt antivirusbedrijf Sophos in een rapport gebaseerd op eigen onderzoek. Van alle 413 aanvallen, incidenten en inbraken die de virusbestrijder onderzocht was meer dan 41 procent veroorzaakt door gestolen inloggegevens. Bij bijna 22 procent was misbruik gemaakt van een kwetsbaarheid en 21 procent was het gevolg van een bruteforce-aanval.
"Gecompromitteerde inloggegevens blijven verantwoordelijk voor een meerderheid van de incidenten. Waarom? Thuiscomputers en infostealers", zegt beveiligingsonderzoeker Kevin Beaumont. Een infostealer is malware speciaal ontwikkeld om allerlei inloggegevens van besmette systemen te stelen. Volgens Beaumont krijgen organisaties het meeste waar voor hun geld door overal multifactorauthenticatie (MFA) toe te passen, alles wat bereikbaar is vanaf het internet te patchen en op bruteforce-aanvallen te monitoren.
"Bruteforce en externe remote access is verantwoordelijk voor een groot deel van de incidenten, dat samenhangt met gestolen inloggegevens", gaat Beaumont verder. "Lang verhaal kort, je hebt echt robuuste authenticatie nodig. Als je het verkeerd doet ben je er in 2025 geweest." Ook moeten organisaties ervoor zorgen dat RDP niet vanaf internet toegankelijk is.
Beaumont adviseert ook te monitoren op de volgende software of die te blokkeren: SoftPerfect Network Scanner, AnyDesk, mimikatz, Rclone, WinRAR, Advanced IP Scanner en Advanced Port Scanner. Drie aanvallen zag Sophos het vaakst voorbij komen, namelijk ransomware-aanvallen, inbraken op netwerken en datadiefstal. De geanonimiseerde dataset is beschikbaar gemaakt op GitHub.
Misschien dat bepaalde methoden niet goed werken omdat ze de aanvallen vanaf 10.000 bots uitvoeren ipv 1 machine. Maar dan kan je nog steeds makkelijk vaststellen dat er in korte tijd extreem veel inlogpogingen op een account zijn.
Misschien dat bepaalde methoden niet goed werken omdat ze de aanvallen vanaf 10.000 bots uitvoeren ipv 1 machine. Maar dan kan je nog steeds makkelijk vaststellen dat er in korte tijd extreem veel inlogpogingen op een account zijn.
De persoon met die ene inlogpoging met het juiste wachtwoord kan wel even wachten.
Als de keuze is om een gebruiker beperkte last te laten ervaren omdat er een bruteforce actief is of het account te laten compromiteren, dan weet ik wel waar ik voor kies.
Overigens was ik even vergeten dat je natuurlijk 2FA gebruikt. Maar waar komt dan die 21% vandaan?
Okay, 2FA doe je natuurlijk vooral bij zakelijke accounts en je bank account etc. Niet voor het zoveelste forum waar je op inlogt.
Maar de passwords van die fora zouden geen security incidenten moeten veroorzaken. Zouden er nog zo ongelooflijk veel mensen op een forum van hun hobby hetzelfde password gebruiker als voor het account bij hun werkgever?
Lijkt me geen slecht idee, maar is dat goed doenbaar ?
Volgens mij is het het model heel vaak "de firewall doet de rate limiting,ip block white/black listing" , en die heeft geen inzicht in het account dat geprobeerd wordt .
Dan moet je die feature op de bastion host (hopelijk) inzetten - en nogal wat IT organisaties hebben een silo model , perimeter team doen hun ding, server team doet hun eigen ding ).
De persoon met die ene inlogpoging met het juiste wachtwoord kan wel even wachten.
Als de keuze is om een gebruiker beperkte last te laten ervaren omdat er een bruteforce actief is of het account te laten compromiteren, dan weet ik wel waar ik voor kies.
Overigens was ik even vergeten dat je natuurlijk 2FA gebruikt. Maar waar komt dan die 21% vandaan?
Al die plekken waar dat niet gebruikt wordt...
Okay, 2FA doe je natuurlijk vooral bij zakelijke accounts en je bank account etc. Niet voor het zoveelste forum waar je op inlogt.
Maar de passwords van die fora zouden geen security incidenten moeten veroorzaken. Zouden er nog zo ongelooflijk veel mensen op een forum van hun hobby hetzelfde password gebruiker als voor het account bij hun werkgever?
Als het over brute-force gaat is hergebruikte passwords niet echt het issue.
Maar of het nu brute force of gelekte credentials zijn, dat is waar de 2e factor de last line of defense zou moeten zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
