Zes security voorspellingen voor 2022 van WatchGuard Technologies
Hoewel de wereldwijde pandemie veel landen, bedrijven en persoonlijke levens stillegde, bleef het op het gebied van cybercriminaliteit allesbehalve stil. Het hybride werken gaf cybercriminelen nieuwe ingangen. Inmiddels is de toenemende onrust in Oost-Europa daar nog bijgekomen. Wat heeft dit jaar voor ons in petto en hoe bereiden we ons daarop voor? Martijn Nielen, senior sales engineer bij WatchGuard Technologies, doet zes securityvoorspellingen voor 2022.
1. Meer aanvallen op mobiele apparaten
Mobiele malware bestaat zeker, maar het komt nog niet op dezelfde schaal voor als traditionele desktopmalware, merkt Nielen. “Dat komt deels doordat mobiele devices zijn ontworpen met een beveiligd mechanisme. Hierdoor is het lastiger voor cybercriminelen om 'zero touch'-bedreigingen te creëren: bedreigingen waar geen interactie met het slachtoffer voor nodig is. Maar er bestaan zeker kwetsbaarheden die deze apparaten vanaf een afstand alsnog kunnen treffen, iets dat dankzij Pegasus-software ook in 2022 alweer een paar keer in het lokale nieuws kwam.”
Volgens Nielen vormen mobiele devices – vanwege hun functionaliteiten en de informatie die ze bevatten – een zeer aanlokkelijk doelwit voor (staats)hackers. “We zullen in 2022 daarom wel meer aanvallen op mobiele apparaten tegenkomen. Als er bovendien aanvalsmethoden lekken, zoals bij Stuxnet, kunnen criminele organisaties daar lering uit trekken en technieken kopiëren. Dit vergroot de kans op meer soortgelijke aanvallen vanuit de digitale onderwereld.”
2. Hackers richten hun pijlen op de ruimte
Met een hernieuwde focus van de Amerikaanse overheid en het bedrijfsleven op de ‘Space Race’ en recent cyberbeveiligingsonderzoek naar kwetsbaarheden in satellieten, is een hack op een van de systemen in de ruimte in 2022 zeker niet ondenkbaar. Nielen: “Hoewel satellieten voor de meeste bedreigingen buiten bereik lijken, is gebleken dat het niet onmogelijk is ermee te communiceren. Dit kan al met simpele apparatuur ter waarde van zo’n 270 euro. Houd er wel rekening mee dat dit vooral geldt voor oudere satellieten waarop moderne beveiligingscontroles nog niet uitgevoerd konden worden. Hierdoor kunnen de resultaten van de tests onbetrouwbaar zijn.”
Ondertussen nemen veel particuliere bedrijven deel aan de ruimtewedloop, wat het aanvalsoppervlak aanzienlijk vergroot. “Bedrijven als Starlink lanceren duizenden satellieten. Door deze ontwikkelingen en de waarde van dergelijke systemen voor economieën en samenleving, vermoeden we dat regeringen stilletjes hun cyberdefensiecampagnes in de ruimte al zijn begonnen.”
3. SMSishing via verschillende platforms
Op tekst gebaseerde phishing, ook wel SMSishing genoemd, is in de loop der jaren gestaag toegenomen. “Net als social engineering via e-mail, begon deze trend met ongerichte phishingberichten die naar grote groepen gebruikers werden gespamd. De laatste tijd is deze aanvalsvorm geëvolueerd naar meer gerichte berichten van mensen die zich voordoen als iemand die je kent”, geeft Nielen aan.
“Tegelijkertijd zijn de platforms die we gebruiken voor korte sms-berichten doorontwikkeld”, vervolgt hij. “Gebruikers zijn meer bewust van de onveiligheid van sms-berichten via standaard apps van Android en iPhone. Dit heeft ertoe geleid dat velen hun zakelijke sms-berichten nu versturen via alternatieve apps zoals WhatsApp, Facebook Messenger, Teams of Slack.”
“Uiteraard volgen ook cybercriminelen zulke ontwikkelingen. Hierdoor zien we een toename van kwaadaardige spear-SMSishing berichten naar platforms zoals WhatsApp. We raden bedrijven dan ook aan om protocollen op te stellen waarmee medewerkers de authenticiteit op meerdere manieren kunnen controleren. We verwachten dat het aantal gerichte phishingberichten via berichtenplatforms in 2022 zal verdubbelen.”
4. ‘Passwordless’ authenticatie is niet sterk genoeg
Met Windows 10 en 11 is het mogelijk authenticatie zonder wachtwoord in te stellen, met opties als Hello, Fido-hardtoken of een e-mail met een eenmalig wachtwoord (OPT). Nielen: “Hoewel we Microsoft prijzen voor de gewaagde stap, brengt het gebruikers terug naar een single-factor authenticatiemechanisme en daarmee samenhangende risico’s. Biometrie is geen onverslaanbare beveiliging. Natuurlijk, de technologie wordt beter, maar aanvalstechnieken evolueren ook.”
Toch blijft multifactorauthenticatie (MFA) een onmisbare extra beveiligslaag, vindt hij. “Microsoft en anderen hadden dit probleem kunnen oplossen door MFA verplicht en gemakkelijk te maken in Windows. Je kunt Hello nog steeds gebruiken als een gemakkelijke authenticatiefactor, maar organisaties moeten gebruikers dwingen om het te koppelen met een andere validatie, zoals een push-goedkeuring naar je mobiele telefoon die via een gecodeerd kanaal wordt verzonden.”
“GDPR-regelgeving in de EU dwingt al MFA af. Zo zijn onder meer de medische sector, overheidsinstellingen en commerciële bedrijven beboet vanwege het gebrek aan een goede MFA-implementatie. Onze voorspelling is echter dat bedrijven Windows-verificatie zonder wachtwoord steeds vaker gaan toepassen. Maar hackers zullen manieren vinden om dit te omzeilen. Daarmee zijn we weer terug bij af”, vindt Nielen.
5. Meer cyberverzekering ondanks stijgende kosten
Sinds de opkomst van ransomware in 2013 zijn de uitgekeerde vergoedingen van cyberbeveiligingsverzekeraars flink omhoog gegaan. Volgens een rapport van S&P Global is de schaderatio van cyberverzekeraars in 2020 meer dan 72 procent gestegen. Dit resulteerde in een stijging van de premies voor op zichzelf staande cyberverzekeringen met 28,6 procent, tot ruim 1,4 miljard euro. Nielen: “Hierdoor hebben verzekeraars de beveiligingsvereisten voor klanten aanzienlijk verhoogd. Niet alleen is de prijs van verzekeringen gestegen, maar verzekeraars scannen en controleren nu actief de beveiliging van klanten voordat ze cyberbeveiligingsgerelateerde dekking bieden.”
“Wie in 2022 niet over de juiste bescherming beschikt, krijgt mogelijk geen cyberverzekering voor een geschikte prijs of zelfs helemaal niet. Net als andere regelgeving en nalevingsnormen, zal die houding van verzekeraars op beveiliging en auditing bedrijven in 2022 dwingen om hun verdediging te verbeteren.”
6. Zero trust wordt eindelijk populair
“De meeste beveiligingsprofessionals geven gebruikers het minimaal benodigde toegangsniveau voor het uitvoeren van hun taken. Helaas is dit niet genoeg gebleken om alle hackers te weren”, geeft Nielen aan. “In de afgelopen decennia hebben we gezien hoe gemakkelijk aanvallers zelf hun toegangsniveau kunnen verhogen op het moment dat ze een systeem zijn binnengedrongen.”
De populariteit van ‘zero trust’ stijgt. Nielen: “Zero trust komt neer op de aanname dat aanvallers al binnen zijn. Je gaat er dan vanuit dat een van uw bedrijfsmiddelen of gebruikers al is gecompromitteerd. Vervolgens worden netwerk- en beveiligingslagen dusdanig ontworpen dat het de kans op besmetting van meer kritieke systemen verkleint. Deze architectuur is echter niet nieuw en is gebouwd op al lang bestaande beveiligingsprincipes van sterke identiteitsverificatie.”
“Dit wil niet zeggen dat zero trust een modewoord of onnodig is. Integendeel, het is precies wat organisaties hadden moeten doen sinds zij netwerken gingen gebruiken. We voorspellen dat in 2022 de meerderheid van de organisaties deze oude beveiligingsconcepten eindelijk over hun hele netwerk zal toepassen.”
