• Security Incident?
  • +31 88 000 2000
  • +31 88 000 2020
  • support@access42.nl
Access42 logoAccess42 logoAccess42 logoAccess42 logo
  • HOME
  • DIENSTEN
    • CYBER DEFENSE CENTER
      • Prepare
      • Detect
      • Prevent
      • Respond
      • Predict
    • DIENSTEN
      • Incident Response
      • Penetratietest (Pentest)
      • Red Teaming aanval
      • Cyber Security Assessment (CSA)
    • MANAGED SERVICES / OPLOSSINGEN
      • CyberTIM
        • CyberTIM Protect
        • CyberTIM Aware
        • CyberTIM Detect voor Microsoft 365
        • Container Security CSI.2030
      • Nessus
      • Active Directory Security
      • Vulnerability Management
        • Vulnerability Management
        • Web App Scanning
        • OT Security
      • Managed Detectie & Response (MDR / XDR)
        • Endpoint Detection & Response (EDR)
        • Mobile Threat Defense
        • Klaar om de controle over Microsoft (Office) 365-beveiliging terug te nemen?
        • AI-powered netwerk detectie en response
        • API Security
      • Phishing & Triage
      • Thinkst Canary
      • E-Mail Security, Continuity & Archiving
        • E-mail Security 3.0
      • Brand Exploit Protect
      • Delinea – Privileged Access Management
      • Security Monitoring / SOC
  • ACCESS42
    • Over ons
      • ISO/IEC 27001 certificering
      • Disclaimer & Privacy Policy
      • Klachtenprocedure
    • Werken bij Access42
    • Partners
  • EVENTS
  • NIEUWS
  • CONTACT
    • Contact
    • Inschrijven Nieuwsbrief
    • Incident Response
            No results See all results
            BUY NESSUS
            ✕
                      No results See all results
                      • Home
                      • Nieuws
                      • Nieuws Covid-19
                      • Wat hebben we geleerd van 2020 en wat staat ons te wachten in 2021?

                      Wat hebben we geleerd van 2020 en wat staat ons te wachten in 2021?

                      11 januari 2021
                      Categories
                      • Covid-19
                      • Nieuws
                      Tags
                      • 2020
                      • 2021
                      • business email compromise
                      • covid-19
                      • cybersecurity
                      • cybersecurity verzekeringen
                      • identities
                      • office 365
                      • phishing
                      • supply chain
                      • trends

                      Terugkijkend naar 2020 zien we een jaar waarin het cyberdreigingslandschap evolueerde naarmate de COVID-19 pandemie vorderde. In deze blog gaan we in op een aantal noemenswaardige gebeurtenissen en kijken we naar de lessons learned van het afgelopen jaar en wat we aan trends mogen verwachten voor 2021.

                      2020 was het jaar waarin alles veranderde. Door de verschuiving naar thuiswerken gingen veel organisaties hun systemen aanpassen, en omdat de cybersecurity maatregelen vaak achterbleven, maakten adversaries snel gebruik van de zwakke plekken die ze konden vinden.

                      Verschillende (misbruikte) kwetsbaarheden worden hieronder nog eens kort besproken en laten ook gelijk het belang zien van gedegen patch management, maar soms ook mogelijke kanttekeningen. Daarnaast laat het blog ook indirect de (vervelende) “bug branding” trend zien.

                      Citrix-files

                      Het jaar begon omgekeerd, het niet thuis kunnen werken door een ernstige kwetsbaarheid binnen Citrix. Het woord “Citrix-file” is zelfs nog in competitie geweest voor woord van het jaar 2020. De kwetsbaarheid begon al in 2019 als CVE-2019-19781. Dit betrof een (actief geëxploiteerde) RCE-kwetsbaarheid waarmee een Citrix Application Delivery Controller (ADC) kan worden gecompromiteerd. Deze oplossing wordt veelal ingezet als thuiswerkvoorziening en verschillende organisaties zijn als reactie op de kwetsbaarheid gestopt met het faciliteren van thuiswerken waardoor (extra) files werden verwacht. Om het nog gecompliceerder te maken bleken gepubliceerde mitigerende maatregelen niet altijd effectief te zijn.

                      Onder andere de (Nederlandse) onderzoeksraad voor veiligheid doet nog een onderzoek naar aanleiding van dit beveiligingslek.

                      Cable Haunt

                      Verschillende kabelmodems blijken kwetsbaar te zijn voor klassieke buffer overflows. Aanvallen kunnen echter alleen worden uitgevoerd vanaf het lokale netwerk. Onderzoekers ontdekte echter dat deze aanval toch kan worden uitgevoerd vanaf het internet door slim gebruik te maken van WebSocket communicatie.

                      TCP/IP Stacks

                      Ripple20

                      In 2020 zijn 19 kwetsbaarheden in de Treck TCP/IP stack gepubliceerd door het JSOF research lab. Deze TCP/IP stack wordt veelal toegepast in Internet of Things (IoT) en embedded systemen (zoals printers). Soms is sprake van rebranding waardoor niet altijd eenvoudig is vast te stellen of systemen vatbaar zijn.

                      “Bad Neighbor”

                      Ook Microsoft publiceerde in 2020 een kwetsbaarheid in de TCP/IP stack. Bij de afhandeling van ICMPv6 Router Advertisements kon een systeem potentieel worden overgenomen.

                      Zerologon, SIGRed, SMBghost en BlueGate

                      Microsoft heeft in 2020 ook verschillende kritieke kwetsbaarheden in Netlogon, DNS, SMBv3 en RDP moeten melden.

                      Een aantal van deze kwetsbaarheden waren zelfs “wormable”. Dat wil zeggen dat ze ingezet kunnen worden voor de (automatische) verspreiding van malware zonder enige gebruikersinteractie.

                      Solorigate

                      Eind 2020 werd bekend dat adversaries, waarvan werd aangenomen dat ze werden gesponsord door de Russische staat, software hadden gecompromitteerd die was ontwikkeld en werd beheerd door SolarWinds, een leverancier van IT-monitoring- en beheersoftware. Het ging er heftig aan toe: volgens berichten waren de adversaries in staat malware payloads af te leveren die meerdere Amerikaanse overheidsdepartementen in gevaar brachten.

                      Logischerwijs is het advies altijd zo snel mogelijk (stabiele) updates, voor beveiligingsproblemen, toe te passen. Solorigate laat echter zien dat, als het gevolg van een succesvolle supply chain attack, dit ook ongewenste gevolgen kan hebben. Updates van SolarWinds Orion zijn namelijk voorzien van malware. Verschillende organisaties, waaronder ook bijvoorbeeld Microsoft en Cisco, zijn indirect slachtoffer geworden van deze aanval. Als een organisatie gebruikt maakt van de betreffende software is de vraag of er sprake is van collateral damage of dat de organisatie ook zelf het doelwit was. Voor 2021 lijkt het er zelfs op dat het einde van de Solorigate nog niet in zicht is.

                      Diverse bedrijven hebben Indicators of Compromise (IoC’s) gedeeld. Een terugkerende en belangrijke vraag: is er voldoende (historische) loginformatie voorhanden om te kunnen controleren op deze IoC’s?

                      Lessons learned: Deze cyberaanval benadrukte de noodzaak voor organisaties om na te denken over de beveiliging van hun toeleveringsketen, en de potentiële risico’s die worden geïntroduceerd door externe leveranciers.

                      Cybersecurity trends 2021

                      Wij verwachten dat cybercriminelen in 2021 kwetsbaarheden zullen blijven uitbuiten die het gevolg zijn van beperkte middelen en werken op afstand. Hieronder staan een aantal belangrijke bedreigingen waar organisaties zich dit jaar bewust van moeten zijn:

                      Phishing

                      Kwaadaardige e-mails met koppelingen of documenten die malware bevatten, blijven een prominente bedreiging. Criminelen ontwerpen ze om zowel technische als menselijke verdedigingsmechanismen te omzeilen. Phishing-e-mails zullen in 2021 een van de belangrijkste bedreigingsvectoren blijven die hackers gebruiken om zowel ransomware- als BEC-aanvallen (business email compromise) uit te voeren, dit blijkt ook uit de cijfers dat ruim 93% van alle geslaagde aanvallen start met een e-mail. Neem hierbij de universiteit van Maastricht of gemeente Hof van Twente als voorbeeld. Organisaties moeten weten hoe ze zich hier beter tegen kunnen verdedigen door aan de ene kant medewerkers bewuster en alerter te maken en aan de andere kant technische maatregelen te treffen.

                      Ransomware

                      Ransomware zal in 2021 de meest prominente cyberdreiging blijven voor alle organisaties. De tactieken van ransomware exploitanten zullen evolueren om ervoor te zorgen dat ze preventieve- en detectieve middelen en technieken blijven omzeilen en slachtoffers onder druk blijven zetten om te betalen.

                      Er zal steeds meer nadruk komen te liggen op dubbele afpersingsaanvallen (double extorsion) waarbij gegevens online lekken om slachtoffers af te persen, met verder gebruik van sociale media om de druk op slachtoffers te vergroten. Andere tactieken zouden een toenemend gebruik van DDoS (Distributed Denial of Service) kunnen zijn om slachtoffers aan te vallen en hen verder onder druk te zetten om te betalen.

                      Business Email Compromise

                      Business email compromise (BEC) zal in 2021 een grotere bedreiging worden voor alle organisaties. BEC is het bedriegen van organisaties door criminelen die zichzelf in de betalingsketen van bedrijven plaatsen via verschillende methoden, waaronder social engineering, domain spoofing en account takeover. De BEC-tactieken hebben zich in 2020 verder ontwikkeld, onder meer door zich te richten op inboxen van groepen met frauduleuze instructies om betalingsgegevens voor een klant of leverancier te wijzigen. In 2021 kan BEC voor alle organisaties een even grote bedreiging worden als ransomware.

                      Office 365

                      Aanvallen die gericht zijn op gebruikersaccounts voor software-as-a-service (SaaS) zijn een van de snelst groeiende en meest voorkomende problemen voor organisaties, zelfs voordat COVID-19 de enorme en snelle verschuiving naar werken op afstand forceerde. Veel organisaties maken steeds meer gebruik van cloudsoftware en Microsoft domineert de productiviteitsmarkt, met meer dan 250 miljoen actieve gebruikers per maand. Office 365 is voor veel van die gebruikers de basis voor het delen van bedrijfsgegevens, opslag en communicatie, waardoor het een ongelooflijk rijke schatkamer is voor aanvallers.

                      Zelfs met de toenemende invoering van beveiligingsmaatregelen om gebruikersaccounts te beschermen, zoals multifactor authenticatie (MFA), heeft 40 procent van de organisaties nog steeds te lijden van inbreuken op Office 365, wat leidt tot enorme financiële en reputatieverliezen. In een recente studie kwam analistenbureau Forrester Research met ramingen van de kosten van accountovernames op $ 6,5 miljard tot $ 7 miljard aan jaarlijkse verliezen in verschillende sectoren.

                      MS365 aanvallers hebben de volgende ( voor de hand liggende) doelen:

                      • Zoeken naar e-mails, Teams, bestanden met wachtwoorden, financial data, etc
                      • Setup e-mail forwarding om continu zichtbaarheid te houden 
                      • Fraude via vertrouwde communicatie kanalen naar klanten of interne gebruikers
                      • Watering hole attacks: besmetten van standaard bestanden 
                      • Ransomware: versleutelen van bestanden
                      • Exfiltration van waardevolle (e-mail) data

                      Het wordt steeds belangrijker, nu thuis werken het een “nieuw normaal” lijkt te worden, te zorgen voor detectie mogelijkheden binnen Office 365.

                      Iedereen wordt privileged user

                      Vroeger had “privileged access” alleen betrekking op de (domain)administrator- of de root-account (ook wel de “sleutels tot het koninkrijk” genoemd). Maar zoals we weten, ging het bij veel datalekken niet om gecompromitteerde domeinaccounts, maar eerder om privileged accounts van werknemers die toegang hebben tot privileged gegevens.

                      Privileged access is nu uitgebreid tot bijna alle werknemers. Elke gebruiker wordt nu een privilege gebruiker, niet vanwege de autorisatie van de account waarmee ze zijn uitgerust, maar vanwege de toegang tot gevoelige gegevens. Niet alle privileged toegang is gelijk, en daarom moeten organisaties een op risico’s gebaseerde aanpak hanteren en de juiste beveiligingscontroles toepassen op elke gebruiker op basis van de privileged access die zij hebben tot gevoelige data.

                      Supply chain attacks

                      Adversaries zullen zich meer richten op aanvallen op de supply chain in plaats van direct achter grotere doelwitten aan te gaan. Neem als voorbeeld de aanval op Solarwinds. Aanvallen op de supply chain zullen populairder worden in 20021. Aanvallen op de supply chain zullen waarschijnlijk zelfs industrieën treffen die in het verleden zelden zijn getroffen, zoals de vastgoedsector of de gezondheidszorg. Aanvallen eerder in de keten (supply chain) hebben veel meer impact, een hack op een toeleverancier zorgt in potentie voor toegang tot alle afnemers.

                      Gerichte aanvallen op bedrijfskritische sectoren zullen toenemen. Adversaries zullen zich in 2021 in toenemende mate richten op onderzoek, de farmaceutische industrie en de gezondheidszorg. Hoewel ransomware-as-a-service-exploitanten de belangrijkste tegenstanders zullen blijven, zullen industriële spionagegroepen zich waarschijnlijk bij de jacht aansluiten.

                      Cybersecurity Verzekeringen

                      Steeds meer organisaties sluiten een cybersecurity verzekering af om in het geval van bijvoorbeeld ransomware de schade te dekken of eventueel over te gaan tot uitbetaling van het bedrag om data terug te krijgen. Met deze laatste houd je de criminele organisatie in stand, de ransomware loont.

                      De verwachting is dan ook dat grotere organisaties, waarvan je kan of mag aannemen dat ze een Cybersecurity verzekering hebben, vaker worden aangevallen omdat daar de kans op “omzet” het grootst is.

                      Delen
                      1

                      Related posts

                      20 maart 2023

                      Patch Tuesday van maart 2023 (2023-23397, Microsoft Outlook EoP)


                      Read more
                      9 maart 2023

                      De uitdagingen van multi-Cloud compliance


                      Read more
                      20 februari 2023

                      Microsoft heeft last van een niet-werkend spam filter


                      Read more
                      Wat hebben we geleerd van 2020 en wat staat ons te wachten in 2021?
                      Wat hebben we geleerd van 2020 en wat staat ons te wachten in 2021?

                      Wat hebben we geleerd van 2020 en wat staat ons te wachten in 2021?

                      Access42 B.V.
                      Leusderend 38
                      3832RC LEUSDEN

                      CyberDefense Center
                      • Prepare
                      • Detect
                      • Prevent
                      • Respond
                      • Predict
                      Diensten
                      • Phishing as a Service
                      • Penetratietesten
                      • Red Teaming
                      • Nessus
                      • Container Security
                      • OT Security
                      • Vulnerability Management
                      • AI-powered network detection and response
                      • E-mail security
                      • Alle Diensten
                      Over ons
                      • Over Access42
                      • Kernwaarden
                      • Missie en Visie
                      • Werken bij Access42
                      • Partners
                      • Disclaimer en Privacy Policy
                      • Responsible Disclosure
                      Get in touch

                      © 2023 Access42 | Cybersecurity. All Rights Reserved.
                      We use cookies on our website to give you the most relevant experience by remembering your preferences and repeat visits. By clicking “Accept All”, you consent to the use of ALL the cookies. However, you may visit "Cookie Settings" to provide a controlled consent.
                      Cookie SettingsAccept All
                      Manage consent

                      Privacy Overview

                      This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
                      Necessary
                      Always Enabled
                      Necessary cookies are absolutely essential for the website to function properly. These cookies ensure basic functionalities and security features of the website, anonymously.
                      CookieDurationDescription
                      _GRECAPTCHA5 months 27 daysThis cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
                      cookielawinfo-checkbox-advertisement1 yearThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
                      cookielawinfo-checkbox-analytics11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
                      cookielawinfo-checkbox-functional11 monthsThe cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
                      cookielawinfo-checkbox-necessary11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
                      cookielawinfo-checkbox-others11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
                      cookielawinfo-checkbox-performance11 monthsThis cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
                      CookieLawInfoConsent1 yearRecords the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
                      viewed_cookie_policy11 monthsThe cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
                      Functional
                      Functional cookies help to perform certain functionalities like sharing the content of the website on social media platforms, collect feedbacks, and other third-party features.
                      CookieDurationDescription
                      bcookie2 yearsThis cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
                      langsessionThis cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
                      lidc1 dayThis cookie is set by LinkedIn and used for routing.
                      Performance
                      Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.
                      CookieDurationDescription
                      YSCsessionThis cookies is set by Youtube and is used to track the views of embedded videos.
                      Analytics
                      Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics the number of visitors, bounce rate, traffic source, etc.
                      CookieDurationDescription
                      _ga2 yearsThis cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
                      _gat_gtag_UA_116473530_11 minuteThis cookie is set by Google and is used to distinguish users.
                      _gat_UA-116473530-11 minuteThis is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
                      _gid1 dayThis cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
                      Advertisement
                      Advertisement cookies are used to provide visitors with relevant ads and marketing campaigns. These cookies track visitors across websites and collect information to provide customized ads.
                      CookieDurationDescription
                      bscookie2 yearsThis cookie is a browser ID cookie set by Linked share Buttons and ad tags.
                      IDE1 year 24 daysUsed by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
                      prism_4768097571 monthUsed by ActiveCampaign to track usage of newsletters
                      test_cookie15 minutesThis cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
                      VISITOR_INFO1_LIVE5 months 27 daysThis cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
                      yt-remote-connected-devicesneverYouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
                      yt-remote-device-idneverYouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
                      Others
                      Other uncategorized cookies are those that are being analyzed and have not been classified into a category as yet.
                      CookieDurationDescription
                      AnalyticsSyncHistory1 monthNo description
                      CONSENT16 years 7 months 5 days 13 hoursNo description
                      li_gc2 yearsNo description
                      UserMatchHistory1 monthLinkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
                      SAVE & ACCEPT
                      Powered by CookieYes Logo
                      Aanvraag CyberTIM Detect voor Microsoft 365 Trial

                        Download de gratis whitepaper!

                         

                          Inschrijven Webinar Vectra

                            Inschrijving Webinar Cofense

                              Inschrijven Webinar CrowdStrike

                                Start de Mimecast Service vandaag nog!

                                  Start met de Cognito Detect for Microsoft 365 Free Service

                                    Download de Tenable.OT Solution Brief

                                    Name *

                                    Email *


                                    Prijslijst aanvragen

                                     

                                      Meer weten over onze diensten?