Het risicolandschap in 2020: een wereld die veranderd is door de lockdown

In het Cloud and Threat Report van Netskope (augustus 2020) ontdekken we wat dit nieuwe gedrag betekent voor het web- en cloudverkeer dat van en naar apparaten en systemen van bedrijven gaat. Door het dataverkeer van miljoenen wereldwijde gebruikers te bekijken, zouden bedrijven zich bewuster kunnen worden van de potentiële gevaren en risico’s die de nieuwe werkmodellen met zich meebrengen. Voor securityteams bij Netskope-klanten is deze informatie tot op gebruikersniveau beschikbaar, maar voor degenen die hun gebruikersbestand niet tot in detail kunnen bekijken, zijn ook de geaggregeerde gegevens waardevol. Het geeft namelijk een indicatie van waarschijnlijke gebeurtenissen.

Wat vertellen de data ons? Om te beginnen dat 64 procent van alle werknemers wereldwijd momenteel op afstand werkt (een stijging van 148 procent ten opzichte van vóór de pandemie) en dat daarmee het persoonlijke gebruik van beheerde apparaten is gestegen met 97 procent.

Misschien wel de meest alarmerende trend: het gebruik van beheerde apparaten voor toegang tot risicovolle apps en websites is gedurende de wereldwijde lockdowns bijna verdubbeld (stijging van 161 procent). Het aantal gebruikers dat op door de werkgever beheerde apparaten naar porno kijkt – sowieso al een risicovol deel van het web – steeg met 600 procent.

Een veel openlijker gevoerde discussie gaat over de inzet van bedrijfsapparatuur door gezinsleden voor het thuisonderwijs. Vaak is de laptop van de baas de enige manier om de kinderen te kunnen laten meedoen aan het online onderwijs dat scholen in allerijl hebben opgetuigd. Dit delen van bedrijfsapparatuur is ook iets wat wij bij Netskope terugzien in de data. Het gebruik van onderwijsapps lag na het instellen van de lockdowns vier keer zo hoog als gemiddeld. In de zomer nam dit weer af, om eind augustus – toen de leerlingen weer naar school gingen – weer 4,5 keer zo hoog te liggen. De meest populaire onderwijs-app is Google Classroom, de grote schuldige van deze toename.

Het mag geen verrassing heten dat uit de data ook blijkt dat het gebruik van collaboratie-apps gedurende de lockdowns enorm is toegenomen (met 80 procent). Hoewel in sommige landen bedrijven gestimuleerd werden om weer terug te gaan naar normaal (zij het een ‘nieuw normaal’), verwachten wij niet dat het gebruik van deze apps veel zal afnemen. In het nieuwe normaal lijkt werken op afstand volledig geaccepteerd te zijn, zodat er minder mensen op kantoor hoeven te zijn en gebruik moeten maken van het openbaar vervoer. Ook zullen er waarschijnlijk steeds vaker evenementen en netwerkbijeenkomsten worden georganiseerd waarbij internationaal reizen niet meer nodig is; internationale reisrestricties maken het regelmatig wereldwijd reizen op de middellange termijn onmogelijk.

Tot zover vanuit het gezichtspunt van de gebruiker. Maar is het dreigingslandschap ook veranderd?

De totale hoeveelheid malware die zowel via de cloud als het web is verspreid, is in de eerste helft van 2020 met 7 procent gestegen. Het toont aan dat bepaalde lieden steeds vaker brood zien in illegale activiteiten.

Net als hun doelwitten, stappen ook criminelen steeds vaker over op de cloud (waarbij deze gebruikt wordt als infrastructuur en toegangspunt voor aanvallen). De twee meest gebruikte technieken zijn daarbij cloudphishing en malware in de cloud. Malware in de cloud heeft tussen februari en augustus zijn voorsprong op webmalware met 4 procent vergroot tot 63 procent, waaruit blijkt dat traditionele webgateways niet langer een nuttige verdediging vormen tegen bijna twee derde van de malwarepogingen.

Er is een Frans gezegde ‘plus ça change, plus c’est la même chose’ (hoe meer er verandert, hoe meer dingen hetzelfde blijven). Ondanks de toename in het persoonlijke gebruik van beheerde apparaten en toegang tot risicovolle websites, blijven de populairste bedrijfsapplicaties in de cloud de belangrijkste leveringsmethode voor cloud-enabled bedreigingen en malware. De cloudapps en -diensten waarin Netskope in de eerste helft van 2020 de meeste malwaredownloads heeft geblokkeerd, waren (op volgorde van kwaadwillend gebruik) Microsoft Office 365 OneDrive for Business, SharePoint, Box, Google Drive en Amazon S3.

Het percentage phishingpogingen via cloudapplicaties bleef stabiel op 15 procent, waarbij verschillende applicaties werden gebruikt om het lokaas te bezorgen: cloudopslag, webmail, webhosting, en socialmedia-apps. De top vijf apps die voor phishing zijn gebruikt zijn Microsoft Office 365 OneDrive for Business, Microsoft Live Outlook, Blogger, AOL Mail en Facebook.

In het voorlaatste Cloud and Threat Report van Netskope (februari 2020) wordt gemeld dat 33 procent van alle gebruikers gegevens overdraagt van de ene app naar de andere. Inmiddels beschikken we over meer gedetailleerde informatie, waaruit blijkt dat 7 procent van alle gebruikers gevoelige gegevens (zoals gereguleerde data, broncode of vertrouwelijke bedrijfsgegevens) heeft overgedragen naar persoonlijke apps. Apps voor cloudopslag en webmail zijn het populairst voor het uploaden van gevoelige gegevens. Gevoelige data die het meest naar persoonlijke apps wordt geüpload zijn beschermde gezondheidsinformatie (PHI), persoonlijk identificeerbare informatie (PII), broncode en vertrouwelijke bedrijfsgegevens.

Een andere nieuwe statistiek in dit rapport: 14 procent van alle geüploade bestanden betreft afbeeldingen die gevoelige data zouden kunnen bevatten. Het benadrukt de behoefte aan beveiligingssystemen die in het kader van gegevensbescherming afbeeldingen kunnen detecteren en classificeren.

Zoals altijd biedt het Cloud and Threat Report een waardevol inkijkje in het gedrag van gebruikers én cybercriminelen. Het gebruik van cloud groeit nog steeds en maakt een aanzienlijk deel uit van de cyberruimte waarin organisaties zich bewegen. Het vele thuiswerken heeft gezorgd voor een verschuiving van veiligheidscontroles naar identiteit, apps en data. Op afstand werken betekent alleen maar meer risico – het persoonlijke gebruik van beheerde apparaten thuis neemt toe waarbij de online activiteiten voor zowel werk als privé sterk door elkaar lopen.

Cybercriminelen blijven misbruik maken van de meest vertrouwde en populaire cloudapps door gebruik te maken van vertrouwde domeinen, geldige certificaten en het feit dat populaire apps makkelijker worden toegelaten om zo de interne beveiliging te omzeilen. Allow/deny volstaat niet meer nu data veel grenzen binnen cloud- en webprocessen overschrijdt.