Volgens betrouwbaar onderzoek duurt het ongeveer 277 dagen alvorens een bedrijf doorheeft dat criminelen zich een weg naar binnen forceerden. Al klopt dat niet helemaal.
Volgens het jaarlijkse Cost of a data breach-rapport van IBM duurt het in 2022 gemiddeld 277 dagen alvorens een organisatie ontdekt dat ze gehackt is. Dat klopt, maar eigenlijk ook niet. “Eigenlijk geldt dat cijfer enkel voor aanvallen gesponsord door natiestaten”, zegt Simen Van der Perre, Strategic Advisor bij Orange Cyberdefense.
Voor hacks zoals SolarWinds vorig jaar klopt dat cijfer inderdaad, maar dergelijke aanvallen zijn minder alomtegenwoordig dan diegene uitgevoerd door klassieke criminelen. “En zij doen er geen negen maanden over”, weet Van der Perre.
Wel een beetje tijd
Het klopt wel dat er doorgaans heel wat tijd zit tussen een initiële inbraak en het moment dat de schade aan het licht komt. Die tijd hebben criminelen nodig om zo subtiel mogelijk door het gekraakte netwerk te bewegen, data te verzamelen, gevoelige gegevens te stelen en eventuele wapens zoals ransomware in stelling te brengen.
“Die tijd heb je om actie te ondernemen”, weet Van der Perre. Meteen na een hack zal er meestal nog niet zo veel gebeuren. Met de juiste detectietools kan je de dagen of zelfs weken daarna verdachte verbindingen detecteren en een indringer eventueel buitensmijten voor er echt schade is. Maar verwacht niet dat een doorsnee aanvaller 277 dagen ongezien op je netwerk zal rondsnuffelen.
Tot 90 dagen
“Een gemiddelde aanval neemt twee tot drie maanden in beslag”, stelt Van der Perre. Heb je tegen dan niets gedetecteerd, dan zal de aanvaller je er zelf wel attent op maken. Denk maar aan een ransomwarebericht wanneer je data eindelijk versleuteld is, je back-up ontoegankelijk is en de kredietkaartgegevens van je klanten in de vitrine staan op het dark web.
De 277 dagen zijn in dat geval niet aan de orde. Klassieke cyberaanvallen werken op een ander tijdsschema. Je hebt doorgaans wel enkele dagen of weken om laterale bewegingen in je netwerk te detecteren voor een aanvaller alles gemobiliseerd heeft, maar meer niet. De context is natuurlijk ook anders. Bij een hack als SolarWinds maken staatsgesponsorde hackers gebruik van technieken en kwetsbaarheden die niet gekend zijn.
Detectie is de sleutel
Niet zo wanneer een klassieke aanval op jouw netwerk plaatsvindt. Al wil dat niet zeggen dat jij al gewapend bent tegen de aanval. “Het duurt gemiddeld dertig dagen voor de ontdekking van een exploit voor die gepatcht wordt”, verduidelijkt Van der Perre. “Maar aanvallers hebben maar twaalf dagen nodig om van een nieuwe zeroday tot een aanval te komen.”
lees ook
De 5 fases van een cyberaanval: wanneer kan je nog tussenkomen en wanneer is het te laat?
“87 procent van de organisaties kan een succesvolle aanval vervolgens niet detecteren”, weet Van der Perre. Dan begint de klok te tikken, en de wekker gaat na zestig tot negentig dagen, niet na 212 dagen. Het beste wapen tegen een cyberaanval zijn eigen adequate detectiecapaciteiten, die je in staat stellen om een hacker buiten te smijten voor die schade aanricht.