Beperkt onderzoek bij 45 organisaties suggereert dat bedrijfsnetwerken vrijwel altijd kraakbaar zijn wanneer een hacker daar zijn zinnen op zet.
Uit tests bij verschillende bedrijfsnetwerken van 45 verschillende organisaties blijkt dat het merendeel kwetsbaar is voor hackers. Die conclusie komt van Positive Technologies, dat uitgebreide penetratietests uitvoerde. Het bedrijf testte verschillende zaken bij de klanten. Bij 93 procent van de onderzochte netwerken lukte het om in gemiddeld twee dagen tijd toegang te krijgen.
Logingegevens
In 71 procent van de gevallen lukte het om het netwerk te kraken via login- en wachtwoordcombinaties. Het ging dan meestal om slechte wachtwoorden die de onderzoekers konden raden. Ook administratorswachtwoorden waren vindbaar. De resultaten illustreren het belang van multifactor-authenticatie. Door een extra factor in het loginproces te introduceren, volstaat een zwak wachtwoord niet voor een aanvaller om toegang te krijgen.
Het valt nog op dat aanvallers in slechts zes procent van de gevallen hun toevlucht moesten zoeken tot zero-day kwetsbaarheden. Wanneer de aanval via bugs of lekken verliep, ging het vrijwel steeds om gekende kwetsbaarheden waarvoor dus al een patch bestond.
Verder blijkt dat de meeste organisaties geen gebruik maken van netwerksegmentatie. Dat maakt het eenvoudiger voor aanvallers om schade aan te richten wanneer ze toch binnen geraken.
Activiteiten verstoren
20 klanten van Positive Technologies vroegen bijkomend voor een check van zogenaamde ‘onacceptabele events’. Dat zijn scenario’s waarin een aanvaller de activiteiten van een bedrijf succesvol kan verstoren. 71 procent van de gecontroleerde events was haalbaar voor een aanvaller. Het duurde enkele dagen tot een maand om de nodige resultaten te boeken.
Positive Technologies merkt nog op dat geen van de 45 bedrijven gewapend was tegen een bedreiging van binnenuit. In alle gevallen kon een insider de volledige controle over de infrastructuur verwerven.
Iedereen hackbaar
De steekproef van Positive Technologies is erg beperkt. Ze geeft verder een indicatie van de kwetsbaarheid van netwerken specifiek wanneer gekwalificeerde aanvallers tijd en moeite investeren om een specifiek doelwit te hacken. De cijfers illustreren enerzijds dat er heel wat marge is om de beveiliging op te krikken. MFA en tijdig patchen zou het beveiligingspostuur al flink ten goede komen. Anderzijds zien we dat 100 procent veiligheid een utopie is. Naast security is het daarom ook een goed idee om in te zetten op detectie en zeker respons na een aanval.