Volgens ruim driekwart (79%) van de senior security-professionals is er het afgelopen jaar meer voorrang gegeven aan het versnellen van de digitalisering binnen het bedrijf en dat gaat ten koste van goede cyberbeveiliging. De groei aan menselijke en machine-identiteiten in organisaties is voor sercurityteams en -tools nauwelijks bij te benen en hierdoor groeit de achterstand in (financieel) risico. Dit blijkt uit het CyberArk 2022 Identity Security Threat Landscape Report.
Elk IT- of digitaal initiatief resulteert in toenemende interacties tussen mensen, applicaties en processen, waardoor grote aantallen digitale identiteiten ontstaan. Als deze digitale identiteiten onbeheerd en onbeveiligd blijven, kunnen ze een aanzienlijk risico vormen voor cyberbeveiliging. De toename van die vele identiteiten, menselijke en machinale, zijn de oorzaak van een groeiende identiteitsgerelateerde beveiligingsachterstand en dit leidt tot grotere risico's voor organisaties.
Een gemiddeld personeelslid heeft meer dan 30 digitale identiteiten, en machine-identiteiten komen gemiddeld 45 keer meer voor dan menselijke identiteiten. Iets meer dan tweederde (68 procent) van alle niet-menselijke identiteiten of bots heeft toegang tot gevoelige gegevens en bedrijfsmiddelen. Daarnaast wordt door een grote meerderheid (87 procent) geheime data op meerdere plaatsen opgeslagen in DevOps-omgevingen, terwijl 80 procent zegt dat ontwikkelaars doorgaans meer privileges hebben dan nodig is voor hun rol.
Trends als digitale transformatie, cloudmigratie en innovatie bij aanvallers vergroten het aantal toegangspunten tot IT-systemen, de attack surface. Het rapport geeft inzicht in het type cyberdreigingen waarmee beveiligingsteams te maken krijgen. Toegang tot credentials was het belangrijkste risicogebied (volgens 40 procent), gevolgd door ontwijking van verdedigingslinies (31 procent), uitvoering (31 procent), initiële toegang (29 procent) en privilege-misbruik (27 procent). Meer dan 70 procent van de ondervraagde organisaties heeft in het afgelopen jaar te maken gehad met ransomware-aanvallen; gemiddeld twee aanvallen per jaar. Na de SolarWinds-aanval heeft 62 procent niets gedaan om zijn softwareleveringsketen te beveiligen en 64 procent geeft toe dat het compromitteren van een softwareleverancier zou betekenen dat een aanval op hun organisatie niet kan worden tegengehouden.
De recente bedrijfsbrede digitale initiatieven komen tegen een prijs, de zogeheten ‘security debt’. Beveiligingsprogramma's en -tools zijn wel toegenomen, maar hebben geen gelijke tred gehouden met wat organisaties hebben ingevoerd om hun activiteiten aan te sturen en groei te ondersteunen. Deze achterstand is ontstaan door het niet goed beheren en beveiligen van de toegang tot gevoelige gegevens en bedrijfsmiddelen, en een gebrek aan Identity Security controls dat voor verhoogde risico's zorgt. Dit wordt verergerd door de huidige geopolitieke spanningen en oorlogen, die directe gevolgen hebben gehad voor kritieke infrastructuur. Hierdoor werden de fysieke gevolgen van cyberaanvallen benadrukt.
"De afgelopen jaren zijn de uitgaven voor digitale transformatieprojecten omhoog geschoten om te voldoen aan de veranderde eisen van klanten en werknemers", verklaart Udi Mokady, CEO van CyberArk: "De combinatie van een groeiend attack surface, steeds meer identiteiten en achterblijvende investeringen in cyberbeveiliging, de security debt, stelt organisaties bloot aan steeds meer risico's. Risico’s die al groot waren door de toegenomen ransomware-dreigingen en kwetsbaarheden in de softwareleveringsketen. Deze dreiging vereist een benadering waarbij beveiliging voorop staat bij het beschermen van identiteiten; een benadering die in staat is om de innovatie van aanvallers te overtreffen."
Tegenmaatregelen
Het rapport geeft ook aanbevelingen om de achterstand om te buigen. Hierbij is transparantie bevorderen het belangrijkste: 85 procent is van mening dat een zogenoemde Software Bill of Materials de risico’s in de softwareleveringsketen zou verminderen.
Daarnaast zijn strategieën nodig om toegang te gevoelige data en systemen beter te beheren. De top drie maatregelen die de meeste CIO's en CISO's uit de enquête hebben ingevoerd (of van plan zijn in te voeren) zijn real-time monitoring en analyse om alle geprivilegieerde sessieactiviteit te controleren; least privilege security / Zero Trust-principes op infrastructuur waarop bedrijfskritische applicaties draaien; en processen om bedrijfskritische applicaties te isoleren van met internet verbonden apparaten om laterale bewegingen te beperken.
Verder wordt er prioriteit gegeven aan Identity Security Controls om Zero Trust principes af te dwingen. De top drie van strategische initiatieven om Zero Trust principes te versterken zijn workload security; Identity Security tools; en data security.