‘Werknemerstraining en rapportage van e-mails belangrijker naarmate aantal gerichte aanvallen toeneemt’

  1. 23 jan 2020
  2. 0 reacties

phishing2

Proofpoint presenteert zijn zesde jaarlijkse State of the Phish-rapport. Dit rapport gaat dieper in op de kennis, kwetsbaarheid en weerstand van gebruikers met betrekking tot phishing. Een van de belangrijkste bevindingen is dat bijna 90 procent van de ondervraagde organisaties wereldwijd het doelwit was van Business Email Compromise (BEC)- en spear phishing-aanvallen. Dit geeft aan dat cybercriminelen zich blijven richten op individuele eindgebruikers. 78 procent gaf ook aan dat trainingen op het gebied van veiligheidsbewustzijn resulteerden in een verminderde kwetsbaarheid voor phishing. 

In Proofpoints jaarlijkse State of the Phish-rapport worden gegevens geanalyseerd van bijna 50 miljoen gesimuleerde phishing-aanvallen bij Proofpoint-klanten in het afgelopen jaar. Daarnaast bevat het rapport antwoorden van meer dan zeshonderd informatiebeveiligers in de VS, Australië, Frankrijk, Duitsland, Japan, Spanje en het Verenigd Koninkrijk. Het rapport analyseert ook fundamentele kennis over cybersecurity van meer dan 3.500 werkende volwassenen die in dezelfde zeven landen zijn ondervraagd. 

"Effectieve training in veiligheidsbewustzijn moet zich toespitsen op de onderwerpen en het gedrag die het belangrijkst zijn voor de missie van een organisatie", aldus Joe Ferrara, Senior Vice President en General Manager Security Awareness Training bij Proofpoint. "We bevelen een mensgerichte aanpak van cybersecurity aan door organisatiebrede trainingen voor veiligheidsbewustzijn te combineren met gerichte, risicogestuurde voorlichting. Het doel is om gebruikers in staat te stellen aanvallen te herkennen en te rapporteren." 

Het rapporteren van verdachte e-mails door eindgebruikers, een belangrijke graadmeter voor het meten van positief werknemersgedrag, is ook onderzocht in het rapport van dit jaar. Het aantal gerapporteerde berichten steeg het afgelopen jaar aanzienlijk. Eindgebruikers meldden meer dan negen miljoen verdachte e-mails in 2019, een stijging van 67 procent ten opzichte van 2018. Deze toename is een positieve ontwikkeling voor informatiebeveiligers, aangezien Proofpoint ziet dat aanvallers steeds meer overgaan naar gerichte, gepersonaliseerde aanvallen in plaats van grootschalige aanvallen. Gebruikers moeten steeds waakzamer worden om geavanceerde phishing te identificeren. Meldingssystemen stellen werknemers in staat om informatiebeveiligers te waarschuwen voor potentieel gevaarlijke berichten die de verdediging van de organisatie hebben weten te omzeilen. 

De algemene bevindingen van het State of the Phish-rapport staan hieronder. Specifieke gegevens over Noord-Amerika, EMEA en APAC worden in het rapport ook gedetailleerd beschreven.

  • Meer dan de helft (55 procent) van de ondervraagde organisaties had in 2019 te maken met ten minste één succesvolle phishing-aanval. Informatiebeveiligers rapporteerden een hoge frequentie van social engineering-aanvallen via diverse methoden: 88 procent van de organisaties wereldwijd maakte melding van spear-phishing-aanvallen, 86 procent meldde BEC-aanvallen, 86 procent social media-aanvallen, 84 procent sms-phishing (smishing), 83 procent voice phishing (vishing) en 81 procent meldde kwaadaardige USB-sticks.
  • 65 procent van de ondervraagde informatiebeveiligers zei dat hun organisatie in 2019 te maken had met ransomware. 33 procent van die organisaties koos ervoor om het geldbedrag te betalen, terwijl 32 procent dat niet deed. Van degenen die met aanvallers onderhandelden, kreeg 9 procent te maken met nieuwe geldeisen. 22 procent kreeg nooit toegang tot hun gegevens, zelfs niet na het betalen van het bedrag.
  • Organisaties zijn gebaat bij consequentiemodellen. Wereldwijd neemt 63 procent van de organisaties corrigerende maatregelen bij gebruikers die herhaaldelijk fouten maken rond phishing-aanvallen. De meeste informatiebeveiligers zeggen dat de bewustwording van werknemers is verbeterd door de invoering van een consequentiemodel.
  • Veel werkende volwassenen maken geen gebruik van best practices op het gebied van cybersecurity. 45 procent geeft toe dat wachtwoorden worden hergebruikt, meer dan 50 procent beschermt thuisnetwerken niet met een wachtwoord en 90 procent geeft aan dat ze door de werkgever verstrekte apparaten gebruiken voor persoonlijke activiteiten. Bovendien was 32 procent van de werkende volwassenen onbekend met virtual private network (VPN)-diensten.
  • De kennis over gangbare cybersecurity-termen ontbreekt bij veel gebruikers. In het onderzoek werd aan werkende volwassenen gevraagd om de definities van de volgende cybersecurity termen te geven: phishing (61 procent juist), ransomware (31 procent juist), smishing (30 procent juist), en vishing (25 procent juist). Deze bevindingen laten zien dat sommige gebruikers te weinig kennis hebben en dat security-teams die proberen hun medewerkers te informeren over deze bedreigingen rekening moeten houden met een potentiële taalbarrière. Het is cruciaal voor organisaties om effectief te communiceren met gebruikers en hen in staat te stellen een sterke laatste verdedigingslinie te zijn.
  • Millennials blijven onderpresteren ten opzichte van andere leeftijdsgroepen op het gebied van basiskennis over phishing en ransomware. Dit is een waarschuwing dat organisaties er niet vanuit moeten gaan dat jongere werknemers van nature kennis hebben van cybersecurity. Millennials hadden slechts op één onderdeel de beste kennis: smishing.