Bedreigingsakteurs is niks anders as vindingryk nie. Wanneer hulle vind dat 'n spesifieke pad geblokkeer is, gee hulle nie moed op nie. In plaas daarvan soek hulle eenvoudig na 'n ander een. Kyk net na Google se nuutste Wolkbedreigingshorisonneverslag vir H1 2026. Google Cloud het 'n robuuste stel beste praktyke in sy platform ingebou om die geleenthede vir identiteitskompromie en -misbruik te verminder. So, wat het die slegte ouens in die tweede helfte van 2025 gedoen? Hulle het eenvoudig hul aanvanklike toegangspogings van geloofsbriewe-kompromie na kwesbaarheidsuitbuiting oorgeskakel.
Dit is een van verskeie interessante insigte uit die verslag wat KISO's kan help terwyl hulle voortdurend werk om hul sekuriteitsposisie te verbeter.
Van foute tot oortredings
Twee grafieke illustreer perfek die dinamiese aard van vandag se bedreigingslandskap: een wat die aanvanklike toegangsvektore wat in Google Cloud uitgebuit word, uiteensit, en die ander 'n platform-agnostiese weergawe. In Google Cloud was "swak of afwesige geloofsbriewe" verantwoordelik vir slegs 27% van die oortredings in die tweede helfte van 2025, af van 47.1% in die vorige ses maande. In teenstelling hiermee het die uitbuiting van derdeparty-sagtewarekwesbaarhede 45% van die oortredings uitgemaak, teenoor slegs 3% in die eerste helfte van 2025.
Alhoewel laasgenoemde aanvalle "meer gesofistikeerd en duur" vir bedreigingsakteurs is, word hulle ook beter daarmee. Die venster tussen die openbaarmaking van kwesbaarhede en massa-uitbuiting het van weke tot net dae of ure gekrimp, sê Google. React2Shell was een van die gewildste teikens vir uitbuiting verlede jaar – wat gelei het tot 'n groot oortreding by LexisNexis, onder andere verskeie ander maatskappye.
Wanneer ons egter na die prentjie oor alle platforms kyk, herbevestig identiteit homself as die primêre aanvalsvektor vir voorvalle wat groot wolk- en SaaS-gehoste omgewings betrek – wat 83% van aanvanklike toegang uitmaak. Kwetsbaarheidsuitbuiting het verlede jaar slegs 2% uitgemaak. As ons na spesifieke aspekte binne identiteit kyk, was vishing (17%) meer gewild as e-pos phishing (12%). Maar meer algemeen as beide was die gebruik van gesteelde geloofsbriewe (21%) en gekompromitteerde vertroude verhoudings met derde partye (21%), soos die berugte Salesforce Drift OAuth-veldtog.
Wees Meer Google
Die verslag bied nie net 'n nuttige momentopname van huidige bedreigingstendense nie, maar wys ook wat defensief werk. In 'n ideale wêreld sou KISO's dit kon naboots. Google Cloud se verdediging in diepte en 'n veilige-by-standaard-benadering om soveel aanvanklike toegangspaaie as moontlik te blokkeer. Vanuit 'n identiteitsperspektief beteken dit:
- Die beginsel van minste voorreg afdwing en gereelde ouditering/verwydering van oormatige toestemmings
- Vervanging van permissiewe firewallreëls met identiteitsgesentreerde proxy's, om administratiewe koppelvlakke teen afstandkode-uitvoering (RCE) en gesteelde wagwoorde te beskerm.
- Afdwinging van konteksbewuste, phishing-bestande MFA (bv. hardewaresleutels of wagwoorde)
- Beperking van die data waartoe derdeparty-toepassings toegang kan kry (d.w.s. via OAuth-integrasie)
- Die vestiging van streng verifikasieprotokolle vir IT-hulptoonbankpersoneel (bv. die vereiste van visuele verifikasie tydens 'n video-oproep of goedkeuring van 'n sekondêre bestuurder) om pogings tot visvang te verminder.
Die beginsel van "veilig by verstek" is een van die mees effektiewe maniere om risiko in moderne wolkomgewings te verminder, voer Vysiion se CTO, Peter Clapton, aan.
“Platforms moet met sterk basisbeskermings vir identiteit, verifikasie en voorregbestuur voorsien word, sodat organisasies nie op administrateurs staatmaak om talle kontroles korrek te konfigureer voordat beskerming verkry word nie,” sê hy vir IO (voorheen ISMS.online). “In wolkomgewings, waar infrastruktuur vinnig en op skaal ontplooi kan word, verminder hierdie standaardrelings die waarskynlikheid dat wankonfigurasie 'n toegangspunt vir aanvallers word, aansienlik.”
Veilig by verstek moet egter as 'n basislyn beskou word. “Identiteit het effektief die moderne sekuriteitsperimeter geword, dus organisasies benodig steeds sterk bestuur, monitering en toegangsbeleide met die minste voorregte oor gebruikers, diensrekeninge en derdeparty-integrasies om risiko effektief te bestuur,” sê Clapton.
Kwesbaarheidsondersoekbeamptes kan ook Google se advies oor die vermindering van kwesbaarheidsuitbuiting volg, soos uiteengesit in die verslag. Dit sluit in die opdatering van die opdateringsbeleid om te verseker dat KWV's feitlik binne 24 uur beskerm word en binne 72 uur volledig herstel word. Outomatiese kwesbaarheidskandering sal help om hierdie pogings te ondersteun deur sagteware wat nie geopdaterings het nie, te vind.
“Sekuriteitspanne moet kwesbaarhede prioritiseer op grond van benutbaarheid, blootstelling en batekritiek eerder as om slegs op CVSS-tellings staat te maak,” adviseer Clapton. “Die integrasie van kwesbaarheidskandering in ontwikkelingspyplyne en die handhawing van sigbaarheid van vinnig veranderende wolkbates is van kritieke belang.”
Die ISO-verskil
Shane Barney, CISO van Keeper Security, voer egter aan dat, hoewel Google Cloud se veilige-by-standaard-houding goed is vir sy kliënte, die meeste ondernemings in hibriede en multi-wolk-omgewings werk waar daardie beheermaatreëls nie op 'n konsekwente wyse strek nie.
“Die prioriteit vir KISO's moet nie wees om 'n enkele verskaffer se model te repliseer nie, maar om konsekwente sekuriteitsuitkomste oor alle omgewings te verseker. Dit beteken om identiteits-eerste sekuriteitskontroles af te dwing wat saam met die gebruiker reis, eerder as die platform self,” sê hy vir IO.
“’n ‘Veilige-by-standaard’-houding is slegs effektief wanneer dit versterk word deur ’n nulvertrouensmodel wat aanvaar dat geen identiteit of stelsel implisiet vertrou kan word nie, toegang met die minste voorregte afdwing om staande toestemmings uit te skakel, en deurlopende verifikasie en sessiemonitering toepas om misbruik intyds op te spoor en te beperk – veral oor bevoorregte rekeninge.”
Gelukkig het KISO's 'n bondgenoot in die vorm van beste praktykstandaarde en raamwerke soos ISO 27001.
“Raamwerke soos ISO/IEC 27001 bied 'n kritieke fondament deur beheermaatreëls oor kwesbaarheidsbestuur, identiteits- en toegangsbeheer, en sekuriteitsbewustheid te formaliseer,” gaan Barney voort. “Hulle vertaal regulatoriese voorneme in gestruktureerde, ouditeerbare praktyke vir die bestuur van inligtingsrisiko, die inbedding van beheermaatreëls oor toegangsbestuur, kwesbaarheidsherstel en voorvalreaksie wat oor komplekse, wolkgedrewe omgewings kan skaal.”
KnowBe4 se hoof-CISO-adviseur, Javvad Malik, is ook 'n voorstander van geformaliseerde beste praktykbenaderings soos hierdie, solank die bedoeling nie "merkblokkie"-nakoming is nie.
“Standaarde soos ISO27001 is nuttig omdat hulle organisasies kan stuur om die grondbeginsels in plek te kry, soos batebestuur, opdaterings, toegangsbeheer, voorvalreaksie, menslike risiko, ensovoorts,” sê hy vir IO.
“In isolasie mag die standaarde self beperkte waarde hê, veral as organisasies dit slegs ter wille van voldoening nakom. Hulle moet gebruik word om sterk bestuur te bou, in daaglikse bedrywighede ingebed word en die algehele sekuriteitskultuur onderlê sodat veilige keuses die normale en voorkeurkeuses is.”
Brei jou kennis uit
Podcast: Phishing vir Moeilikheid Episode #05: Wie het die sleutels tot jou besigheid?
webinar: Beveiliging van jou wolkomgewing
