De it-infrastructuur van een modale organisatie verandert constant. Vandaag haalt een bedrijf maandelijks gemiddeld zo’n driehonderd nieuwe it-services in huis, gaande van databases tot api’s. En dat is niet zonder gevolgen. Ook al wil dat aantal nieuwe diensten wel erg verschillen.
Dit blijkt allemaal uit het nieuwste Attack Surface Management-rapport van Unit 42, de onderzoekstak van Palo Alto Networks. Hun studie baseert zich hierbij op een langdurige it- en security-doorlichting bij 265 organisaties wereldwijd.
Groot verschil qua industrie
Uit hun analyse bleek dat de media- en entertainmentindustrie gemiddeld het hoogste aantal nieuwe diensten toevoegt, namelijk meer dan zevenduizend per maand. De sectoren telecommunicatie-, verzekerings-, farmaceutische en biowetenschappelijke sectoren hadden ook te maken met aanzienlijke toenames, met meer dan duizend nieuwe services.
Sectoren zoals financiële diensten, gezondheidszorg en productie zagen hun aanvalsoppervlak elke maand met meer dan tweehonderd nieuwe diensten toenemen. Bij onderwijs gaat het ‘slechts’ om 123 nieuwe diensten gemiddeld.
Deze services komen evenwel niet zonder gevolgen. Want met name deze nieuwe diensten zijn goed voor een derde (32 procent) van de risico’s die een organisatie kan oplopen, zo blijkt uit het rapport van Unit 42. Vaak ligt een gebrek aan waakzaamheid voor ongewenste diensten of schaduw-it aan de oorzaak van de forse toename aan it-services in een organisatie.
Drie categorieën
Opvallend is ook dat drie categorieën van die nieuwe diensten het gros van de risico’s uitmaken. Want wanneer wordt gekeken naar de spreiding van die risico’s, blijken organisaties het vaakst gevaar te lopen door nieuwe diensten in de it- en security-infrastructuur (26 procent). Bedrijven zijn bijvoorbeeld vaak kwetsbaar in de loginpagina’s van hun routers, firewalls of vpn’s.
Ook twee andere categorieën blijken dikwijls nefast. Zo zouden diensten voor externe toegang (24 procent) en business-applicaties (23 procent) dikwijls niet bulletproof blijken te zijn.