Verizon Breach Report 2024

Hvad den seneste Verizon databrudsrapport fortæller os om trusselslandskabet

Branchendenser kommer og går. men en af ​​grundpillerne i cybersikkerhedslandskabet gennem de sidste 17 år har været Verizon Data Breach Investigations Report (DBIR). Det er en streng analyse af databrud og hændelser i den virkelige verden fra Verizon og partnere, hvilket giver et af de bedste og mest detaljerede øjebliksbilleder af det aktuelle trusselslandskab. Alene Verizon hævder at behandle 34 billioner logfiler hvert år.

Så hvad er historien for 2023? Det er både betryggende og lidt deprimerende at se, at det – på trods af bekymringer over AIs rolle i cyberkriminalitet – er de sædvanlige mistænkte for sårbarhedsudnyttelse, forsyningskæderisiko og menneskelige fejl, der fortsat plager virksomheder. Deprimerende, fordi organisationer stadig ikke har fået styr på at tackle disse udfordringer, men betryggende, fordi best practice-rammer og standarder tilbyder en klar vej til at afbøde sådanne risici.

Ny rapport, samme gamle brud

I år er rapporten baseret på analyse af 30,458 sikkerhedshændelser og 10,626 bekræftede brud – dobbelt så mange som for et år siden. Det er ikke en indikation af, at der var flere brud i sig selv; blot at rapporten indeholder flere data og derfor sandsynligvis vil være en mere præcis fremstilling af, hvad der virkelig foregår derude. Så hvad afslører det? Tre indbyrdes forbundne temaer skiller sig ud:

1) Sårbarhederne er skyhøje

DBIR bemærker en 180% stigning i sårbarhedsudnyttelse som en grundlæggende årsag til databrud. De står nu for 14% af alle brud, ifølge Verizon. Stigningen var hovedsageligt drevet af den voksende udnyttelse af zero-day-fejl fra ransomware-aktører: tænk på MOVEit. Den kampagne førte sidste år til kompromis på næsten 3,000 organisationer og 95 millioner downstream-kunder – hvoraf mange var inden for uddannelses-, finans- og forsikringssektoren.

Det er på den ene side rigtigt, at systemadministratorer har en utaknemmelig opgave. Et rekordantal CVE'er er blevet offentliggjort til National Vulnerability Database (NVD) for sidste syv år. I 2023 talte det over 29,000 sårbarheder. Og trusselsaktører retter sig mod disse sårbarheder med stigende hastighed. En fjerdedel er udnyttet på dagen for deres udgivelse. Alligevel skal netværksforsvarere gøre det bedre. Verizon finder, at det tager omkring 55 dage at afhjælpe 50 % af kritiske sårbarheder, der er opført i Cybersecurity Infrastructure and Security Agency (CISA) kataloget Known Exploited Vulnerabilities (KEV), når patches er tilgængelige. Mediantiden for opdaget masseudnyttelse af disse fejl er fem dage.

Organisationer kører tydeligvis stadig ikke automatiserede risikobaserede programrettelsesstyringsprogrammer, som ville hjælpe dem med at prioritere opdateringer og øge modstandsdygtigheden af ​​kritiske systemer. Zero-day bugs, på den anden side, er sværere at blokere direkte. Men der kan indføres begrænsninger for at reducere deres indvirkning, herunder netværkssegmentering og kontinuerlig detektion og respons.

2) Tredjeparter er en stor angrebsvektor

En del af grunden til, at udnyttelse af sårbarhed stiger som en indledende adgangsvektor, er på grund af buggy-produkter. Dette bringer os til det andet tema: risiko, der involverer tredjeparter. Her tæller Verizon forretningspartnere (såsom advokatfirmaer eller rengøringsfirmaer), tredjeparts databehandlere eller depotforvaltere som administrerede tjenesteudbydere og softwareleverandører (inklusive open source). Den finder en stigning på 68 % i brud, der involverer tredjeparter som denne, så de nu tegner sig for 15 % af det samlede antal – hovedsageligt drevet af afpressere, der bruger nul-dages udnyttelse i angreb.

"Vi anbefaler, at organisationer begynder at se på måder at træffe bedre valg for ikke at belønne de svageste led i kæden," argumenterer rapporten. "I en tid, hvor offentliggørelse af brud er ved at blive obligatorisk, har vi måske endelig værktøjerne og informationerne til at hjælpe med at måle sikkerhedseffektiviteten for vores potentielle partnere."
Disse resultater gentages af en ny undersøgelse fra ISMS.online, The State of Information Security Report 2024. Den afslører, at langt størstedelen (79 %) af informationssikkerhedsprofessionelle indrømmer, at forsyningsrisikoen er blevet omsat til en væsentlig sikkerhedshændelse i løbet af seneste 12 måneder.

3) Mennesker forbliver en toprisikofaktor

Det måske mest overraskende fund i år er, at medarbejderne uden tvivl er den største årsag til databrud – enten direkte eller indirekte. De fleste (68%) analyserede brud involverer et "ikke-ondsindet menneskeligt element", hvilket betyder, at nogen har lavet en fejl eller blev offer for et socialt ingeniørangreb. Det tal er stort set uændret i forhold til året før. Social engineering betyder enten phishing eller, mere sandsynligt, påskud – som er forbundet med business email compromise (BEC). Sidstnævnte tegner sig nu for omkring en fjerdedel af de økonomisk motiverede hændelser, uændret i forhold til et år siden.

Social engineering bidrager også til en iøjnefaldende konstatering fra EMEA: at halvdelen (49 %) af alle overtrædelser nu stammer fra organisationer i stedet for eksterne aktører. Social engineering står også bag den fortsatte nummer et rangering af "legitimationsoplysninger" som en indledende handlingstype ved brud (24%). Legitimationsoplysningerne er kompromitteret i halvdelen (50 %) af socialingeniørangreb. Og selvom de nogle gange bliver stjålet via tredjeparter uden den enkeltes skyld, bliver svage legitimationsoplysninger ved andre lejligheder udnyttet af brute-force angribere i brud. Dette stemmer igen med ISMS.online-rapporten, som konstaterer, at en tredjedel (32%) af de adspurgte oplevede angreb fra socialt ingeniørarbejde i løbet af de sidste 12 måneder. Omkring 28 % citerer insidertrusler.

Der er lidt grund til optimisme om, at brugerbevidstheden er ved at blive bedre – i og med at brugerne ser ud til at blive bedre til at rapportere phishing. Verizon konstaterer, at 20 % af brugerne identificerer og rapporterer phishing i simuleringsengagementer, og 11 % af dem, der klikker videre, rapporterer også. Men det faktum, at tallet på 68 % for ikke-ondsindede menneskelige fejl ikke har ændret sig på et år, viser, at der stadig er meget arbejde at gøre.

Tid til handling

Cassius Edison, leder af professionelle tjenester hos Closed Door Security, advarer om, at den fem-dages mediane detektionstid for vidt udnyttede sårbarheder stadig er for lang.

"En fem-dages median detektionstid udgør betydelige risici, hvilket potentielt giver ondsindede aktører rigelig tid til at udnytte sårbarheder," siger han til ISMS.online. "Selvom løsningerne til at forbedre detektionshastigheden, såsom forbedret trusselsintelligens og overvågning i realtid, vil medføre omkostninger, kan udførelsen af ​​en grundig risikovurdering hjælpe med at prioritere disse investeringer effektivt."

Barrier Networks, der administrerer CISO, Jordan Schroeder, tilføjer, at 55 dage til at afhjælpe også er alt for langsom for organisationer, der seriøse med at begrænse cyberrisiko.

"Systemer, der er en del af sættet, der udnyttes massivt, bør opdateres hurtigst muligt," siger han til ISMS.online. "Et OT/ICS-system, der ikke har internetadgang, har en lavere risiko for udnyttelse. Så der skal foretages en risikobaseret vurdering af, hvad der skal opdateres, og hvor hurtigt det skal udføres.”
Schroeder støtter også brugen af ​​standarder og rammer for bedste praksis, så længe CISO'er accepterer, at de ikke er et vidundermiddel.

"De giver et meget vigtigt grundlag for enhver organisation til at bygge et sikkerhedsprogram, der fungerer for dem, og for at sikre, at vigtige faktorer tages i betragtning," argumenterer han. ”Jeg begynder altid at designe eller forbedre en sikkerhedsstrategi eller -plan med eksisterende rammer. Jeg ender ikke altid med en strategi eller plan, der passer perfekt til de rammer. Men ved slutningen af ​​processen vil organisationen nøje have overvejet hvert punkt og skabt noget, der har stået for alt."

En blanding af standarder kan være med til at udfylde de huller, der findes i individuelle tilbud, siger han.

"En organisation kan dramatisk forbedre sin evne til at afbøde de almindelige problemer, der fremhæves i denne rapport, ved omhyggeligt og intelligent at læne sig op af en blanding af rammer og standarder, der passer godt til organisationen, og yderligere omhyggeligt raffineret til at skabe en kraftfuld standard, der passer bedst til organisationen,” slutter Schroeder.

 

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!