Halvårsgennemgang: De vigtigste sikkerheds- og overholdelsesudfordringer i 2024 indtil videre

I april regeringen fortalte os at halvdelen af ​​britiske virksomheder havde lidt et brud i løbet af de foregående 12 måneder, hvilket steg til endnu højere for mellemstore (70 %) og store virksomheder (74 %). Den fandt, at grundlæggende cyberhygiejne, risiko- og forsyningskædestyring og hændelsesrespons stadig mangler i en bekymrende stor andel af disse organisationer.

Men hvad med de seneste seks måneder? Vi er kun halvvejs gennem året, men nogle vigtige temaer er allerede dukket op, som sandsynligvis vil dominere fortællingen om sikkerhed og overholdelse af 2024. Vores top fem er:

NVD er i krise

Sårbarhedsudnyttelse er tilbage på mode. Mandiant fordringer 38 % af indtrængen i 2023 startede sådan, en årlig stigning på seks procentpoint. Dette er dårlige nyheder for netværksforsvarere, fordi verdens vigtigste kilde til sårbarhedsoplysninger – NIST's National Vulnerability Database (NVD) – er blevet effektivt lammet i flere måneder. Som et standardiseret lager af berigede CVE-data er det blevet en afgørende komponent i mange virksomheders automatiserede patch- og sårbarhedshåndteringsprocesser samt sikkerhedsværktøjer. EN pludselig opbremsning i behandlingen af ​​CVE'er siden februar har efterladt sikkerhedsteams i gang med at søge efter alternative efterretningskilder.

Det hævder Verizon at detektioner af sårbarhedsudnyttelse som en indledende adgangsvektor til databrud steg med 180 % år-til-år (YoY) i 2023. Det tegner sig nu for 14 % af alle brud – hvilket betyder, at sikkerhedsteams er nødt til at tænke på yderligere kilder til CVE info, som CVE-program, sammen med forbedret trusselsefterretning og andre taktikker.

Ransomware går fra dårligt til værre

Tilbage i januar, National Cyber ​​Security Center (NCSC) advarede det ransomware ville "næsten helt sikkert øge mængden og virkningen af ​​cyberangreb i de næste to år". Det fremhævede ransomware for særlig opmærksomhed, og hævdede, at AI vil give et "løft" til angribere inden for social engineering og rekognoscering. Med andre ord vil AI-teknologi blive sat til at arbejde med at skabe meget overbevisende phishing-indhold, som det er svært at få øje på, og scanne for kendte sårbarheder i målrettede organisationer. Det ISMS tilstand af informationssikkerhedsrapport 2024 afslørede at 29 % af organisationerne havde været udsat for et ransomware-angreb i løbet af det seneste år.

Det er uklart, om AI allerede bliver brugt på denne måde. Alligevel har ransomware-grupper indtil videre i år været i offensiven på trods af isolerede sejre for retshåndhævelse i at forstyrre LockBitog tvinger BlackCat/ALPHV at opløse. Sundhedsorganisationer har igen været i den modtagende ende. For det første var det amerikanske udbydere Skift Healthcare og Ascension- Førstnævnte forventede at bogføre omkostninger over $1 mia. i forhold til angrebet. NHS England blev hårdt ramt, efter at Qilin ransomware-stammen hentede en leverandør. Det tvang i første omgang aflysning af over 800 planlagte operationer og 700 ambulante aftaler.

I betragtning af at ransomware-aktører stadig normalt opnår deres mål via relativt ligetil angrebsvektorer (RDP-kompromis, phishing, sårbarhedsudnyttelse), ser det ud til, at organisationer skal fortsætte med at fokusere på at få det grundlæggende i orden for at forblive sikre.

Edge-enheder tager et slag

Kanten ser ud til at være den nye grænse i statssponsorerede cyberangreb. NCSC var en af ​​de første til at signalere en advarsel i år, hævder det trusselsaktører øger deres målretning mod perimeterbaserede produkter (som filoverførselsapplikationer, firewalls, VPN'er og belastningsbalancere) efter forbedringer i designet af klientsoftware. De er et perfekt mål, da kode er mindre tilbøjelig til at være sikker ved design end klientsoftware, hvilket gør bugudnyttelse nemmere, og der er mangel på effektiv logning på edge-enheder, hævdede NCSC.

Vi har set en tsunami af ransomware og cyberspionageangreb i løbet af de sidste seks måneder som følge heraf, herunder masseudnyttelse af Ivanti Connect Secure og Policy Secure gateways, FortiGate enheder, og en arv F5 BIG-IP apparat. En nylig Action1-rapport afslørede a rekordudnyttelsesrate for load balancers fra 2021-23, mens en anden leverandør hævdede antallet af CVE'er knyttet til edge-tjenester og infrastruktur steg 22 % mellem 2023 og YTD 2024.

NCSC opfordrer indtrængende organisationer til at skifte fra lokale til cloud-hostede perimeterprodukter og bruge firewalls til at blokere ubrugte "grænseflader, portaler eller tjenester af internet-vendt software".

Open-Source Risici Snowball

Risikoen ved at bruge open source-software har været forstået i nogen tid. Trusselsaktører skjuler i stigende grad malware i tredjepartskomponenter og placerer det i officielle arkiver i håb om, at en tidsfattig udvikler downloader dem. Men i april en endnu mere lumsk trussel blev afdækket efter en utilsigtet opdagelse: en sofistikeret årelang indsats for at infiltrere og implantere bagdørs-malware i en populær open source-komponent kendt som xz Utils. Gruppen bag ordningen gjorde meget for at skjule deres ondsindede aktivitet, mens de socialt udviklede den oprindelige vedligeholder, Lasse Collin, til at bringe deres udviklerpersona med ombord som en "betroet" bidragyder.

Den dårlige nyhed for sikkerhedsteams er, at flere kopieringsindsatser er siden blevet opdaget, der potentielt antyder en voksende krise for open source. Omkring 79 % af de adspurgte af ISMS.online talte for at sige deres forretning er blevet påvirket i løbet af det seneste år af en sikkerhedshændelse forårsaget af en tredjepartsleverandør eller forsyningskædepartner. Fremadrettet vil der være behov for en grundig undersøgelse af softwareforsyningskæder, herunder styklister (SBOM'er), regelmæssig sårbarhedsscanning og mere stringente styringspolitikker.

Overholdelsesudfordringer spreder sig

For at fejlcitere Benjamin Franklin er intet i denne verden sikkert undtagen død, skatter og nye overholdelsesmandater. Så 2024 har vist sig, med lanceringen af EU's AI-lov, en ny IoT-sikkerhedslov i Storbritannien, forslag til nyt UK datacentersikkerhedsregler, en EU's cybersikkerhedscertificeringsordning, og mere i øvrigt. Organisationer så også overholdelsesfristen for PCI DSS 4.0 bestået i marts og er i øjeblikket travlt med at forberede NIS 2.

Mange kæmper med arbejdsbyrden. ISACA forskning hævder at især privatlivsprogrammer er underfinansierede og underbemandede. Ældre værktøjer og processer hjælper heller ikke.

Overholdelse af industriens bedste praksis kan bygge et stærkt grundlag for levering af lovmæssige overholdelsesprogrammer inden for områder som informationssikkerhed (ISO 27001) og AI (ISO 42001). Men mens ISMS.online konstaterer, at 59 % af organisationerne planlægger at øge udgifterne til sådanne programmer i det kommende år, siger næsten halvdelen (46 %), at det tager 6-12 måneder at overholde ISO 27001. Yderligere 11 % hævder, at det tager 12 -18 måneder. Med det rigtige sæt intuitive og prækonfigurerede værktøjer burde det ikke være så svært.