Tiden går som bekant fort och vi avslutar inom några dagar årets första kvartal. Som vi skrev om i förra månadens nyhetsbrev, tänkte vi passa på att dela lite fakta och insikter som flertalet cybersäkerhetsexperter tillhandahåller såhär i början av året.
Det har getts ut ett antal ”året 2023-rapporter” under de gångna veckorna och även om cybersäkerhet är en färskvara så kan man faktiskt läsa ut ganska mycket i form av trender, attacktyper, tillvägagångssätt med mera. Helt enkelt viktiga fakta för att veta hur vi skall tackla cyberhotet år 2024.
Cybertrender och viktiga insikter
Vi zoomar i detta nyhetsbrev primärt in på två rapporter, IBM X-force Threat Intelligence Index 2024 samt Truesec Threat Intelligence Report 2024. Precis som namnen antyder ger dessa rapporter en god insikt i de cyberrelaterade hot och risker som vi nu bör arbeta med. IBM jobbar mer på en global nivå medan Truesec rent omfattningsmässigt får ses som en nordisk aktör. Detta ger en bra bild över trender som omfattar både världen i stort samt vårt närområde.
IBM X-force (IBM) konstaterar att cyberkriminella har skiftat fokus från att ”hacka in” till att ”logga in”. Det är faktiskt så att de externa sårbarheter vi har och det faktum att världen globalt sett inte förstått vikten av ”stark autentisering” gör att vi ser en 71%-ig ökning av attacker där bovarna helt enkelt bara loggar in i våra IT-miljöer. Vi kom att tänka på en också nyligen släppt rapport av Microsoft där dom berättar att på en global nivå så är det endast 38% av alla Microsoft 365-konton som skyddas av multifaktorsautentisering. Betänk då att Microsoft 365 enbart är en av otroligt många webbaserade tjänster vi använder.
Det är inte svårt att se hur det blir på detta sätta med tanke på hur dålig lösenordshygien många individer har och i takt med att lösenordsläckor fortsätter ske blir risken för denna typ av attack vanligare. Enkelt tips från coachen är att använda en lösenordshanterare och att inte använda samma lösenord på flera konton och tjänster.
Ransomware och informationsstölder
Både IBM och Trusec ser en minskad ökning av Ransomware-angrepp under 2023 och denna trend tror man kommer fortsätta in i 2024. Även om denna typ av angrepp fortfarande ökar, så ser man en nästan platåliknande effekt där IBM rapporterar en minskning på 11,6%, medan Truesec en minskning på cirka 14% (Dessa siffor avser då trenden mellan tidigare år).
IBM rapporterar dock en ökning av stöld och dataläckage med 32%. Vad beror detta på då? Vår analys är att vi som organisationer blir bättre och bättre på att förstå vikten av återställningsförmåga (genom säkra backuper) och att skydda våra IT-miljöer mot just Ransomware (genom exempelvis kraftfullare skydd på datorer och servrar samt segmenterade nätverk). Faktorer som gör att vi, hur smärtsamt det än är, kan återställa våra miljöer efter ett angrepp. Det blir helt enkelt lättare för bovarna att stjäla information för utpressning snarare än att kryptera IT-miljöer för utpressning.
Vi kommer nog fortsätta se trenden i att angrepp resulterar i datastöld och utpressning snarare än dataförstörelse eller kryptering. Vem vet, begreppet ”Infostealer-grupper” kanske kommer vara på allas läppar framöver.
Ett intressant faktum, även om det för oss som jobbar med detta inte är något nyhet, är att 84% av alla attacker som IBM X-force hanterar, kunde ha undvikits med ”enkel” cyberhygien, såsom starkare autentisering, bättre kontroll på hård- och mjukvara samt bättre hantering av hård- och mjukvaru-uppdateringar.
Länder och sektorer utsatta för cyberbrott
Europa är enligt IBM den mest utsatta kontinenten med en 31%-ig ökning av attacker under år 2023 och tillverkningsindustrin står för cirka 26% av måltavlorna följda av finans och försäkring och tjänstesektorn. När det gäller tillverkande industri så är det dock Asien som är hårdast drabbat, följt av Europa.
Att tillverkningssektorn är hårt utsatt är sedan länge känt. Man har historiskt varit dåliga på cybersäkerhet och är väldigt beroende av IT-stöd i kärnprocesserna. En ekvation som lett till att man statistiskt varit mer benägna än andra sektorer att betala sig ur en utpressningsattack.
Hur tar de sig in?
Det är intressant att oavsett vilken rapport man läser så är det tre övergripande ”metoder” som antagonister riktar sig in mot när det gäller att få åtkomst till våra IT-miljöer; (1) Inloggning via legitima konton, (2) Phishing och (3) Externa sårbara tjänster.
Trender är att Phishing-attacker går ner, inte dramatiskt men helt klart ett trendbrott de senaste 2 åren. I stället fokuserar bovarna på att nyttja våra användarnamn och lösenord för att ta sig in, samt sårbarheter i olika typer av tjänster vilket kan ge åtkomst till hela, eller delar av, en IT-miljö. Nyttjandet av sårbarheter har vi skrivit om innan och detta problem ökar exponentiellt. Det finns i varje given stund, hundratusentals (i skrivande stund cirka 300 000) sårbarheter kopplade till våra brandväggar, servrar, webbapplikationer, operativsystem och så vidare.
Vi kan inte nog trycka på vikten av att ha koll på de enheter man har i sitt nätverk och att aktivt arbeta med att uppdatera hård- och mjukvara. Det är mycket ofta i våra säkerhetsgranskningar som vi hittar datorer som ligger utanför gängse säkerhetsprinciper – webkameror kopplade mot produktionsnätverk och mediaenheter som inte uppdaterats på år och dagar. Det krävs inte mer än en svag länk och en opportunistiskt inriktad hotaktör för att incidenten ska vara framme.
Denna blogg bygger på JSC:s nyhetsmail för informationssäkerhet. Vill du få månatliga uppdateringar med omvärldsbevakning i ämnet? Prenumerera på JSC Cure Nyhetsbrev.
Och läs mer om vårt arbete med IT-säkerhet för företag.