Mitä uusin Verizonin tietomurtoraportti kertoo meille uhkakuvasta
Alan trendit tulevat ja menevät. mutta yksi kyberturvallisuusmaiseman katkosta viimeisten 17 vuoden aikana on ollut Verizon Data Breach Investigations Report (DBIR). Se on a tiukka analyysi Verizonin ja sen kumppaneiden todellisista tietomurroista ja tapauksista, joka tarjoaa yhden parhaista ja yksityiskohtaisimmista tilannekuvista nykyisestä uhkakuvasta. Pelkästään Verizon väittää käsittelevänsä 34 biljoonaa lokia vuosittain.
Joten mikä on vuoden 2023 tarina? On sekä rauhoittavaa että hieman masentavaa nähdä, että – vaikka tekoälyn roolista tietoverkkorikollisuudessa ollaan huolestuneita – yrityksiä vaivaavat edelleen tavanomaiset epäillyt haavoittuvuuden hyväksikäytöstä, toimitusketjun riskeistä ja inhimillisistä virheistä. Masentavaa, koska organisaatiot eivät vieläkään ole päässeet ottamaan vastaan näitä haasteita, mutta rauhoittavaa, koska parhaiden käytäntöjen viitekehykset ja standardit tarjoavat valmiin tien tällaisten riskien vähentämiseen.
Uusi raportti, samat vanhat rikkomukset
Tänä vuonna raportti perustuu analyysiin 30,458 10,626 tietoturvaloukkauksesta ja XNUMX XNUMX vahvistetusta rikkomuksesta – kaksinkertainen määrä vuosi sitten. Tämä ei sinänsä ole osoitus siitä, että rikkomuksia olisi enemmän; yksinkertaisesti se, että raportti sisältää enemmän tietoa ja on siksi todennäköisesti tarkempi esitys siitä, mitä siellä todella tapahtuu. Mitä se sitten paljastaa? Kolme toisiinsa liittyvää teemaa erottuvat:
1) Haavoittuvuudet kasvavat jyrkästi
DBIR toteaa, että haavoittuvuuksien hyödyntäminen on lisääntynyt 180 % tietomurtojen perimmäisenä syynä. Verizonin mukaan ne muodostavat nyt 14 prosenttia kaikista rikkomuksista. Kasvu johtui pääasiassa kiristyshaittaohjelmien toimijoiden lisääntyvästä nollapäivän bugien hyväksikäytöstä: ajattele MOVEit. Viime vuoden kampanja johti siihen kompromissi lähes 3,000 95 organisaatiota ja XNUMX miljoonaa loppupään asiakasta – joista monet olivat koulutus-, rahoitus- ja vakuutussektoreilla.
Toisaalta on totta, että järjestelmänvalvojilla on kiittämätön tehtävä. National Vulnerability Database (NVD) -tietokantaan on julkaistu ennätysmäärä CVE:itä viimeiset seitsemän vuotta. Vuonna 2023 haavoittuvuuksia oli yli 29,000 XNUMX. Ja uhkatoimijat kohtelevat näitä haavoittuvuuksia yhä nopeammin. Neljäsosaa käytetään hyväksi niiden julkaisupäivänä. Silti verkon puolustajien on pystyttävä paremmin. Verizon havaitsee, että kestää noin 55 päivää korjata 50 % Cybersecurity Infrastructure and Security Agencyn (CISA) Known Exploited Vulnerabilities (KEV) -luettelossa luetelluista kriittisistä haavoittuvuuksista, kun korjaustiedostot ovat saatavilla. Näiden bugien havaitun massahyödyntämisen mediaaniaika on viisi päivää.
Organisaatioilla ei selvästikään vielä ole käytössä automatisoituja riskipohjaisia korjaustiedostojen hallintaohjelmia, jotka auttaisivat niitä priorisoimaan päivitykset ja parantamaan kriittisten järjestelmien sietokykyä. Nollapäivän bugeja sen sijaan on vaikeampi estää suoraan. Mutta lievennyksiä voidaan ottaa käyttöön niiden vaikutusten vähentämiseksi, mukaan lukien verkon segmentointi ja jatkuva havaitseminen ja reagointi.
2) Kolmannet osapuolet ovat suuri hyökkäysvektori
Osa syy siihen, miksi haavoittuvuuksien hyväksikäyttö yleistyy alkuperäisenä pääsyvektorina, johtuu viallisista tuotteista. Tästä pääsemmekin toiseen teemaan: riskiin, joka liittyy kolmansiin osapuoliin. Tässä Verizon laskee liikekumppanit (kuten lakitoimistot tai siivousyritykset), kolmannen osapuolen tietojen käsittelijät tai säilyttäjät, kuten hallinnoidut palveluntarjoajat, ja ohjelmistotoimittajat (myös avoimen lähdekoodin). Se havaitsee 68 %:n kasvun tällaisten kolmansien osapuolien rikkomuksissa, joten niiden osuus on nyt 15 % kokonaismäärästä – pääasiassa kiristäjät, jotka käyttävät hyökkäyksissä nollapäivän hyväksikäyttöä.
"Suosittelemme, että organisaatiot alkavat etsiä tapoja tehdä parempia valintoja, jotta he eivät palkita ketjun heikoimpia lenkkejä", raportissa väitetään. "Aikana, jolloin tietomurtojen paljastamisesta on tulossa pakollista, meillä saattaa vihdoin olla työkalut ja tiedot, jotka auttavat mittaamaan mahdollisten kumppaniemme turvallisuustehokkuutta."
Nämä havainnot heijastelevat ISMS.onlinen uudessa tutkimuksessa, The State of Information Security Report 2024:ssä. Se paljastaa, että valtaosa (79 %) tietoturva-ammattilaisista myöntää, että toimitusriski on johtanut ainakin yhdeksi olennaiseksi tietoturvaloukkaukseksi vuoden aikana. viimeiset 12 kuukautta.
3) Ihmiset ovat edelleen suurin riskitekijä
Ehkä tämän vuoden yllättävin havainto on, että työntekijät ovat epäilemättä suurin tietomurtojen syy – joko suoraan tai välillisesti. Suurin osa (68 %) analysoiduista rikkomuksista liittyy "ei-ilkeämmäiseen ihmiselementtiin", mikä tarkoittaa, että joku on tehnyt virheen tai joutunut manipulointihyökkäyksen uhriksi. Luku on lähes ennallaan edellisvuodesta. Sosiaalinen manipulointi tarkoittaa joko tietojenkalastelua tai, todennäköisemmin, tekosyytä, joka liittyy yrityssähköpostien kompromisseihin (BEC). Jälkimmäinen vastaa nyt noin neljännestä taloudellisista syistä tapahtuneista tapauksista, sama kuin vuosi sitten.
Sosiaalinen suunnittelu myötävaikuttaa myös EMEA-alueen erottuvaan havaintoon: puolet (49 %) kaikista rikkomuksista johtuu nyt organisaatioiden sisäisistä toimijoista ulkopuolisten toimijoiden sijaan. Sosiaalinen suunnittelu on myös jatkuvan ykkösluokituksen takana ensimmäisenä toimintatyyppinä rikkomuksissa (24 %). Tunnistetiedot vaarantuvat puolessa (50 %) manipulointihyökkäyksistä. Ja vaikka ne joskus varastetaan kolmansien osapuolten kautta ilman henkilön syytä, toisinaan raa'an voiman hyökkääjät käyttävät hyväkseen heikkoja valtuustietoja rikkomuksissa. Tämä sopii jälleen kerran ISMS.online-raportin kanssa, jonka mukaan kolmasosa (32 %) vastaajista on kokenut manipulointihyökkäyksiä viimeisten 12 kuukauden aikana. Noin 28 prosenttia mainitsee sisäpiirin uhkauksia.
On hieman syytä optimismiin, että käyttäjien tietoisuus on paranemassa, sillä käyttäjät näyttävät alkavan ilmoittaa tietojenkalastelusta entistä paremmin. Verizon havaitsee, että 20 % käyttäjistä tunnistaa ja ilmoittaa tietojenkalastelun simulaatioissa, ja 11 % klikkaajista raportoi myös. Kuitenkin se tosiasia, että ei-ilkeiden inhimillisten virheiden 68 %:n luku ei ole muuttunut vuodessa, osoittaa, että tehtävää on vielä paljon.
Toiminnan aika
Closed Door Securityn asiantuntijapalveluiden päällikkö Cassius Edison varoittaa, että laajalti käytettyjen haavoittuvuuksien viiden päivän keskimääräinen havaitsemisaika on edelleen liian pitkä.
"Viiden päivän keskimääräinen havaitsemisaika aiheuttaa merkittäviä riskejä, mikä saattaa antaa haitallisille toimijoille riittävästi aikaa hyödyntää haavoittuvuuksia", hän kertoo ISMS.online-sivustolle. "Vaikka tunnistusnopeutta parantavat ratkaisut, kuten tehostettu uhkien tiedustelu ja reaaliaikainen seuranta, aiheuttaisivat kustannuksia, mutta perusteellinen riskiarviointi voi auttaa priorisoimaan nämä investoinnit tehokkaasti."
CISOa hallinnoiva Barrier Networks, Jordan Schroeder, lisää, että 55 päivää korjaamiseen on myös aivan liian hidas organisaatioille, jotka haluavat vakavasti hillitä kyberriskejä.
"Järjestelmät, jotka kuuluvat joukkoon ja joita hyödynnetään massiivisesti, tulisi päivittää mahdollisimman pian", hän kertoo ISMS.onlinelle. ”OT/ICS-järjestelmällä, jossa ei ole Internet-yhteyttä, on pienempi hyväksikäyttöriski. On siis tehtävä riskiin perustuva arvio siitä, mitä pitää päivittää ja kuinka nopeasti se on tehtävä."
Schroeder tukee myös parhaiden käytäntöjen standardien ja puitteiden käyttöä, kunhan CISO:t hyväksyvät, että ne eivät ole ihmelääke.
"Ne tarjoavat erittäin tärkeän perustan mille tahansa organisaatiolle rakentaa itselleen toimiva tietoturvaohjelma ja varmistaa, että tärkeät tekijät otetaan huomioon", hän väittää. ”Aloitan aina turvallisuusstrategian tai suunnitelman suunnittelun tai parantamisen olemassa olevien puitteiden avulla. En aina päädy strategiaan tai suunnitelmaan, joka sopii täydellisesti näiden kehysten kanssa. Mutta prosessin loppuun mennessä organisaatio on harkinnut jokaisen kohdan huolellisesti ja luonut jotain, joka on vaikuttanut kaikkeen.
Standardien yhdistelmä voi auttaa täyttämään yksittäisissä tarjouksissa olevat aukot, hän sanoo.
"Organisaatio voi parantaa dramaattisesti kykyään lieventää tässä raportissa esiin tuotuja yleisiä ongelmia tukeutumalla tietoisesti ja älykkäästi yhdistelmään puitteita ja standardeja, jotka sopivat organisaatiolle hyvin ja joita kehitetään edelleen tietoisesti luodakseen tehokkaan standardin, joka sopii organisaatioon parhaiten”, Schroeder päättää.
