Wat die jongste Verizon-dataoortredingsverslag ons vertel oor die bedreigingslandskap
Nywerheidstendense kom en gaan. maar een stapelvoedsel van die kuberveiligheidslandskap oor die afgelope 17 jaar was die Verizon Data Breach Investigations Report (DBIR). Dit is 'n streng ontleding van werklike data-oortredings en voorvalle deur Verizon en vennote wat een van die beste en mees gedetailleerde foto's van die huidige bedreigingslandskap bied. Verizon alleen beweer dat hy 34 biljoen logs elke jaar verwerk.
So, wat is die storie vir 2023? Dit is beide gerusstellend en ietwat neerdrukkend om te sien dat – ten spyte van kommer oor die rol van KI in kubermisdaad – dit die gewone verdagtes van kwesbaarheidsuitbuiting, voorsieningskettingrisiko en menslike foute is wat ondernemings steeds teister. Deprimerend, want organisasies het nog nie die vermoë om hierdie uitdagings aan te pak nie, maar gerusstellend omdat bestepraktykraamwerke en -standaarde 'n klaargemaakte pad bied om sulke risiko's te versag.
Nuwe verslag, dieselfde ou oortredings
Hierdie jaar is die verslag gegrond op ontleding van 30,458 10,626 sekuriteitsinsidente en XNUMX XNUMX bevestigde oortredings – dubbel die getal van 'n jaar gelede. Dit is nie 'n aanduiding dat daar meer oortredings per se was nie; bloot dat die verslag meer data bevat en dus waarskynlik 'n meer akkurate voorstelling sal wees van wat werklik daar buite aangaan. So wat openbaar dit? Drie onderling gekoppelde temas staan uit:
1) Kwesbaarhede neem die hoogte in
Die DBIR neem kennis van 'n toename van 180% in kwesbaarheidsuitbuiting as 'n hoofoorsaak van data-oortredings. Hulle is nou verantwoordelik vir 14% van alle oortredings, volgens Verizon. Die toename is hoofsaaklik aangedryf deur die groeiende uitbuiting van nul-dag-goggas deur losprysware-akteurs: dink aan MOVEit. Dié veldtog verlede jaar het gelei tot die kompromie van byna 3,000 95 organisasies en XNUMX miljoen stroomaf kliënte – waarvan baie in die onderwys-, finansies- en versekeringsektore was.
Dit is aan die een kant waar dat stelseladministrateurs 'n ondankbare taak het. 'n Rekordgetal CVE's is gepubliseer in die Nasionale Kwesbaarheidsdatabasis (NVD) vir die afgelope sewe jaar. In 2023 het dit meer as 29,000 XNUMX kwesbaarhede getel. En bedreiging akteurs teiken hierdie kwesbaarhede met toenemende spoed. 'n Kwart word uitgebuit op die dag van hul publikasie. Tog moet netwerkverdedigers beter vaar. Verizon vind dat dit ongeveer 55 dae neem om 50% van kritieke kwesbaarhede wat op die kuberveiligheidsinfrastruktuur- en sekuriteitsagentskap (CISA) se katalogus van bekende misbruikte kwesbaarhede (KEV) gelys is, te herstel sodra pleisters beskikbaar is. Die mediaan tyd vir bespeurde massa-uitbuiting van hierdie foute is vyf dae.
Organisasies loop duidelik steeds nie outomatiese risiko-gebaseerde pleisterbestuursprogramme nie, wat hulle sal help om opdaterings te prioritiseer en die veerkragtigheid van kritieke stelsels te verbeter. Zero-day goggas, aan die ander kant, is moeiliker om reguit te blokkeer. Maar versagtings kan ingestel word om die impak daarvan te verminder, insluitend netwerksegmentering en deurlopende opsporing en reaksie.
2) Derde partye is 'n groot aanvalvektor
Deel van die rede waarom kwesbaarheidsuitbuiting as 'n aanvanklike toegangsvektor toeneem, is as gevolg van karretjieprodukte. Dit bring ons by die tweede tema: risiko wat derde partye betrek. Hier tel Verizon sakevennote (soos regsfirmas of skoonmaakmaatskappye), derdeparty-dataverwerkers of bewaarders soos bestuurde diensverskaffers, en sagtewareverskaffers (insluitend oopbron). Dit vind 'n toename van 68% in oortredings waarby derde partye soos hierdie betrokke is, sodat hulle nou 15% van die totaal uitmaak – hoofsaaklik aangedryf deur afpersers wat nul-dag-uitbuitings in aanvalle gebruik.
"Ons beveel aan dat organisasies begin kyk na maniere om beter keuses te maak om nie die swakste skakels in die ketting te beloon nie," voer die verslag aan. "In 'n tyd waar die openbaarmaking van oortredings verpligtend word, kan ons uiteindelik die gereedskap en inligting hê om die sekuriteitsdoeltreffendheid van ons voornemende vennote te meet."
Hierdie bevindinge word weerspieël deur 'n nuwe studie van ISMS.online, The State of Information Security Report 2024. Dit onthul dat die oorgrote meerderheid (79%) van inligtingsekuriteitspersoneel erken dat voorsieningsrisiko uiteindelik in een wesenlike sekuriteitsvoorval oor die afgelope 12 maande.
3) Mense bly 'n toprisikofaktor
Miskien is die mees onverrassende bevinding vanjaar dat werknemers waarskynlik die grootste oorsaak van data-oortredings is – hetsy direk of indirek. Die meeste (68%) oortredings wat ontleed is, behels 'n "nie-kwaadwillige menslike element", wat beteken dat iemand 'n fout gemaak het of die slagoffer van 'n sosiale ingenieursaanval geword het. Dié syfer is feitlik onveranderd van die vorige jaar. Sosiale ingenieurswese beteken óf uitvissing óf, meer waarskynlik, voorwendsels – wat gekoppel is aan besigheids-e-pos-kompromie (BEC). Laasgenoemde is nou verantwoordelik vir ongeveer 'n kwart van finansieel gemotiveerde voorvalle, onveranderd as 'n jaar gelede.
Sosiale ingenieurswese dra ook by tot 'n uitstaande bevinding van EMEA: dat die helfte (49%) van alle oortredings nou van binne organisasies spruit, eerder as eksterne akteurs. Sosiale ingenieurswese is ook agter die voortgesette nommer een-ranglys van "geloofsbriewe" as 'n aanvanklike aksietipe in oortredings (24%). Geloofsbriewe word in die helfte (50%) van sosiale ingenieursaanvalle gekompromitteer. En hoewel hulle soms deur derde partye gesteel word sonder die skuld van die individu, word swak geloofsbriewe by ander geleenthede uitgebuit deur brute-krag aanvallers in oortredings. Dit klop weer met die ISMS.online-verslag, wat bevind dat 'n derde (32%) van die respondente sosiale ingenieursaanvalle oor die afgelope 12 maande ervaar het. Sowat 28% noem insiderdreigemente.
Daar is 'n bietjie rede vir optimisme dat gebruikersbewustheid aan die verbeter is – deurdat dit lyk of gebruikers beter raak om uitvissing aan te meld. Verizon vind dat 20% van gebruikers uitvissing in simulasiebetrekkinge identifiseer en rapporteer, en 11% van diegene wat deurklik, rapporteer ook. Die feit dat die 68%-syfer vir nie-kwaadwillige menslike foute egter nie in 'n jaar verander het nie, wys dat daar nog baie werk is om te doen.
Tyd vir Aksie
Cassius Edison, hoof van professionele dienste by Closed Door Security, waarsku dat die vyf-dae mediaan opsporingstyd vir wyd uitgebuitde kwesbaarhede nog te lank is.
"'n Mediaan-opsporingstyd van vyf dae hou wel aansienlike risiko's in, wat moontlik kwaadwillige akteurs genoeg tyd bied om kwesbaarhede uit te buit," sê hy aan ISMS.online. "Terwyl die oplossings om opsporingspoed te verbeter, soos verbeterde bedreigingsintelligensie en intydse monitering, koste sal meebring, kan die uitvoer van 'n deeglike risiko-evaluering help om hierdie beleggings effektief te prioritiseer."
Barrier Networks wat CISO bestuur, Jordan Schroeder, voeg by dat 55 dae om te herstel ook heeltemal te stadig is vir organisasies wat ernstig is daaroor om kuberrisiko te bevat.
"Stelsels wat deel is van die stel wat op groot skaal uitgebuit word, moet so gou as moontlik opgedateer word," sê hy aan ISMS.online. "'n OT/ICS-stelsel wat geen internettoegang het nie, loop 'n laer risiko van uitbuiting. Dus, 'n risiko-gebaseerde beoordeling van wat opgedateer moet word, en hoe vinnig dit uitgevoer moet word, moet onderneem word."
Schroeder ondersteun ook die gebruik van beste praktykstandaarde en raamwerke, solank CISO's aanvaar dat dit nie 'n wondermiddel is nie.
"Hulle verskaf 'n baie belangrike grondslag vir enige organisasie om 'n sekuriteitsprogram te bou wat vir hulle werk, en om te verseker dat belangrike faktore in ag geneem word," voer hy aan. “Ek begin altyd om 'n sekuriteitstrategie of -plan met bestaande raamwerke te ontwerp of te verbeter. Ek eindig nie altyd met 'n strategie of plan wat perfek by daardie raamwerke pas nie. Maar teen die einde van die proses sal die organisasie elke punt noukeurig oorweeg het en iets geskep het wat alles verantwoordelik het.”
’n Mengsel van standaarde kan help om enige leemtes wat in individuele aanbiedinge bestaan, te vul, sê hy.
“'n Organisasie kan sy vermoë dramaties verbeter om die algemene kwessies wat in hierdie verslag uitgelig word te versag deur bewustelik en intelligent te steun op 'n mengsel van raamwerke en standaarde wat goed pas by die organisasie, en verder met aandag verfyn om 'n kragtige standaard te skep wat pas die beste by die organisasie,” sluit Schroeder af.
