Halfjaaroorsig: Die belangrikste veiligheids- en voldoeningsuitdagings van 2024 tot dusver
INHOUDSOPGAWE:
In April het die die regering vir ons gesê het dat die helfte van Britse besighede 'n oortreding oor die vorige 12 maande gely het, wat tot selfs hoër gestyg het vir medium (70%) en groot firmas (74%). Dit het bevind dat basiese kuberhigiëne, risiko- en voorsieningskettingbestuur en insidentreaksie steeds ontbreek in 'n kommerwekkend groot deel van hierdie organisasies.
Maar wat van die afgelope ses maande? Ons is net halfpad deur die jaar, maar 'n paar belangrike temas het reeds na vore gekom wat waarskynlik die sekuriteit- en voldoeningsverhaal van 2024 sal oorheers. Ons topvyf is:
Die NVD is in 'n krisis
Kwesbaarheidsuitbuiting is weer in die mode. Mandiant eise 38% van indringers in 2023 het so begin, 'n jaarlikse toename van ses persentasiepunte. Dit is slegte nuus vir netwerkverdedigers, want die wêreld se belangrikste bron van kwesbaarheidsinligting – NIST se National Vulnerability Database (NVD) – is waarskynlik effektief verlam vir etlike maande. As 'n gestandaardiseerde bewaarplek van verrykte CVE-data, het dit 'n deurslaggewende komponent geword van baie firmas se outomatiese pleister- en kwesbaarheidsbestuursprosesse, sowel as sekuriteitsgereedskap. A skielike verlangsaming in die verwerking van CVE's sedert Februarie het sekuriteitspanne laat soek na alternatiewe intelligensiebronne.
Verizon beweer dat die opsporing van kwesbaarheidsuitbuiting as 'n aanvanklike toegangsvektor vir data-oortredings met 180% gestyg het op 'n jaargrondslag (YoY) in 2023. Dit is nou verantwoordelik vir 14% van alle oortredings - wat beteken dat sekuriteitspanne dringend moet dink oor bykomende bronne van CVE inligting, soos die CVE-program, saam met verbeterde bedreigingsintelligensie en ander taktieke.
Ransomware gaan van sleg tot erger
Terug in Januarie het die Nasionale Kuberveiligheidsentrum (NCSC) het gewaarsku ransomware sal “amper sekerlik die volume en impak van kuberaanvalle in die volgende twee jaar verhoog”. Dit het losprysware uitgesonder vir spesiale aandag, en beweer dat KI 'n "opheffing" sal bied aan aanvallers in sosiale ingenieurswese en verkenning. Met ander woorde, KI-tegnologie sal gereed wees om te werk om hoogs oortuigende uitvissing-inhoud te skep wat dit moeilik is om raak te sien, en soek na bekende kwesbaarhede in geteikende organisasies. Die ISMS staat van Inligtingsekuriteitsverslag 2024 geopenbaar dat 29% van organisasies die afgelope jaar 'n losprysaanval gehad het.
Dit is onduidelik of KI reeds op hierdie manier gebruik word. Tog was lospryswaregroepe tot dusver vanjaar op die offensief, ondanks geïsoleerde oorwinnings vir wetstoepassing om te ontwrig LockBiten dwing BlackCat/ALPHV te ontbind. Gesondheidsorgorganisasies was weer aan die ontvangkant. Eerstens was dit Amerikaanse verskaffers Verander Gesondheidsorg en Hemelvaart– eersgenoemde sal na verwagting meer as $1 miljard in verband met die aanval bespreek. Die NHS Engeland is swaar getref nadat die Qilin-losprysware-stam 'n verskaffer uitgeneem het. Dit het aanvanklik gedwing die kansellasie van meer as 800 beplande operasies en 700 buitepasiëntafsprake.
Gegewe dat losprys-akteurs gewoonlik steeds hul doel bereik deur relatief eenvoudige aanvalvektore (RDP-kompromie, uitvissing, uitbuiting van kwesbaarheid), blyk dit dat organisasies moet aanhou fokus om die basiese beginsels reg te kry om veilig te bly.
Edge-toestelle vat 'n slag
Die rand blyk die nuwe grens te wees in staatsgeborgde kuberaanvalle. Die NCSC was een van die eerstes wat vanjaar 'n waarskuwing gegee het, eis dit bedreigingsakteurs verhoog hul teiken omtrekgebaseerde produkte (soos lêeroordragtoepassings, firewalls, VPN's en lasbalanseerders) ná verbeterings in die ontwerp van kliëntsagteware. Hulle is 'n perfekte teiken, aangesien kode minder waarskynlik deur ontwerp veilig sal wees as kliëntsagteware, wat foutuitbuiting makliker maak, en daar is 'n gebrek aan effektiewe aanmelding op randtoestelle, het die NCSC beweer.
Ons het die afgelope ses maande 'n tsoenami van losprysware en kuberspioenasie-aanvalle gesien as gevolg daarvan, insluitend massa-uitbuiting van Ivanti Koppel Veilig en Beleid Veilig poorte, FortiGate-toestelle, en 'n nalatenskap F5 BIG-IP toestel. 'n Onlangse Action1-verslag onthul a rekord uitbuitingskoers vir lasbalanseerders vanaf 2021-23, terwyl 'n ander verskaffer beweer die aantal CVE's wat aan randdienste en infrastruktuur gekoppel is, het tussen 22 en YTD 2023 met 2024% gestyg.
Die NCSC doen 'n beroep op organisasies om oor te skakel van op die perseel na wolk-gehuisde omtrekprodukte en brandmure te gebruik om enige ongebruikte "koppelvlakke, portale of dienste van internet-gerigte sagteware" te blokkeer.
Oopbronrisiko's sneeubal
Die risiko's van die gebruik van oopbronsagteware word al 'n geruime tyd verstaan. Bedreigingsakteurs versteek toenemend wanware in derdeparty-komponente en plaas dit in amptelike bewaarplekke in die hoop dat 'n tydarm ontwikkelaar dit aflaai. Maar in April, 'n selfs meer verraderlike bedreiging is opgegrawe na 'n toevallige ontdekking: 'n gesofistikeerde jare lange poging om agterdeur-wanware te infiltreer en in te plant in 'n gewilde oopbron-komponent bekend as xz Utils. Die groep agter die skema het baie moeite gedoen om hul kwaadwillige aktiwiteit weg te steek terwyl hulle die oorspronklike onderhouder, Lasse Collin, sosiaal gemanipuleer het om hul ontwikkelaarpersona as 'n 'vertroude' bydraer aan boord te bring.
Die slegte nuus vir sekuriteitspanne is dat veelvuldige nabootsingspogings is sedertdien ontdek, wat moontlik dui op 'n groeiende krisis vir oopbron. Sowat 79% van die respondente van ISMS.online gepraat om te sê hul besigheid is die afgelope jaar geraak deur 'n sekuriteitsvoorval wat deur 'n derdeparty-verkoper of voorsieningskettingvennoot veroorsaak is. Voortaan sal 'n groot ondersoek van sagteware-verskaffingskettings, insluitend materiaalstukke (SBOM's), gereelde kwesbaarheidskandering en strenger bestuursbeleide nodig wees.
Nakomingsuitdagings neem toe
Om Benjamin Franklin verkeerd aan te haal, niks in hierdie wêreld is seker nie, behalwe vir dood, belasting en nuwe nakomingsmandate. So het 2024 bewys, met die bekendstelling van die EU KI-wet, 'n nuwe IoT-sekuriteitswet in die Verenigde Koninkryk, voorstelle vir nuwe VK datasentrum sekuriteit reëls, 'N EU kuberveiligheid sertifiseringskema, en meer buitendien. Organisasies het ook die voldoeningsperdatum vir PCI DSS 4.0 in Maart gesien en is tans besig met voorbereiding vir NIS 2.
Baie sukkel met die werklas. ISACA navorsing eise dat veral privaatheidsprogramme onderbefonds en onderbeman is. Verouderde gereedskap en prosesse help ook nie.
Voldoening aan die beste praktyke in die industrie kan 'n sterk grondslag bou vir die lewering van regulatoriese nakomingsprogramme op gebiede soos inligtingsekuriteit (ISO 27001) en KI (ISO 42001). Maar hoewel ISMS.online vind dat 59% van organisasies beplan om besteding aan sulke programme in die komende jaar te verhoog, sê byna die helfte (46%) dit neem 6-12 maande om aan ISO 27001 te voldoen. 'n Verdere 11% beweer dit neem 12 -18 maande. Met die regte stel intuïtiewe en vooraf gekonfigureerde gereedskap behoort dit nie so moeilik te wees nie.
