IT-sikkerhetsåret 2021 – og hvordan gå sikrere inn i 2022?

2021 var nok et utfordrende år for alle, og for de som jobber for å bekjempe nettkriminalitet har det ikke vært mangel på både angrepsforsøk og alvorlige hendelser å håndtere. Menneskelig svikt er fortsatt en betydelig faktor for nettangrep, og høytid er dessverre angripernes høysesong.

Derfor deler vi en liten oppsummering av årets IT-sikkerhetshendelser, og kommer med våre råd til en sikrere jul og 2022 for bedrifter i Norge.

Phishing er størst

Verizon 2021 Data Breach Investigation Report (DBIR) analyserte 79 635 hendelser fra 88 land, og et sammendrag av funnene viser at:

• 85 % av databruddene involverte et menneskelig element (phishing og stjålet legitimasjon).

• 61 % av databruddene involverte legitimasjon.

• 13 % av non-DoS-hendelser involverte løsepengevirus (ransomware).

• 3 % av bruddene involverte sårbarhetsutnyttelse.

Phishing er fortsatt en av de største angrepsmetodene. Dette står for 36 prosent av databruddene (opp fra 25 prosent i fjor). Ifølge rapporten involverte 85 prosent av bruddene et menneskelig element. Dette understreker viktigheten av sikkerhetsbevissthet. Det er åpenbart at alle er et mulig offer, og fortsatt er mennesker det svakeste leddet i sikkerheten.

Utsatt på hjemmekontor

Den globale COVID-19-pandemien har tvunget mange bedrifter til å tilpasse seg et eksternt arbeidsmiljø. Etter hvert som ansatte begynte å jobbe eksternt og organisasjoner aktiverte ekstern tilgang, kan vi se en betydelig økning i angrep av typen sosial manipulasjon rettet mot ansatte med over 30 prosent av datainnbrudd. Disse angrepene skjer ved bruk av sosial teknikk og grunnleggende nettapplikasjonsangrep. Som en løsning må vi skape en cybersikkerhetskultur i organisasjoner der ansatte ikke er redde for å be om hjelp, eller rapportere potensielle sikkerhetshendelser.

Ransomware – en økende global trend

Den største endringen dette året var at løsepengevirus (ransomware) tok tredjeplassen i datainnbrudd. Spesielt det siste året har skaperne av viruset også etablert en form for partnerprogram, noe som har ført til en økning av "ransomware as a service". Det vil si at dyktige kriminelle har utviklet et spesifikt type ransomware, og leier ut tilgang til å bruke dette i angrep videre til andre aktører som kanskje ikke sitter på den samme tekniske kompetansen til å utvikle det selv. Skaperne tar ofte en andel av løsepengene også.

Colonial Pipeline, Steamship Authority of Massachusetts, JBS, og Washington DC Metropolitan Police Department er noen av de mest fremtredende eksemplene som har vært utsatt for løsepengevirusangrep. Som en innledende angrepsvektor bruker de fleste ransomware-gjenger sosial manipulering. Når en brukers legitimasjon er kompromittert, distribuerer cyberkriminelle løsepengevirus og venter til alle sikkerhetskopiene blir kompromittert, noe som bringer offerets virksomhet ned for full telling. Harvard Business Review rapporterer at beløpet selskaper betalte til hackere med økte 300 % i 2021.

Dette er en ny trend innenfor cybersikkerhet vi ser. I stedet for kun å bruke passive forsvarsmekanismer for å begrense angrep, som brannmurer, patching, systemherding og alle de tradisjonelle sikkerhetsmekanismene, kan vi også se en økende tendens til å bruke aktivt cyberforsvar til en viss grad for å gjøre internett til et sikkert sted.

Hvordan ser IT-sikkerhetsåret 2022 ut?

Ifølge ENISA forventes det at forsyningskjedeangrep firedobles i 2022 sammenlignet med fjoråret. En forsyningskjede er kombinasjonen av økosystemet av ressurser som kreves for å designe, produsere og distribuere et produkt. I it-sikkerhet inkluderer en forsyningskjede maskinvare og programvare, sky eller lokale lagrings- og distribusjonsmekanismer.

SolarWinds forsyningskjedeangrep utført av trusselgruppen APT29(CozyBear), er et nylig eksempel på et forsyningskjedeangrep. En slik ny trend understreker behovet for at beslutningstakere og it-sikkerhetssamfunnet handler nå. Det kreves nye beskyttelsestiltak for å forhindre og reagere på potensielle forsyningskjedeangrep i fremtiden, og tiltakene må innføres snarest.

Veksten av avanserte vedvarende trusler (APT) har blitt det viktigste problemet, og det vil fortsette å vokse i det neste året også. APT er et langsiktig cyberangrep utført mot mål med svært sensitiv informasjon eller lignende. De kriminelle hacker seg inn i systemene og forblir der over en lang periode. De overvåker bevegelsene, trekker ut data og skjuler identiteten sin ved hjelp av sofistikerte verktøy. "Stuxnet"-virusangrepet på Irans atomanlegg i 2010 er viktig eksempel på hvordan APT kan operere.

Bruk av sosial manipulering i den innledende fasen av angrep, utvikling eller kjøp av nulldagers skadevare, misbruk av legitime innebygde verktøy hos offeret (Living off the Land), bruk av filfri skadelig programvare og APT-angrep har gjort det nesten umulig å oppdage og forsvare seg mot cyberangrep.

Så hva gjør du under et cyberangrep?

De fleste angrep har allerede pågått i flere måneder når de først blir oppdaget. Som regel får bedrifter vite om angrepet gjennom etterretningstjenesten.

Forebygging er viktig, men oppdagelse er avgjørende. Ingen selskaper er for små eller for store til at nettkriminelle kan presse og utnytte dem. Datainnbrudd er nærmest en selvfølge blitt, og bedrifter må prioritere å redusere tiden det tar å oppdage angrepet, samt redusere tiden det tar å reagere på det.

De viktigste faktorene når du er under angrep er derfor:

1. Umiddelbar oppdagelse av cyberangrepet

2. Rask respons på angrepet – forutsetter en god responsplan på plass.

Din IT-sikkerhetspartner vil oppdage trusler, varsle deg og iverksette mottiltak umiddelbart. Med en dedikert incident response-avtale fra Cyberon Security får du umiddelbar hjelp fra våre sikkerhetseksperter. Vi vet at du er avhengig av å være tilgjengelig for dine kunder via dine IT-systemer og tjenester, så vår prioritet er å få deg tilbake i drift raskest mulig på sikrest mulig måte. Cyberon inkluderer et eget beredskapskit. Dette gir din bedrift muligheten til å kommunisere og starte gjenopprettingen i et sikkert miljø, uten å vente på backup, oppsett av nye datamaskiner eller bruk av risikabelt utstyr.

Mistenker du at din bedrift er under angrep? Ring vakttelefonen +47 23 89 84 25

Hvordan kan du sikre deg bedre i forkant av et angrep?

Om du ikke har en responsplan for brudd på din bedrifts it-sikkerhet eller en pålitelig sikkerhetspartner du samarbeider tett med, så anbefaler vi deg først og fremst å få en oversikt over bedriftssikkerheten din. Da kan du avdekke feilene før problemene oppstår. Når Cyberon Security foretar en sikkerhetsgjennomgang bruker vi 1,5 dag og går igjennom dine:

• Webtjenester og kundeportaler

• Server

• Brannmur

• Antivirus

• Patch

• Backup

• Skyløsninger

• Interne rutiner

Vær i forkant og sikre dine tjenester med enkle justeringer for å heve sikkerheten, og slik redusere risikoen betraktelig for å bli oppdaget og angrepet av kriminelle. Cyberon leverer en SOC-tjeneste (sikkerhetsoperasjonssenter) som ikke bare reagerer ved direkte angrep, men som til enhver tid ser etter potensielle sårbarheter i din bedrift. Våre dedikerte sikkerhetseksperter analyserer og varsler om disse mulige sårbarhetene før de blir utnyttet av de kriminelle.

 
Noen siste råd før du tar juleferie

1.       Kjør de oppdateringene du (kanskje) har utsatt.

2.       Kjør en sårbarhetsskann av dine enheter og nettverk.

3.       Koble arbeidsenheter fra wifi.

4.       Skru datamaskinen helt av.

Da kan du gå inn i juleferien med litt mer avslappede skuldre.

Ha en sikker jul og et proaktivt nyttår.