Ransomware fortsatt stort säkerhetshot visar Verizon 2018 Data Breach Investigations Report

Attacker med ransomware har dubblat i antal sedan 2017 och riktas nu mot affärskritiska system.

  • Ransomware är den mest utbredda varianten av skadlig mjukvara och hittas nu i 39 % av fallen där cyberbrott begåtts med skadlig kod.
  • Den mänskliga faktorn fortsätter att vara en svaghet: HR-avdelningen ofta föremål för stöld av finansiell information och nätfiske
  • Den 11:e upplagan av DBIR inkluderar data från 67 organisationer, analys av 53 000 incidenter och 2216 intrång från 65 länder.

Ransomware-attacker är ett stort cybersäkerhetshot för globala organisationer visar Verizons Data Breach Investigations Report 2018. Det är den vanligaste typen av skadlig mjukvara och ligger bakom 39 % av fallen de dataintrång där skadlig mjukvara har använts, vilket är en dubblering från förra årets DBIR och något som står för ca 700 incidenter. Utöver detta visar Verizons analys att attackerna nu riktas mot affärskritiska system, där de krypterar servrar eller databaser och orsakar därigenom mer skada, vilket gör det möjligt att få ut större lösensummor.

Analysen i DBIR flaggar också för ett skifte i hur sociala attacker, som stöld av finansiell information med social konstruktion (financial pretexting) och nätfiske (phising) används. Attacker som dessa, vilka fortsätter att infiltrera organisationer via dess anställda är nu ett problem för varje enskild avdelning på företaget. Analysen visar att HR-avdelningar över flera branscher är måltavlor i ett försök att utvinna de anställdas skatte- och löneuppgifter så att kriminella kan begå skattebedrägerier och tillskansa sig skattefördelar.

–       Företagen har svårt att hålla jämna steg med hotbilden och fortsätter utsätta sig för risker genom att inte ta till sig dynamiska och proaktiva säkerhetsstrategier. Verizon erbjuder verkliga inblickar i den digitala hotbilden baserade på data, inte bara genom DBIR-serien, utan också via en omfattande samling av intelligenta säkerhetslösningar och tjänster. Denna 11e upplaga av DBIR ger oss djupgående information och analys kring vad som faktiskt pågår inom cyberbrott, vilket hjälper organisationer fatta intelligenta beslut kring hur de bäst kan skydda sig, säger George Fischer, President, Verizon Enterprise Solutions.

Summering av de viktigaste resultaten för DBIR 2018

  • Ransomware är den mest utbredda varianten av skadlig mjukvara. Den återfanns i 39 % av fallen relaterade till skadlig mjukvara som undersöktes i år. I jämförelse kan nämnas att ransomware var på fjärde plats i DBIR 2017 (och 22a plats 2014). En annan viktig upptäckt från Verizons analys är att ransomware har börjat påverka kritiska system snarare än enskilda datorer. Detta leder till krav på större lösensummor, vilket gör de kriminellas aktiviteter mer lönsamma trots mindre arbete.
  • Den mänskliga faktorn fortsätter att vara en stor svaghet: Anställda faller fortfarande offer för sociala attacker. Stöld av finansiell information och nätfiske representerar 98 % av de beteenderelaterade incidenterna och 93 % av alla intrång som undersöktes, där e-post fortsätter att vara den huvudsakliga ingångspunkten (96 % av fallen). Företagen löper nästan tre gånger större risk att råka ut för ett intrång genom beteendebaserade attacker än via faktiska sårbarheter, vilket understryker vikten av löpande utbildning inom cybersäkerhet.
  • Stöld av finansiell information baserat på mänskliga beteenden vanligare på HR-avdelningen: De attacker där brottslingar konstruerar en situation där de kan utnyttja mänskliga beteenden har ökat över fem gånger sedan DBIR 2017. 170 incidenter undersöktes i år (jämfört med endast 61 för DBIR 2017). 88 % av dessa incidenter riktade in sig specifikt på anställda inom HR för att komma åt personlig data för att sedan ansöka om skattefördelar som de i själva verket inte har rätt till.
  • Nätfiske kan inte längre ignoreras: Även om i genomsnitt 78 % undgick att gå i nätfiske-fällan förra året är det i genomsnitt 4 % som faller offer för varje enskilt fall av nätfiske. Dessutom behöver cyberbrottslingar bara ett enda offer för att få tillgång till en hel organisation.
  • DDoS-attacker finns överallt: DDoS-attacker kan påverka vem som helst och används ofta som en täckmantel. De startas, stoppas och startas om för att dölja ett annat pågående intrång. De är kraftfulla, men också hanterbara om rätt DDoS-förebyggande strategi finns på plats.
  • De flesta attackerna är externa: Ett intrång kan innefatta flera aktörer och vi fann följande – 72 % av attackerna genomfördes av utomstående personer, 27 % innefattade en insider, 2 % involverade partners och 2 % innefattade flera partners. Grupper av organiserade brottslingar står fortfarande för 50 % av attackerna som analyserades.

–       Ransomware kvarstår som ett betydande hot mot företag i alla storlekar. Det är nu den mest utbredda formen av skadlig mjukvara och dess användning har ökat stort under de senaste åren. Det som är intressant är att företagen fortfarande inte investerar i lämpliga säkerhetsstrategier för att slåss mot ransomware, vilket betyder att de står där utan annat val än att betala lösensumman. På så sätt är cyberbrottslingarna de enda vinnarna här. Som bransch måste vi hjälpa våra kunder att införa ett mer proaktivt förhållningssätt när det kommer till säkerheten. Att hjälpa dem förstå hoten de står inför är det första steget mot att implementera lösningar för att hjälpa dem skydda sig själva, säger Bryan Sartin, executive director, security professional services, Verizon

–       Företagen måste också fortsätta investera i de anställdas utbildning inom cyberbrott och de skadliga effekter ett intrång kan ha för ett varumärke, rykte och lönsamhet. Anställda borde vara företagets första försvarslinje, snarare än dess svagaste länk i säkerhetskedjan. Fortlöpande utbildningsprogram är av största vikt. Det krävs bara att en person klickar på ett nätfiske-mail för att blotta hela organisationen, fortsätter Sartin.

De största riskerna inom varje bransch har analyserats

Årets rapport understryker de största hoten varje bransch står inför, och erbjuder även vägledning kring vad företagen kan göra för att arbeta mot dessa risker. De viktigaste resultaten innefattar:

  • Utbildning: Sociala attacker för att stjäla personlig information är vanligt, något som sedan används för identitetsbedrägerier. Avancerade forskningsprojekt är också i riskzonen, där 20 % av attackerna motiveras av spionage. 11 % av attackerna görs också helt enkelt för att det är ”kul att se vad man kan ställa till med” snarare än med bakomliggande finansiella motiv.
  • Finans och försäkring: Skimming av betalkort via bankomater är fortfarande vanligt. Däremot ser vi nu också en ökning för ”ATM jackpotting”, där skadlig installerad mjukvara eller hårdvara beordrar uttagsmaskinen att släppa ut stora belopp kontanter. DDoS-attacker är också fortfarande ett hot.
  • Sjukvård: Detta är den enda branschen där hoten från insidan är större än de utifrån. Den mänskliga faktorn är en av de främsta bidragande orsakerna för risker inom sjukvården.
  • Informationsbranschen: DDoS-attacker står för över hälften (56 %) av incidenterna inom denna bransch.
  • Offentlig sektor: Cyber-spionage är ett stort huvudbry här där 43 % av intrången är motiverade av just spionage. Däremot är det inte bara statshemligheter som är målet, utan personlig data ligger också i farozonen.

Det är dags att agera NU

68 % av intrången tog månader eller längre att upptäcka, samtidigt som om 87 % av intrången som undersöktes fick data komprometterad inom några minuter från det att attacken ägde rum. Säkerheten kan inte garanteras, men det finns en del proaktiva steg att ta för att hjälpa organisationen från att falla offer för intrång, t.ex.

  1. Var på din vakt – loggfiler och change management-system kan ge en tidig varning för ett intrång
  2. Gör människorna till din främsta försvarslinje – utbilda personal att känna igen varningssignaler.
  3. Lagra data så att endast anställda som behöver tillgång till system för att göra sitt jobb har det.
  4. Uppdatera (patcha) systemen ofta – detta kan skydda mot flera attacker
  5. Kryptera känslig data – gör data oanvändbar ifall den blir stulen
  6. Använd två-faktorsautentisering, detta kan begränsa skadan som kan göras med försvunna eller stulna inloggningsuppgifter
  7. Glöm inte den fysiska säkerheten – all stöld av data sker inte online.