Temat för spionromaner och cyberspionage är ofta ganska verkligt och ett ständigt hot för många industrier och regeringar.
Att stjäla industri- och regeringshemligheter är mycket lönsamt, där förövarna är tekniskt skickliga, tålmodiga och beslutsamma. I flera år har cyberspionagevärlden varit dold för de flesta av oss – tills nu.
Baserat på analyser av Verizon Business Data Breach Investigations Report (DBIR) har experter från Verizons Threat Research Advisory Center (VTRAC) sammanställt Verizon Cyber-Espionage Report (CER), där sju års (2014 till 2020) DBIR-innehåll utvärderas. Rapporten fokuserar på cyberspionagets unika natur, från förövarna och deras tillvägagångssätt, till de specifika egenskaper som IT-säkerhetsteam behöver för att upptäcka och försvara sina organisationer mot cyberspioner.
Fakta – vad vet vi idag?
När vi tittar närmare på de mest utbredda typerna av intrång inom DBIR-tidsramen 2014-2020 är andelen ekonomiskt motiverade högre (mellan 67-86 procent), medan de cyberspionage-relaterade är relativt lägre (mellan 10-26 procent). Låt dig inte luras att denna lägre andel gör cyberspionage-brotten mindre verkningsfulla; de smygande egenskaperna hos dessa attacker gör dem mer genomgripande och kraftfulla. Medan ekonomiskt motiverade intrång är mer sannolika att upptäckas på grund av försvunna pengar och att de rapporteras som ett resultat av gällande riktlinjer, så bedöms cyberspionage-relaterade datastölder vara några av de mest allvarliga och affärskritiska när det kommer till ett företags sekretess. Med detta i åtanke är cyberspionage ett motiv som inte bör ignoreras.
De främsta branscherna som vanligtvis utsätts för cyberspionage är den offentliga sektorn (31 procent), följt av tillverknings- (22 procent) och yrkesindustrin (11 procent), troligtvis på grund av det faktum att det är de som sitter på majoriteten av de hemligheter och den information som cyberspionage-brottslingarna vill tillskansa sig.
Det som skiljer cyberspionage från andra sorters intrång är, förutom metoden, brottslingarnas skicklighet och tålamod.
Malware (90 procent), social manipulering (83 procent) och hacking (80 procent) är de vanligaste metoderna bland cyberspionerande hotaktörer. Detta skiljer sig markant från dataintrång i allmänhet, där hacking (56 procent) är den dominerande metoden följt av malware (39 procent) och social manipulering (29 procent). Skillnaden beror på att dessa metoder bygger på långsamma, metodiska och tidskrävande processer som går hand i hand med den tålmodighet och komplexitet som åtföljer cyberspionage-attacker.
Dessa hot tar också från flera månader till år att upptäcka (jämfört med dagar till månader för IT-bedrägerier i allmänhet), samt att de ofta lurar i skuggorna tills det är dags att slå till.
Rekommendationer om vägen framåt
Cyberspionage-rapporten innehåller detaljer om hur organisationer kan hjälpa till att försvara och även återhämta sig från denna sorts attacker. Några inledande rekommendationer är:
- Medarbetarna utgör första försvarslinjen. Social manipulering, eller nätfiske, är en vanlig metod som cyberspioner använder för att få tillgång till känsliga system; det är därför helt avgörande att regelbundet utbilda de anställda om säkerhetsmedvetenhet.
- Stärk gränsförsvaret. Effektiva gränsförsvar (såsom nätverkssegmentering) och effektivare åtkomsthanteringsfunktioner (t ex åtkomst som beviljas på need-to-know–basis) kan mildras av cyberspionage-attacker.
- Ett robust Managed Detection and Response (MDR)-erbjudande kan blottlägga indikatorer på riskfaktorer i nätverket och slutpunkterna. Viktiga komponenter i MDR inkluderar säkerhetsinformation och eventhanteringsteknologier (SIEM); hotinformation; analys av användar- och enhetsmönster (UEBA); funktioner för hotjakt, liksom integrationer med slutpunktdetektering och respons (EDR), nätverksdetektering och respons (NDR), samt bedrägeritekniker.
- Dataläckage/förlustförebyggande (DLP) kan flagga för känsliga data som smygs ut ur organisationen på något sätt.
- Optimering av information kring cyberhot kan hjälpa till att identifiera riskindikatorer; att utnyttja taktiker, tekniker och förfaranden; och implementering av en stark plan för incidenthantering är också viktiga strategier för att bekämpa cyberspionage.
John Grim, huvudförfattare till Verizons cyberspionage-rapport delar med sig av sina tankar kring IT-säkerhet:
”Cyberbrott kommer i alla former och storlekar, men att bekämpa och förhindra dem är lika viktigt. Det är vårt mål att, genom att dela med oss av vår expertis och branschdata, kunna hjälpa företag och regeringar att skräddarsy sina IT-säkerhetsstrategier för att bli mer effektiva. Försvars-, upptäckts- och reaktionsplaner bör testas regelbundet och optimeras för att direkt möta cyberhoten. Detta är särskilt viktigt vid cyberspionage, som vanligtvis involverar avancerade hot riktade mot specifika data och där metoder används för att undvika upptäckt och förvägra effektiva försvarsinsatser”