Chefer, de som har tillgång till ett företags mest känsliga information är nu i stort fokus för social engineering-attacker, visar Verizon 2019 Data Breach Investigations Report.
Högt uppsatta chefer är 12 gånger mer sannolika att bli en måltavla när det kommer till sociala incidenter och 9 gånger mer sannolika att bli en måltavla för intrång som utförts genom social manipulation än tidigare år. Drivkraften bakom är huvudsakligen finansiella motiv. Finansiellt motiverade attacker med social engineering (12 % av alla dataintrång som analyserats) är ett viktigt ämne i årets rapport och belyser det kritiska behovet av att säkra upp att anställda på alla nivåer känner till de potentiella följderna av cyberbrott.
– Företag använder allt mer edge-baserade applikationer som levererar pålitliga insikter och upplevelser. Data om leverantörskedjan, video och annan kritisk, ofta personlig data kommer sättas samman och analyseras snabbare än en blinkning, något som förändrar hur applikationer använder säkra nätverksresurser. Säkerheten måste fortsätta ligga i centrum när dessa nya arkitekturer och applikationer implementeras.
– Teknisk IT-hygien och nätverkssäkerhet är något det inte går att ha för mycket av när det kommer till att reducera risker. Det börjar med en förståelse för din riskhållning och hotlandskapet så att du kan utveckla och ta i bruk en pålitlig plan för att skydda din verksamhet mot verkligheten med cyberbrott. Kunskap är makt och Verizons DBIR erbjuder organisationer, stora som små, en komplett överblick av dagens hotlandskap inom cyberhot, så att de snabbt kan utveckla effektiva försvarsstrategier, säger George Fischer, president på Verizon Global Enterprise.
En framgångsrik attack där någon ljuger om sin identitet, ger falska förevändningar (pretexting), mot högt uppsatta chefer kan ge stor utdelning som ett resultat av deras, ofta inte ifrågasatta, auktoritet att godkänna saker samt deras priviligierade åtkomst till kritiska system. Typiskt sätt med lite tid och under press att leverera går dessa högt uppsatta chefer snabbt igenom e-post innan de går vidare (eller en assistent som går igenom mailen åt dem), något som gör att suspekt e-post lättare tar sig igenom. Den ökade framgången för sociala attacker, som intrång i e-post för företag (BECs – business email compromises, vilket representerar 370 incidenter eller 248 bekräftade intrång av de som analyserats) kan länkas till en ohälsosam kombination av en stressig affärsmiljö med en brist på fokuserad utbildning om riskerna med cyberbrott.
Årets resultat belyser också hur den växande trenden med att dela och lagra information inom kostnadseffektiva, molnbaserade lösningar exponerar företag för ytterligare säkerhetsrisker. Analysen visar flera betydande skiften mot komprometterade molnbaserade e-postkonton genom användning av stulna användaruppgifter. Utöver detta ökar antalet error år efter år. Felaktig konfigurering (”Miscellaneous Errors”) ledde till en rad massiva intrång i molnbaserad lagring som exponerade minst 60 miljoner filer, något som analyserats i DBIRs datasamling. Detta står för 21 % av intrången som orsakats av just error.
– Allt eftersom företagen tar till sig nya digitala sätt att arbeta är det många som är omedvetna om de nya säkerhetsriskerna som de kan exponeras för. De behöver tillgång till verktyg för att upptäcka cyberbrott för en daglig överblick över deras säkerhetshållning, tillsammans med statistik kring de senaste cyberhoten. Säkerheten måste ses som en flexibel och smart, strategisk tillgång som konstant levererar till verksamheten och påverkar resultatet, säger Bryan Sartin, executive director, security professional services på Verizon.
Summering av viktiga resultat
DBIR fortsätter att leverera en komplett datadriven analys över landskapet för cyberhot. Viktiga resultat ur 2019 års rapport innefattar:
- Ny analys från FBI Internet Crime Complaint Center (IC3): Erbjuder insiktsfull analys av den påverkan intrång i företagens e-post har (BEC – Business Email Compromise) och dataintrång i datorer (CDB – Computer Data Breach). Resultaten belyser hur BECs minskas. När IC3 Recovery Asset Team agerar på BECs och arbetar tillsammans med banken dit pengarna är på väg fick hälften av alla fallen med intrång i företagens e-post från USA 99 % av pengarna åter eller frysta, och endast 9 % fick inte tillbaka något.
- Attacker mot HR-personal har minskat från förra året: Resultaten visade 6 gånger mindre HR-personal som påverkats detta år, jämför med förra vilket korrelerar med att bedrägerier med vissa skatteblanketter nästan helt har försvunnit från rapportens datasamling.
- Tekniken bakom chip och pinkodsbetalningar har börjat ge utdelning inom säkerheten: Antalet terminaler som komprometterats fysiskt när det kommer till kort-relaterade intrång minskar jämfört med komprometterade webbapplikationer.
- Ransomware-attacker fortfarande på stark framfart: De står för nästan 24 % av incidenterna där skadlig kod använts. Ransomware har blivit så pass vanlig att det nämns mindre i specialiserade medier såvida det inte har skett mot en riktigt stor måltavla.
- Media-haussade attacker med crypto-mining knappt kvar: Denna typ av attacker listades inte bland de 10 vanligaste typerna av skadlig mjukvara och stod bara för ungefär två procent av incidenterna.
- Hot utifrån dominerar fortfarande: Externa aktörer är fortfarande den huvudsakliga drivkraften bakom attacker (69 % av intrången) där insiders stod för 34 %.
Branscher under luppen
Åter igen belyser årets rapport de största hoten varje bransch står inför och erbjuder också vägledning kring vad företagen kan göra för att minska riskerna.
– Varje år analyserar vi data och varskor företag om de senaste trenderna inom cyberbrott för att de ska kunna fokusera sina säkerhetsstrategier på rätt sätt och proaktivt skydda sina verksamheter från cyberhot. Däremot, även om vi ser att specifika platser för mål och attacker förändras, så är ändå taktiken som kriminella använder i stort sett densamma. Det finns ett akut behov för företag, stora som små, att sätta verksamhetens säkerhet och att skydda kundernas data, först. Ofta kan till och med grundläggande praxis och sunt förnuft avfärda cyberbrott, säger Sartin.
Nyttiga branschspecifika resultat innefattar:
Utbildningstjänster: Det fanns ett märkbart skifte mot finansiellt motiverade brott (80 %). 35 % av alla intrång skedde på grund av mänskliga faktorer/fel och ungefär en fjärdedel av intrången kom från attacker mot webbapplikationer, de flesta kunde härledas till användningen av stulna användaruppgifter som användes för åtkomst till molnbaserad e-post.
Sjukvård: Denna bransch fortsätter att vara den enda som kontinuerligt visar ett större antal insiderattacker jämfört med externa attacker (60 vs. 42 %). Föga förvånande är att medicinska data är 18 gånger mer sannolik att komprometteras inom denna bransch och när en insider är involverad är det 14 gånger mer sannolikt att det är en yrkesverksam inom medicin som en doktor eller sköterska det handlar om.
Tillverkning: För andra året i rad är finansiellt motiverade attacker fler än de motiverade med cyber-spioneri som den huvudsakliga orsaken till intrång inom tillverkningsindustrin, och detta år i större utsträckning (68 %).
Offentlig sektor: Cyber-spioneri ökade detta år, däremot upptäcks ca 47 % av intrången åratal efter den första attacken.
Handel: Sedan 2015 har Point of Sale (PoS)-attacker minskat 10 gånger om, medan attacker mot webbapplikationer nu är 13 gånger mer sannolika att ske.
Mer data från det högsta antalet bidragande organisationer någonsin betyder djupare insikter
– Vi är priviligierade med att kunna inkludera data från fler bidragande organisationer i år än någonsin tidigare och att vi haft nöjet att välkomna FBI för första gången. Vi kan erbjuda dessa värdefulla insikter från vår DBIR-forskning som ett resultat av deltagande från välrenommerade bidragande organisationer. Vi skulle vilja tacka dem alla för deras fortsatta stöd och samtidigt välkomna andra organisationer från runt om i världen att ansluta sig för kommande upplagor, säger Sartin.
Detta är den 12e upplagan av DBIR och den har det högsta antalet globala bidragande organisationer hittills sedan lanseringen 2008, 73 stycken. Den innehåller analys av 41 686 säkerhetsincidenter vilket innefattar 2 013 bekräftade intrång. I och med denna ökning av bidragande organisationer såg Verizon en betydande ökning av data som analyserades, totalt ungefär 1,5 miljarder datapunkter av icke-incident data.
Årets rapport debuterar också nya mätvärden och resonemang som hjälper till att identifiera vilka tjänster som ses som de mest lukrativa för attackerare att både skanna av och attackera på stor skala. Denna analys är baserad på honeypot och internet scan-data.