Vad den senaste Verizon dataintrångsrapporten berättar om hotbilden

Branschtrender kommer och går. men en stapelvara i cybersäkerhetslandskapet under de senaste 17 åren har varit Verizon Data Breach Investigations Report (DBIR). Det är en rigorös analys av verkliga dataintrång och incidenter från Verizon och partners, vilket ger en av de bästa och mest detaljerade ögonblicksbilderna av det nuvarande hotlandskapet. Enbart Verizon säger sig bearbeta 34 biljoner loggar varje år.

Så vad är historien för 2023? Det är både lugnande och lite deprimerande att se att – trots oro över AI:s roll i cyberbrottslighet – det är de vanliga misstänkta för exploatering av sårbarhet, risk för leveranskedjan och mänskliga fel som fortsätter att plåga företag. Deprimerande, eftersom organisationer fortfarande inte har tagit tag i de här utmaningarna, men lugnande eftersom ramverk och standarder för bästa praxis erbjuder en färdig väg för att mildra sådana risker.

Ny rapport, samma gamla överträdelser

I år baseras rapporten på analys av 30,458 10,626 säkerhetsincidenter och XNUMX XNUMX bekräftade intrång – dubbelt så många som för ett år sedan. Det är inte en indikation på att det var fler överträdelser i sig; helt enkelt att rapporten innehåller mer data och därför sannolikt är en mer korrekt representation av vad som verkligen händer där ute. Så vad avslöjar det? Tre sammankopplade teman sticker ut:

1) Sårbarheterna ökar i höjden

DBIR noterar en 180 % ökning av sårbarhetsexploatering som en grundorsak till dataintrång. De står nu för 14% av alla intrång, enligt Verizon. Ökningen drevs främst av det växande utnyttjandet av nolldagsbuggar av ransomware-aktörer: tänk på MOVEit. Den kampanjen förra året ledde till nästan kompromiss 3,000 95 organisationer och XNUMX miljoner nedströmskunder – av vilka många var inom utbildnings-, finans- och försäkringssektorerna.

Det är å ena sidan sant att systemadministratörer har en otacksam uppgift. Ett rekordantal CVEs har publicerats till National Vulnerability Database (NVD) för senaste sju åren. År 2023 fanns det över 29,000 XNUMX sårbarheter. Och hotaktörer riktar in sig på dessa sårbarheter med ökande hastighet. En fjärdedel utnyttjas dagen för deras publicering. Ändå måste nätverksförsvarare göra det bättre. Verizon upptäcker att det tar cirka 55 dagar att åtgärda 50 % av kritiska sårbarheter som finns listade i katalogen för cybersecurity Infrastructure and Security Agency (CISA) Known Exploited Vulnerabilities (KEV) när patchar är tillgängliga. Mediantiden för upptäckt massexploatering av dessa buggar är fem dagar.

Organisationer kör uppenbarligen fortfarande inte automatiserade riskbaserade program för patchhantering, vilket skulle hjälpa dem att prioritera uppdateringar och förbättra motståndskraften hos kritiska system. Zero-day buggar, å andra sidan, är svårare att blockera direkt. Men begränsningar kan införas för att minska deras inverkan, inklusive nätverkssegmentering och kontinuerlig upptäckt och respons.

2) Tredje part är en stor attackvektor

En del av anledningen till att sårbarhetsexploatering ökar som en initial åtkomstvektor är på grund av buggyprodukter. Detta för oss till det andra temat: risk att involvera tredje part. Här räknar Verizon affärspartners (som advokatbyråer eller städföretag), tredje parts databehandlare eller vårdnadshavare som hanterade tjänsteleverantörer och mjukvaruleverantörer (inklusive öppen källkod). Den finner en ökning med 68 % av intrång som involverar tredje part som denna, så att de nu står för 15 % av det totala – främst drivna av utpressare som använder nolldagars utnyttjande i attacker.

"Vi rekommenderar att organisationer börjar titta på sätt att göra bättre val för att inte belöna de svagaste länkarna i kedjan", hävdar rapporten. "I en tid där avslöjande av intrång börjar bli obligatoriskt kan vi äntligen ha verktygen och informationen för att mäta säkerhetseffektiviteten hos våra potentiella partners."
Dessa resultat återspeglas av en ny studie från ISMS.online, The State of Information Security Report 2024. Den avslöjar att den stora majoriteten (79 %) av informationssäkerhetsproffsarna medger att leveransrisk har översatts till äntligen en väsentlig säkerhetsincident under senaste 12 månaderna.

3) Människor förblir en högsta riskfaktor

Det kanske mest föga överraskande resultatet i år är att anställda utan tvekan är den största orsaken till dataintrång – vare sig direkt eller indirekt. De flesta (68 %) överträdelser som analyserats involverar ett "icke-skadligt mänskligt element", vilket innebär att någon gjorde ett misstag eller blev offer för en social ingenjörsattack. Den siffran är i stort sett oförändrad från föregående år. Social ingenjörskonst betyder antingen nätfiske eller, mer troligt, förevändning – vilket är kopplat till affärse-postkompromiss (BEC). Det sistnämnda står nu för omkring en fjärdedel av ekonomiskt motiverade incidenter, oförändrat från ett år sedan.

Social ingenjörskonst bidrar också till en framstående upptäckt från EMEA: att hälften (49 %) av alla överträdelser nu härrör från organisationer, snarare än externa aktörer. Social ingenjörskonst ligger också bakom den fortsatta rankningen av "meriter" som en första åtgärd vid överträdelser (24%). Inloggningsuppgifter äventyras i hälften (50 %) av attackerna inom social ingenjörskonst. Och även om de ibland stjäls via tredje part utan någons förskyllan, vid andra tillfällen utnyttjas svaga referenser av brute-force-angripare i intrång. Detta stämmer återigen med ISMS.online-rapporten, som visar att en tredjedel (32 %) av de tillfrågade upplevde sociala ingenjörsattacker under de senaste 12 månaderna. Cirka 28 % citerar insiderhot.

Det finns en liten anledning till optimism om att användarnas medvetenhet förbättras – eftersom användarna verkar bli bättre på att rapportera nätfiske. Verizon upptäcker att 20 % av användarna identifierar och rapporterar nätfiske i simuleringsinsatser, och 11 % av de som klickar sig vidare rapporterar också. Men det faktum att siffran på 68 % för icke-skadliga mänskliga fel inte har förändrats på ett år visar att det fortfarande finns mycket att göra.

Tid för handling

Cassius Edison, chef för professionella tjänster på Closed Door Security, varnar för att den fem dagar långa mediantiden för upptäckt av allmänt utnyttjade sårbarheter fortfarande är för lång.

"En medianupptäcktstid på fem dagar innebär betydande risker, vilket potentiellt ger skadliga aktörer gott om tid att utnyttja sårbarheter", säger han till ISMS.online. "Medan lösningarna för att förbättra upptäcktshastigheten, såsom förbättrad hotintelligens och realtidsövervakning, skulle medföra kostnader, kan en grundlig riskbedömning hjälpa till att prioritera dessa investeringar effektivt."

Barrier Networks som hanterar CISO, Jordan Schroeder, tillägger att 55 dagar att åtgärda också är alldeles för långsamt för organisationer som är allvarliga med att begränsa cyberrisk.

"System som är en del av uppsättningen som utnyttjas massivt bör uppdateras så snart som möjligt", säger han till ISMS.online. "Ett OT/ICS-system som inte har tillgång till internet löper en lägre risk för exploatering. Så en riskbaserad bedömning av vad som behöver uppdateras, och hur snabbt det behöver utföras, måste göras.”
Schroeder stöder också användningen av standarder och ramverk för bästa praxis, så länge som CISO:er accepterar att de inte är ett universalmedel.

"De ger en mycket viktig grund för alla organisationer att bygga ett säkerhetsprogram som fungerar för dem, och för att säkerställa att viktiga faktorer beaktas", hävdar han. ”Jag börjar alltid designa eller förbättra en säkerhetsstrategi eller -plan med befintliga ramverk. Jag har inte alltid en strategi eller plan som passar perfekt med de ramarna. Men i slutet av processen kommer organisationen att noga ha övervägt varje punkt och skapat något som har stått för allt.”

En blandning av standarder kan hjälpa till att fylla eventuella luckor som finns i enskilda erbjudanden, säger han.

"En organisation kan dramatiskt förbättra sin förmåga att mildra de vanliga problem som lyfts fram i denna rapport genom att medvetet och intelligent stödja sig på en blandning av ramverk och standarder som passar bra för organisationen, och ytterligare medvetet förfinas för att skapa en kraftfull standard som passar organisationen bäst”, avslutar Schroeder.