Halvårsöversikt: De viktigaste säkerhets- och efterlevnadsutmaningarna 2024 hittills

By Phil Muncaster • 2 juli 2024 • 6 minuters läsning

I april sa regeringen till oss att hälften av de brittiska företagen hade drabbats av ett intrång under de senaste 12 månaderna, vilket steg till ännu högre för medelstora (70 %) och stora företag (74 %). Den fann att grundläggande cyberhygien, risk- och försörjningskedjehantering och incidentrespons fortfarande saknas i en oroande stor andel av dessa organisationer.

Men hur är det med de senaste sex månaderna? Vi är bara halvvägs genom året, men några viktiga teman har redan dykt upp som troligen kommer att dominera berättelsen om säkerhet och efterlevnad 2024. Våra fem bästa är:

NVD är i kris

Sårbarhetsexploatering är tillbaka på modet. Mandiant hävdar 38 % av intrången 2023 började så här, en årlig ökning med sex procentenheter. Detta är dåliga nyheter för nätverksförsvarare eftersom, utan tvekan, världens viktigaste källa till sårbarhetsinformation – NIST:s National Vulnerability Database (NVD) – har varit effektivt förlamad I flera månader. Som ett standardiserat arkiv av berikad CVE-data har det blivit en avgörande komponent i många företags automatiserade korrigerings- och sårbarhetshanteringsprocesser, såväl som säkerhetsverktyg. A plötslig avmattning in Bearbetningen av CVEs sedan februari har gjort att säkerhetsteam letar efter alternativa underrättelsekällor.

Verizon hävdar att upptäckter av sårbarhetsexploatering som en initial åtkomstvektor för dataintrång ökade med 180 % år-till-år (YoY) 2023. Det står nu för 14 % av alla intrång – vilket innebär att säkerhetsteam snabbt måste tänka på ytterligare källor till CVE info, som CVE-program, tillsammans med förbättrad hotintelligens och annan taktik.

Ransomware går från dåligt till värre

Tillbaka i januari, National Cyber Security Center (NCSC) varnade det ransomware skulle "nästan säkert öka volymen och effekten av cyberattacker under de kommande två åren". Den pekade ut ransomware för särskild uppmärksamhet och hävdade att AI kommer att ge en "lyftning" till angripare inom social ingenjörskonst och spaning. Med andra ord, AI-teknik kommer att arbeta för att skapa mycket övertygande nätfiskeinnehåll som det är svårt att upptäcka, och skanna efter kända sårbarheter i riktade organisationer. De ISMS-tillstånd av informationssäkerhetsrapport 2024 avslöjade att 29 % av organisationerna hade drabbats av en ransomware-attack under det senaste året.

Det är oklart om AI redan används på detta sätt. Ändå, hittills i år, har grupper av ransomware varit på offensiven, trots isolerade vinster för brottsbekämpande myndigheter i att störa LockBitoch tvingar BlackCat/ALPHV att upplösa. Sjukvårdsorganisationer har återigen varit i mottagandet. Först var det amerikanska leverantörer Byt vård och Uppstigning– Den förstnämnda förväntade sig att boka kostnader över 1 miljard dollar i relation till attacken. NHS England drabbades hårt efter att Qilin ransomware-stammen tog ut en leverantör. Det tvingade till en början avbokning av över 800 planerade operationer och 700 polikliniska möten.

Med tanke på att ransomware-aktörer fortfarande vanligtvis uppnår sina mål via relativt enkla attackvektorer (RDP-kompromiss, nätfiske, exploatering av sårbarheter), verkar det som att organisationer måste fortsätta fokusera på att få grunderna rätt för att förbli säkra.

Edge-enheter tar hårt

Kanten verkar vara den nya gränsen för statligt sponsrade cyberattacker. NCSC var en av de första som signalerade en varning i år, hävdar det Hotaktörer ökar sina inriktningar på perimeterbaserade produkter (som filöverföringsapplikationer, brandväggar, VPN och lastbalanserare) efter förbättringar i designen av klientprogramvara. De är ett perfekt mål, eftersom kod är mindre sannolikt att vara säker genom design än klientprogramvara, vilket gör buggutnyttjande lättare, och det finns en brist på effektiv inloggning på edge-enheter, hävdade NCSC.

Vi har sett en tsunami av ransomware och cyberspionageattacker under de senaste sex månaderna som ett resultat, inklusive massutnyttjande av Ivanti Connect Secure och Policy Secure gateways, FortiGate-enheter, och ett arv F5 BIG-IP apparat. En färsk rapport från Action1 avslöjade a rekordutnyttjandegrad för lastbalanserare från 2021-23, medan en annan leverantör hävdade antalet CVE:er kopplade till edge-tjänster och infrastruktur ökade med 22 % mellan 2023 och YTD 2024.

NCSC uppmanar organisationer att byta från lokala till molnbaserade perimeterprodukter och använda brandväggar för att blockera oanvända "gränssnitt, portaler eller tjänster för internetansluten programvara".

Öppen källkod riskerar snöboll

Riskerna med att använda programvara med öppen källkod har förståtts under en tid. Hotaktörer döljer alltmer skadlig programvara i tredjepartskomponenter och placerar den i officiella arkiv i hopp om att en utvecklare som inte har tid att ladda ner dem. Men i april en ännu mer smygande hot avslöjades efter en oavsiktlig upptäckt: ett sofistikerat år långt försök att infiltrera och implantera bakdörr skadlig kod i en populär öppen källkodskomponent känd som xz Utils. Gruppen bakom schemat gick långt för att dölja sin skadliga aktivitet samtidigt som de socialt utvecklade den ursprungliga underhållaren, Lasse Collin, för att ta med sin utvecklarpersona ombord som en "pålitlig" bidragsgivare.

De dåliga nyheterna för säkerhetsteam är att flera kopieringsansträngningar har sedan dess upptäckts, som potentiellt antyder en växande kris för öppen källkod. Cirka 79 % av de svarande på ISMS.online talade för att säga deras verksamhet har påverkats under det senaste året av en säkerhetsincident orsakad av en tredjepartsleverantör eller leveranskedja. Framöver kommer det att krävas en noggrann granskning av mjukvaruförsörjningskedjor, inklusive stycklistor (SBOM), regelbunden sårbarhetsskanning och mer rigorösa styrningspolicyer.

Efterlevnadsutmaningar ökar

För att felcitera Benjamin Franklin, ingenting i den här världen är säkert förutom döden, skatter och nya efterlevnadsmandat. Så har 2024 visat sig, med lanseringen av EU:s AI-lag, ny IoT-säkerhetslag i Storbritannien, förslag till nya Storbritannien datacentersäkerhetsregler, En EU:s system för cybersäkerhetscertifiering, och mer därtill. Organisationer såg också att deadline för efterlevnad av PCI DSS 4.0 passerade i mars och är för närvarande upptagna med att förbereda sig för NIS 2.

Många kämpar med arbetsbördan. ISACA forskning hävdar att i synnerhet integritetsprogram är underfinansierade och underbemannade. Äldre verktyg och processer hjälper inte heller.

Efterlevnad av branschens bästa praxis kan bygga en stark grund för att leverera regelefterlevnadsprogram inom områden som informationssäkerhet (ISO 27001) och AI (ISO 42001). Men medan ISMS.online finner att 59 % av organisationerna planerar att öka utgifterna för sådana program under det kommande året, säger nästan hälften (46 %) att det tar 6-12 månader att uppfylla ISO 27001. Ytterligare 11 % hävdar att det tar 12 -18 månader. Med rätt uppsättning intuitiva och förkonfigurerade verktyg borde det inte vara så svårt.

Halvårsöversikt: De viktigaste säkerhets- och efterlevnadsutmaningarna 2024 hittills

NVD är i kris

Ransomware går från dåligt till värre

Edge-enheter tar hårt

Öppen källkod riskerar snöboll

Efterlevnadsutmaningar ökar

Phil Muncaster

Relaterade artiklar

Om utbrändhet vore en säkerhetsrisk hade vi redan löst den.

Varför Storbritanniens NIS-uppdatering kan innebära extra arbete för organisationer inom ramen för direktivet

EU:s AI-lags tidsfrist från augusti 2026 har försenats: Vad det innebär för företag

Mer från Phil Muncaster

Varför Storbritanniens NIS-uppdatering kan innebära extra arbete för organisationer inom ramen för direktivet

Hur kan säkerhetsteam förbereda sig för en framtid efter mytos?

Att minska motståndskraftsklyftan: Där regeringen säger att UK PLC fortfarande misslyckas