Så ser IT-säkerhets-landskapet ut 2019

Detta är ett gästinlägg av Christoffer StrömbladIT-säkerhetsspecialist på Polismyndigheten. I denna artikel får du möjlighet att spara lite tid, och samtidigt få bättre koll på vad som händer i IT-säkerhets- och hotlandskapet. Artikeln är en sammanfattning av Trustwaves senaste säkerhetsrapport, Global Security Report 2019.

Om du vill minnas något, kom ihåg det här:

  • Om du säljer något på webben och hanterar, eller accepterar, betalmedel av något slag kommer du att med stor sannolikhet utsättas för angrepp. Aktörerna finns där de har möjlighet att tjäna pengar. Lägg mycket fokus på era e-handelsplattformar.
  • Särskilt utsatta branscher är finans, detaljhandel och hotell/restaurang som tillsammans står för en stor del (39%) av utredda incidenter.
  • Phishing tillsammans med svaga lösenord eller svaga kombinationer av användarnamn/lösenord är mycket vanliga metoder som används av angriparna.
  • Vartannat e-handelsföretaget kommer att få sina webbplatser utnyttjade genom kodinjektion.
  • Skadlig kod förekommer givetvis, och är i stor utsträckning kopplad till någon form av kryptovaluta eller insamling av inloggningsuppgifter till finansrelaterade-tjänster. Där det finns pengar att tjäna...
Om du säljer något på webben och hanterar, eller accepterar, betalmedel av något slag kommer du att med stor sannolikhet utsättas för angrepp. Aktörerna finns där de har möjlighet att tjäna pengar. Lägg mycket fokus på era e-handelsplattformar.
Christoffer Strömblad,
IT-säkerhetsspecialist, Polismyndigheten

Reflektioner och sammanfattning

Först och främst slås jag av att rapporten är tämligen lättillgänglig. Jämför med Microsoft SIR... den rapporten innehåller bara upprepningar och massor av procentsatser, den känns nästan som att den är automatiskt genererad. Trustwaves rapport däremot ... not so much, detta är en bra rapport. Här skulle man nästan kunna tänka sig att det faktiskt är människor som skrivit och dragit slutsatser. Kort och gott, rapporten är värd att läsa för den är välskriven och användbar.

Vad är då mina slutsatser efter att ha läst rapporten?

Först och främst nämns ingenting om riktade angrepp. Vi kan endast spekulera i varför. Jag lutar åt hållet... det är så djäkla ovanligt, därför ingen rapportering om det. Eller så kanske det är svårt att urskilja från övriga? Men nej, jag tänker säga att det är resultatet av att de är så pass ovanliga.

Jag noterar också att samhällstjänster (utilities) tar plats i rapporten som utsatt "bransch". Detta är självklart intressant (och något beklämmande) eftersom det helt avviker från målsättningen att tjäna pengar. Dessvärre ganska lite detaljer om dessa nya procent av incidenter... men det följer onekligen diskursen och hur det politiska snacket rullar.

Personligen tar jag med mig vilka branscher som är mest utsatta och att en klar majoritet av alla intrång är kopplade till hur angripare kan tjäna pengar, enkelt. Det är inga magiska angrepp som knycker obskyra informationstillgångar... utan det handlar allt som oftast om uppenbara saker. Kreditkort, inloggningsuppgifter till banktjänster osv. Där ett givet intrång snabbt kan omsättas till pengar och vinst.

En reflektion är också att metoderna som statliga aktörer använder inte nämnvärt skiljer sig från de av cyberkriminella. Det är phishing som gäller, eller användande av stulna inloggningsuppgifter. Den stora skillnaden ligger väl snarare i att en statlig aktör har tid på sig och ingenting emot att vänta. Kriminella vill snabbt omsätta sina intrång till pengar och gå vidare.

Övriga anteckningar, utan någon direkt prioritering

Geografi

Spridningen mellan Syd- och Nordamerika, Europa och Asien är ganska jämnt fördelad, procentmässigt. Hur detta förhåller sig till antalet företag o.s.v. vore kanske intressant att undersöka?

Bransch

  • Retail (18%) och finance (11%) är mest utsatta. Hur mycket “sample-bias” ligger i detta? Vilka är deras kunder? Detta måste vi självklart veta för att kunna göra några generaliserade antaganden om vilka branscher som oftast utsätts för angrepp.
  • Utredningar av Utilities (samhällstjänster) har ökat från 0% till 7%. Detta är en oroväckande trend, för varför angripa dessa? Det är svårt att hitta motiv bortom statliga aktörer.
  • Cirka 39% av alla intrång påverkade branscherna retail, finance eller hospitality.


Bransch: e-handel

Om du, i någon utsträckning, hanterar eller i övrigt behandlar kreditkort kommer du utsättas för angrepp. Det spelar ingen roll om du “skickar vidare” betalningen till PayPal eller någon annan leverantör. Om du har en sida där användaren kan ange uppgifter kommer en angripare också försöka manipulera denna för att användaren ska mata in sina uppgifter och sedan skickas vidare.

Metod

  • Phishing användes i 46% av samtliga utredda incidenter.
  • Överlag ganska lite e-post innehöll malware (6%). Av all malspam (malware spam) användes i 38% av fallen Excel eller Word-filer, huvudsakligen då genom makron.
  • 53% av alla utredda incidenter för e-handel omfattas av kodinjektion.
  • För intrång i företagsnätverk är det phishing/social engineering samt svaga lösenord som gäller. Dessa står tillsammans för mer än 60% av intrången. (Insiders utgör endast 3% av intrången…)

Data/underlag

Nytt för det här året är att “cloud” har inkluderats i rapporten då flera intrång gjorts mot så kallade SaaS-leverantörer.

Mål

En mycket vanlig uppgift som angriparna försöker komma åt är inloggningsuppgifter för “finance”-relaterade tjänster.

Sårbarheter

Visst används sårbarheter, men endast när det finns möjlighet att “skala” upp användandet. Sårbarheter i Wordpress är exempelvis eftertraktat eller för andra stora publika programvaror.

PCI-DSS

Hjälper! Kollar vi t.ex. på användandet av TLS1.0 så ligger PCI-DSS “anslutna” företag mycket lägre än övriga vilket skulle antyda att kraven från PCI-DSS faktiskt får effekt. Sedan till vilken kostnad och reell riskreducering är en annan fråga...

Skadlig kod

Följande typer av skadlig kod används... point-of-sale, web shells, formjacking, ransomware, coin miners, RATS, android

Skadlig kod: script

PowerShell och PHP representerar tillsammans 39% av den skadliga koden.

Skadlig kod: obfuskering

Obfuskering används förvånande nog inte av hela 33%. 21% använder enklare sträng-manipulation och 16% kör någon form av kryptering.

Skadlig kod: persistens

Absolut vanligast är att registrera sig i registret med en autorun.  LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run and HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Run

Skadlig kod : exfiltrering

Är faktiskt inte så vanligt. Istället ansluter angripare till datorn för att hämta hem det som hittats.

 

Christoffer skriver regelbundet på sin blogg cstromblad.com.

Christoffer Strömblad

Gästbloggare: Christoffer är rådgivare inom cybersäkerhet med nationell såväl som internationell erfarenhet. Särskilt inriktad på avancerat cyberförsvar, offensiva förmågor och underrättelser inom cyberdomänen. Skiver på sin egen blogg www.cstromblad.com. Idag anställd på Polismyndigheten med brett ansvar inom cybersäkerhetsrelaterade frågor.
Subscription Icon Illustrations

Prenumerera på bloggen

Håll koll på senaste nytt genom att prenumerera.
Vi levererar nyheterna direkt i din inkorg!