Oppbygningen av en moderne angrepsoverflate

For de fleste organisasjoner er e-post en essensiell del av den daglige forretningsdriften. Dessverre er e-post en av de største trusselvektorene. 35 % av løsepengevirushendelser i 2022 involverte bruken av e-post.⁴ Angripere utfører flere e-postangrep enn noen gang før – i 2022 hadde phishing-angrepshastigheten økt med 61 % sammenlignet med 2021^.5

Angriperne utnytter også nå vanligvis legitime ressurser for å utføre phishing-angrep. Dette gjør det enda vanskeligere for brukere å differensiere mellom ekte og skadelige e-poster, og øker sannsynligheten for at en trussel slipper gjennom. Samtykke-phishing-angrep er ett eksempel på denne trenden, hvor trusselaktørene misbruker legitime skytjenesteleverandører for å lure brukerne til å gi tillatelser for å få tilgang til konfidensielle data.

Uten muligheten til å korrelere e-postsignaler til større hendelser for å visualisere angrep, kan det ta lang tid å oppdage en trusselaktør som har oppnådd tilgang via e-post. Og innen den tid kan det være for sent å forhindre skaden. Mediantiden det tar for en angriper å få tilgang til en organisasjons private data er bare 72 minutter.⁶ Dette kan resultere i alvorlige tap på virksomhetsnivå. Kompromittering av forretnings-e-post (BEC) kostet anslagsvis USD 2,4 milliarder i justerte tap i 2021⁷

I dagens skybaserte verden har sikring av tilgang blitt mer avgjørende enn noen gang. Som et resultat av dette, er det å oppnå en dyp forståelse av identitet på tvers av organisasjonen – inkludert brukerkontotillatelser, arbeidsbelastningsidentiteter, og potensielle sårbarheter  – avgjørende, særlig siden angrepene øker i frekvens og kreativitet.

Antallet passordangrep steg til anslagsvis 921 angrep hvert sekund i 2022 – en økning på 74 % fra 2021.⁸ Hos Microsoft har vi også sett at trusselaktører blir mer kreative for å omgå godkjenning med flere faktorer (MFA), og bruker teknikker som motstander-i-midten-phishing-angrep og tokenmisbruk for å få tilgang til organisasjonenes data. Phishing-sett har gjort det enda enklere for trusselaktører å stjele legitimasjon. Microsofts avdeling for nettkriminalitet har observert en økt kompleksitet i phishing-settene det siste året, sammen med svært lave inngangsbarrierer – der én selger tilbyr phishing-sett for så lite som USD 6 per dag.⁹

Håndtering av identitetsangrepsoverflaten er mer enn å sikre brukerkontoer – det omfatter skytilgang i tillegg til arbeidsbelastningsidentiteter. Kompromittert legitimasjon kan være et mektig verktøy som trusselaktører kan bruke, for å skape kaos i skyinfrastrukturen til en organisasjon.

Gitt antallet enheter i dagens hybridmiljø har sikring av endepunkter blitt mer utfordrende. Det som ikke har endret seg, er at sikring av endepunkter – særlig uadministrerte enheter – er avgjørende for en sterk sikkerhetsstatus, siden så lite som én kompromittering kan gi trusselaktørene tilgang til organisasjonen.

Etter hvert som organisasjoner har sluttet seg til BYOD (bring din egen enhet) -policyer, har uadministrerte enheter spredd seg. Som en konsekvens av dette, er endepunktangrepsoverflaten nå større og mer eksponert. Det finnes gjennomsnittlig 3500 tilkoblede enheter i en virksomhet som ikke er beskyttet av en endepunktsoppdagelse og -svaragent.¹¹

Uadministrerte enheter (som er en del av «skygge-IT»-landskapet) er spesielt tiltalende for trusselaktører, siden sikkerhetsteamene mangler synligheten som er nødvendig for å sikre dem. Hos Microsoft har vi sett at brukere har 71 % større sannsynlighet for å bli infisert på en uadministrert enhet.¹² Siden de kobler til bedriftsnettverk, gir uadministrerte enheter også angriperne muligheter til å starte bredere angrep på servere og annen infrastruktur.

Ikke-administrerte servere er også potensielle vektorer for endepunktangrep. I 2021 observerte Microsoft Sikkerhet et angrep der en trusselvektor utnyttet en server som ikke var oppdatert, navigerte gjennom kataloger, og oppdaget en passordmappe som gav tilgang til kontolegitimasjon.

En av de mest oversette endepunktangrepsvektorene er IoT (Tingenes Internett) – som omfatter flere milliarder enheter, både store og små. IoT-sikkerhet omfatter fysiske enheter som kobler til og utveksler data med nettverket, slik som rutere, skrivere, kameraer, og andre liknende enheter. Det kan også omfatte driftsenheter og -sensorer (driftsteknologi) eller «OT», slik som smartutstyr eller produksjonslinjer innen produksjon.

Etter hvert som antallet IoT-enheter vokser, gjør antallet sårbarheter det samme. Innen 2025 anslår IDC at 41 milliarder IoT-enheter fremdeles finnes i bedrifts- og forbrukermiljøer.¹⁵ Siden mange organisasjoner styrker rutere og nettverk for å gjøre dem vanskeligere for trusselaktører å gjøre innbrudd i, blir IoT-enheter et stadig enklere og mer tiltalende mål. Vi har ofte sett at trusselaktører utnytter sårbarheter for å gjøre IoT-enheter om til proxyer – og bruker en eksponert enhet som et fotfeste i nettverket. Når en trusselaktør har fått tilgang til en IoT-enhet, kan vedkommende overvåke nettverkstrafikken for andre ubeskyttede ressurser, flytte seg lateralt for å infiltrere andre deler av målets infrastruktur, eller utføre rekognosering for å planlegge store angrep på sensitivt utstyr og enheter. I én studie rapporterte 35 % av de sikkerhetsansvarlige at det i løpet av de to siste årene ble brukt en IoT-enhet for å utføre en større angrep på organisasjonen.¹⁶

Dessverre er IoT ofte en svart boks for organisasjoner når det gjelder synlighet, og mange mangler ordentlige sikkerhetstiltak for IoT. 60 % av de sikkerhetsansvarlige oppga IoT- og OT -sikkerhet som ett av de minste sikre aspektene i IT- og OT-infrastrukturen deres.¹⁷

I dag strekker den eksterne angrepsoverflaten til en organisasjon seg over flere skyer, komplekse digitale forsyningskjeder og enorme tredjeparts økosystemer. Internett er nå en del av nettverket, og til tross for den nesten umålelige størrelsen må sikkerhetsteamene forsvare organisasjonens tilstedeværelse gjennom hele Internett, i samme grad som alt bak brannmurene. Og etter hvert som flere organisasjoner tar i bruk prinsippene til nulltillit, har beskyttelse av både interne og eksterne angrepsoverflater blitt en Internett-utfordring.

Den globale angrepsoverflaten vokser med Internett, og den utvides hver dag. Hos Microsoft har vi sett bevis på denne økningen på tvers av mange typer trusler, slik som phishing-angrep. I 2021 ledet Microsofts avdeling for nettkriminalitet fjerning av mer enn 96 000 unike phishing-nettadresser og 7700 phishing-sett, noe som førte til identifisering og stenging av over 2200 skadelige e-postkontoer som ble brukt til å samle inn stjålet kundelegitimasjon.²⁴

Den eksterne angrepsoverflaten strekker seg langt utover organisasjonens egne ressurser. Det omfatter leverandører, partnere, uadministrerte personlige ansattenheter koblet til bedriftsnettverk eller -ressurser, og nyoppkjøpte organisasjoner. Som en konsekvens av dette, er det avgjørende å være oppmerksom på eksterne tilkoblinger og eksponering for å kunne redusere potensielle trusler. En Ponemon-rapport for 2020 avdekket at 53 % av organisasjonene hadde opplevd minst ett datainnbrudd forårsaket av en tredjepart de siste 2 årene, noe som kostet gjennomsnittlig USD 7,5 millioner å reparere.²⁵

Etter hvert som infrastrukturen bak cyberangrepene øker, har synligheten inn i trusselinfrastrukturen og beholdningsregistrering av Internett-eksponerte ressurser blitt viktigere enn noen gang. Vi har sett at organisasjoner ofte strever med å forstå omfanget av den eksterne eksponeringen, noe som resulterer i en betydelig mangel på forståelse. Denne mangelen på forståelse kan få katastrofale konsekvenser. I 2021 opplevde 61 % av bedriftene et angrep med løsepengevirus som førte til minst et delvis avbrudd i forretningsdriften.²⁶

Hos Microsoft sier vi ofte at kundene må se organisasjonen fra utsiden og innover når de evaluerer sikkerhetsstatusen. Utover VAPT (vurdering av sårbarhet og penetrasjonstesting) er viktig for å oppnå grundig innsyn i den eksterne angrepsoverflaten, slik at du kan identifisere sårbarheter gjennom miljøets helhet og det utvidede økosystemet. Hvis du var angriperen som prøvde å komme inn, hva kunne du utnyttet? Å forstå hele omfanget til organisasjonens eksterne angrepsoverflate er grunnleggende for å sikre den.

Hvordan Microsoft kan hjelpe

Dagens trussellandskap er i konstant endring, og organisasjonene trenger en sikkerhetsstrategi som kan holde følge. Økt organisatorisk kompleksitet og eksponering, sammen med en stor mengde trusler og liten tilgangsbarriere i den nettkriminelle økonomien, gjør det viktigere enn noen gang å sikre hver eneste søm innenfor og mellom hver angrepsoverflate.

Sikkerhetsteamene trenger kraftfull trusselinformasjon for å beskytte seg mot dagens utallige trusler som stadig utvikler seg. Riktig trusselinformasjon korrelerer signaler fra ulike steder – og gir betimelig og relevant kontekst for gjeldende angrepsatferd og trender, slik at sikkerhetsteamene klarer å identifisere sårbarheter, prioritere varslinger og forhindre angrep. Og hvis et sikkerhetsbrudd skjer, er trusselinformasjon kritisk for å forebygge ytterligere skade og forbedre forsvaret slik at et liknende angrep ikke kan skje igjen. Kort sagt organisasjoner som tar i bruk mer trusselinformasjon, vil være sikrere og mer vellykket.

Microsoft har et uovertruffent syn på trussellandskapet som stadig utvikler seg, med 65 billioner signaler som analyseres hver dag. Ved å korrelere disse signalene i sanntid på tvers av angrepsoverflater, gir trusselinformasjonen som er bygd inn i løsningene til Microsoft Sikkerhet, innsikt i det voksende løsepengevirus- og trusselmiljøet, slik at du kan se og stoppe flere angrep. Og med avanserte kunstig intelligens-funksjoner, slik som Microsoft Copilot for sikkerhet, kan du være i forkant av trusler som stadig utvikler seg, og forsvare organisasjonen med maskinhastighet – styrke sikkerhetsteamet til å forenkle det komplekse, fange opp det andre ikke ser, og beskytte alt.