Trace Id is missing

En ekstern angrebsoverflades anatomi

Download
Del
Forståelse af anatomien for et angreb på en ekstern overflade

Fem elementer, organisationer bør overvåge

Cybersikkerhedsverdenen bliver stadig mere kompleks, efterhånden som organisationer flytter til clouden og skifter til decentraliseret arbejde. Den eksterne angrebsoverflade dækker i dag over flere clouds, komplekse digitale forsyningskæder og store tredjeparts-økosystemer. Som følge heraf har den store skala af nu almindelige globale sikkerhedsproblemer radikalt ændret vores opfattelse af omfattende sikkerhed.

Internettet er nu en del af netværket. Trods dets nærmest uforståelige størrelse skal sikkerhedsteams nu forsvare deres organisations tilstedeværelse på tværs af hele internettet i en vis udstrækning, såvel som alt bag deres firewalls. Efterhånden som flere organisationer tager principperne ved Nul tillid i brug, er beskyttelse af både interne og eksterne overflader blevet en udfordring i internetskala. Derfor er det stadig mere nødvendigt for organisationer at forstå deres angrebsoverflades fulde omfang.

Microsoft købte Risk IQ i 2021 for at hjælpe organisationer med at vurdere sikkerheden i hele deres digitale virksomhed. Med kraften fra  RiskIQ Internet Intelligence Graph kan organisationer finde og undersøge trusler på tværs af komponenter, forbindelser, tjenester, IP-forbundne enheder og infrastruktur, der udgør deres angrebsoverflade, for at oprette et modstandsdygtigt og skalerbart forsvar.

For sikkerhedsteams kan den store bredde og dybde af det, de skal forsvare, virke skræmmende. Men en måde, hvorpå man kan sætte deres organisationers angrebsoverflade i perspektiv, er at tænke på internettet set fra en angribers perspektiv. Denne artikel fremhæver fem områder, der kan hjælpe med bedre at indramme udfordringerne ved effektiv administration af den eksterne angrebsoverflade.

Den globale angrebsoverflade vokser med internettet

Og det vokser hver dag. I 2020 nåede datamængden på internettet 40 zettabytes eller 40 billioner gigabytes.1 RiskIQ fandt frem til, at hvert minut føjes 117.298 værter og 613 domæner2 til de mange tværforbundne trusler, der udgør den globale angrebsoverflades indviklede netværk. Alle disse består af et sæt elementer, f.eks. dets underliggende operativsystemer, strukturer, tredjepartsprogrammer, plug-ins og sporingskode. Når alle disse websteder, som spreder sig hurtigt, indeholder disse elementer, stiger omfanget af den globale angrebsoverflade eksponentielt.

Den globale angrebsoverflade vokser hvert minut

  • værter oprettet hvert minut.
  • domæner oprettet hvert minut.
  • 375 nye trusler hvert minut.2

Både legitime organisationer og trusselsaktører bidrager til denne vækst, hvilket betyder, at cybertrusler stiger i skala sammen med resten af internettet. Sofistikerede avancerede vedvarende trusler (APT'er) såvel som almindelige cyberkriminelle truer virksomheders sikkerhed ved at målrette mod deres data, brand, immaterielle rettigheder, systemer og personer.

I første kvartal af 2021 registrerede CISCO 611.877 unikke phishingwebsteder3 med 32 domænekrænkelseshændelser og 375 nye trusler hvert minut.2 Disse trusler retter sig mod organisationers medarbejdere og kunder med svigagtige aktiver, der søger at narre dem til at klikke på skadelige links og at fiske efter følsomme data, alt sammen noget der kan underminere brand- og forbrugertillid.

Stigningen i sårbarheder fra en fjernarbejdsstyrke

Den hurtige vækst i interneteksponerede aktiver har drastisk udvidet spektret af trusler og sårbarheder, der påvirker den gennemsnitlige organisation. Med fremkomsten af COVID-19 blev der igen sat fart på digital vækst, hvor næsten alle organisationer udvidede sit digitale aftryk for at give plads til en ekstern og særdeles fleksibel arbejdsstyrke og forretningsmodel. Resultatet: Personer med ondsindede hensigter har langt flere adgangspunkter, som de kan afprøve eller udnytte.

Brugen af fjernadgangsteknologier, f.eks. RDP (Remote Desktop Protocol) og VPN (Virtual Private Network) steg henholdsvis med hele 41 procent og 33 procent4, eftersom de meste af verden tog en hjemmearbejdspolitik i brug. Det globale marked for fjernskrivebordssoftware på 1,53 milliarder USD i 2019 vil i 2027 nå 4,69 milliarder USD.5

Massevis af nye sårbarheder i fjernadgangssoftware og -enheder har givet personer med ondsindede hensigter en fod inden for på steder, hvor de aldrig før har haft det. RiskIQ påviste mange sårbare instanser af de mest populære fjernadgangs- og perimeterenheder, og sårbarhedernes voldsomme vækst har ikke aftaget. I alt blev der rapporteret 18.378 sårbarheder i 2021.6

Et nyt sårbarhedslandskab

  • vækst i brug af RDP.
  • vækst i brug af VPN.
  • sårbarheder rapporteret i 2021.

Med stigningen i angreb i global skala orkestreret af flere trusselsgrupper og skræddersyet til digitale virksomheder skal sikkerhedsteams afbøde sårbarheder for sig selv, tredjeparter, partnere, kontrollerede og ukontrollerede apps og tjenester i og blandt relationer i den digitale forsyningskæde.

Digitale forsyningskæder, fusioner og opkøb samt skygge-it skaber en skjult angrebsoverflade

De fleste cyberangreb har sin oprindelse langt fra netværket, webapps udgjorde den vektorkategori, der oftest blev udnyttet ved hackingrelaterede brud. Desværre mangler de fleste organisationer en komplet oversigt over deres internetaktiver og hvordan disse aktiver er forbundet til den globale angrebsoverflade. Tre betydelige bidragydere til denne manglende synlighed er skygge-it, fusioner og opkøb (M&A) og digitale forsyningskæder.

Afhængigheder med risiko

  • udløbne tjenester pr. minut.2
  • af aftaler indeholder rettidig omhu for cybersikkerhed.7
  • af organisationer oplevede mindst ét databrud, der skyldes en tredjepart.8

Skygge-it

 

Når it ikke kan følge med virksomhedens krav, leder virksomheden andre steder efter support til at udvikle og udrulle nye webaktiver. Sikkerhedsteamet er ofte ikke kendt med disse skygge-it-aktiviteter, og derfor kan de ikke bringe de oprettede aktiver ind i omfanget for deres sikkerhedsprogram. Ikke-administrerede og forældreløse aktiver kan over tid blive en trussel i en organisations angrebsoverflade.

Denne tiltagende udbredelse af digitale aktiver uden for firewallen er nu normen. Nye RiskIQ-kunder finder typisk omtrent 30 procent flere aktiver, end de troede, de havde, og RiskIQ registrerer 15 udløbne tjenester (modtagelige for subdomæneovertagelse) og 143 åbne porte hvert minut.2

Fusioner og opkøb

 

Dagligdagsdrift og vigtige forretningsinitiativer, f.eks. fusioner og opkøb, strategiske partnerskaber og outsourcing skaber og udvider eksterne angrebsoverflader. I dag indeholder mindre end 10 procent af aftaler på et globalt plan rettidig omhu for cybersikkerhed.

Der er flere almindelige grunde til, hvorfor organisationer ikke får en komplet oversigt over potentielle cyberrisici i løbet af processen for rettidig omhu. Den første er den store skala af den opkøbte virksomheds digitale tilstedeværelse. Det er ikke ualmindeligt for en stor organisation at have tusindvis – eller endda titusindvis – af aktiver websteder og andre offentligt eksponerede aktiver. Selvom it- og sikkerhedsteams i virksomheden, der står til at blive opkøbt, vil have et aktivregister for websteder, er det næsten altid kun en delvis oversigt over, hvad der findes. Jo mere decentraliseret en organisations it-aktiviteter er, jo mere betydeligt er hullet.

Forsyningskæder

 

Virksomheden er stadigt mere afhængig af digitale alliancer, der udgør den moderne forsyningskæde. Selvom disse afhængigheder er afgørende for driften i det 21. århundrede, skaber de også et sammenfiltret, lagdelt og særdeles kompliceret spindelvæv af tredjepartsrelationer, hvor mange ikke beskyttes og forsvares proaktivt af sikkerheds- og risikoteams. Som følge heraf er det en stor udfordring hurtigt at identificere sårbare digitale aktiver, der signalerer risiko.

En manglende forståelse og synlighed over disse afhængigheder kan have gjort tredjepartsangreb til en af de mest hyppige og effektive vektorer for trusselsaktører. En betydelig mængde angreb ankommer nu via den digitale forsyningskæde. I dag har 70 procent af it-fagfolk angivet et moderat til højt afhængighedsniveau for eksterne enheder, der kan inkludere tredje-, fjerde- eller femteparter.9 Samtidig har 53 procent af organisationer oplevelse mindst ét databrud, der skyldes en tredjepart.10

Mens forsyningskædeangreb i stor skala blive mere almindelige, håndterer organisationer mindre angreb på daglig basis. Malware til afluring af digitale kreditkort, f.eks. Magecart, påvirker tredjepartsplugins til e-handel. I februar 2022 registrerede RiskIQ mere end 300 domæner, der var påvirket af Magecart-malware til afluring af digitale kreditkort.11

Hvert år investerer virksomheder mere i mobil, efterhånden som den gennemsnitlige kundes livsstil bliver mere mobilcentreret. Amerikanere brugere nu mere tid på mobilen end på at se live-tv, og social afstand har fået dem til at flytte flere af deres fysiske behov til mobilen, f.eks. shopping og uddannelse. App Annie viser, at forbruget på mobil voksede til hele 170 milliarder USD i 2021, en årlig vækst på 19 procent.12

Efterspørgslen for mobil skaber en massiv udbredelse af mobilapps. Brugere downloadede 218 milliarder apps i 2020. Samtidig bemærkede RiskIQ en generel vækst på 33 procent i tilgængelige mobilapps i 2020, med 23 nye hvert minut.2

App-butikker er en voksende angrebsoverflade

  • vækst i mobilapps.
  • nye mobilapps hvert minut.
  • app blokeret hvert femte minut.2

For organisationer skaber disse apps forretningsresultater. Men de kan være et tveægget sværd. Applandskabet er en betydelig andel af en virksomheds samlede angrebsoverflade, som eksisterer uden for firewallen, hvor sikkerhedsteams ofte lider under alvorlig mangel på synlighed. Trusselsaktører lever af at udnytte denne "nærsynethed" til at producere "svindelapps", der efterligner velkendte brands eller på anden måde foregiver at være noget, de ikke er, udviklet med det formål at narre kunder til at downloade dem. Når en intetanende bruger downloader disse skadelige apps, kan trusselsaktører gøre, som de vil, udføre phishing efter følsomme oplysninger eller uploade malware til enhederne. RiskIQ føjer en skadelig mobilapp til en liste over blokerede apps hvert femte minut.

Disse svindelapps viser sig til tider i officielle butikker, hvor de endda bryder de store app-butikkers robuste forsvar. Men hundredvis af mindre velrenommerede app-butikker udgør en skummel mobil underverden uden for den relative sikkerhed ved velrenommerede butikker. Apps i disse butikker er betydeligt mindre regulerede end officielle app-butikker, og nogle er endda så fyldte med skadelige apps, at der er flere af dem, end der er sikre tilbud.

Den globale angrebsoverflade er også en del af en organisations angrebsoverflade

Dagens globale internets angrebsoverflade har undergået en drastisk transformation til et dynamisk, altomspændende og komplet sammenflettet økosystem, som vi alle er en del af. Hvis du har en internettilstedeværelse, er du tværforbundet med alle andre, herunder dem, der vil skade dig. Derfor er sporing af trusselsinfrastruktur lige så vigtigt som at spore din egen infrastruktur.

Den globale angrebsoverflade er en del af en organisations angrebsoverflade

  • nye stykker malware registreres hver dag.2
  • stigning i malwarevarianter.13
  • Cobalt Strike-server hvert 49. minut.2

Forskellige trusselsgrupper vil genbruge og dele infrastruktur – IP-adresser, domæner og certifikater – og bruge almindelige værktøjer med åben kildekode, f.eks. malware, phishingkits og C2-komponenter for at undgå nem tilskrivning, hvor de tilpasser og forbedrer dem, så de passer til deres unikke behov.

Mere end 560.000 stykker malware registreres hver dag, og antallet af phishingkits, der annonceres for på undergrundens markedspladser for cyberkriminalitet, blev fordoblet fra 2018 til 2019. I 2020 steg antallet af registrerede malwarevarianter med 74 procent.14 RiskIQ registrerer nu en Cobalt Strike C2-server hvert 49. minut.

Traditionelt set har sikkerhedsstrategien for de fleste organisationer været en dybdegående forsvarsstrategi, startende ved perimeteren og derefter med lag tilbage til de aktiver, der bør beskyttes. Men der er uoverensstemmelser mellem den type strategi og angrebsoverfladen, som præsenteret i denne rapport. I dagens verden med digitalt engagement, sidder brugere uden for perimeteren – lige som et stigende antal eksponerede digitale virksomhedsaktiver og mange af de ondsindede aktører. Anvendelse af Nul tillid-principper på tværs af virksomhedens ressourcer kan hjælpe med at sikre nutidens arbejdsstyrke – hvilket beskytter personer, enheder, programmer og data, uanset hvor de befinder sig, eller hvor store trusler de står over for. Microsoft Security tilbyder en række målrettede evalueringsværktøjer, der hjælper dig med at vurdere din organisations Nul tillid-modenhed.

Relaterede artikler

Cyberthreat Minute

Hvert sekund tæller under et cyberangreb. For at illustrere omfanget af den verdensomspændende cyberkriminalitet har vi sammenfattet et års forskning i cybersikkerhed i et 60-sekunders vindue.
Få mere at vide

Ransomware som en tjeneste

Cyberkriminalitetens nyeste forretningsmodel, menneskedrevne angreb, bestyrker kriminelle med varierende færdigheder.
Få mere at vide

Voksende IoT og risikoen for OT

Den stigende mængde IoT, der er i omløb, giver øget risiko for OT med en række potentielle sårbarheder og eksponering for trusselsaktører. Find ud af, hvordan du kan beskytte din organisation.
Få mere at vide