Trace Id is missing

Den externa attackytans uppbyggnad

Ladda ned
Dela
Första den externa attackytans uppbyggnad

Fem element som organisationer bör övervaka

Cybersäkerhetsvärlden blir allt mer komplex i takt med att allt fler organisationer flyttar ut i molnet och övergår till decentraliserat arbete. Idag omspänner den externa attackytan flera moln, komplexa digitala försörjningskedjor och enorma ekosystem från tredje part. Storleken på dagens globala säkerhetsproblem har radikalt förändrat vår uppfattning om omfattande säkerhet.

Internet är nu en del av nätverket. Trots den nästan ofattbara omfattningen måste säkerhetsteamen försvara sin organisations närvaro på Internet i samma grad som allt som finns bakom deras brandväggar. I takt med att allt fler organisationer tillämpar principerna för Nolltillit blir skyddet av både interna och externa ytor en utmaning i Internetskala. Det gör det ännu viktigare för organisationer att förstå hela omfattningen av attackytan.

Microsoft förvärvade Risk IQ 2021 för att hjälpa organisationer att utvärdera säkerheten för hela den digitala verksamheten. Med hjälp av RiskIQ Internet Intelligence Graph kan organisationer upptäcka och undersöka hot bland de komponenter, anslutningar, tjänster, IP-anslutna enheter och den infrastruktur som utgör deras attackyta för att skapa ett motståndskraftigt och skalbart försvar.

Djupet och bredden på allt som behöver försvaras kan kännas överväldigande för säkerhetsteamen. Du kan sätta omfattningen av organisationens attackyta i sitt rätta perspektiv genom att tänka på Internet från en angripares synvinkel. I den här artikeln belyser vi fem områden som gör det enklare att ta sig an utmaningarna med effektiv hantering av den externa attackytan.

Den globala attackytan växer jämsides med Internet

Och den växer varje dag. År 2020 nådde mängden data på Internet 40 zettabyte, eller 40 biljoner gigabyte.1 Enligt RiskIQ läggs varje minut 117 298 värdar och 613 domäner2 till i de många sammankopplade delarna som utgör den globala attackytans invecklade struktur. Var och en av dessa innehåller en uppsättning element, till exempel dess underliggande operativsystem, ramverk, tredjepartsprogram, plugin-program och spårningskod. Antalet platser som innehåller dessa byggstenar ökar snabbt, och med var och en av dessa platser ökar omfattningen av den globala attackytan exponentiellt.

Den globala attackytan växer varje minut

  • värdar skapas varje minut.
  • domäner skapas varje minut.
  • 375 nya hot varje minut.2

Både legitima organisationer och hotaktörer bidrar till denna tillväxt, vilket innebär att cyberhoten ökar i stor skala tillsammans med resten av Internet. Både sofistikerade avancerade långvariga hot (APT) och cyberbrottslighetens småkriminella hotar företagens säkerhet och riktar in sig på deras data, varumärke, immateriella rättigheter, system och personal.

Under första kvartalet 2021 upptäckte CISCO 611 877 unika nätfiskewebbplatser,3 med 32 domänintrångshändelser och totalt 375 nya hot per minut.2 Dessa hot riktar sig mot organisationers anställda och kunder med skurkaktiga tillgångar, och försöker lura dem att klicka på skadliga länkar och lämna ut känsliga data med nätfiske. Allt detta kan undergräva varumärkes- och konsumentförtroendet.

Distanspersonal leder till fler säkerhetsrisker

Den snabba tillväxten av Internetexponerade tillgångar har lett till ett mycket bredare spektrum av hot och säkerhetsrisker som påverkar den genomsnittliga organisationen. COVID-19 gjorde att den digitala tillväxten återigen accelererade, och nästan alla organisationer utökade sitt digitala fotavtryck för att möta behoven hos en mycket flexibel arbetsstyrka och affärsmodell inriktad på distansarbete. Resultatet: det finns nu många fler åtkomstpunkter som angripare kan avsöka eller exploatera.

Användningen av teknik för fjärråtkomst som RDP (Remote Desktop Protocol) och VPN (virtuellt privat nätverk) steg kraftigt med 41 procent respektive 33 procent4 när en stor del av världen gick över till att arbeta hemifrån. Den globala storleken på marknaden för fjärrskrivbordsprogram, som var 1,53 miljarder USD år 2019, kommer att nå 4,69 miljarder USD år 2027.5

Dussintals nya säkerhetsrisker i program och enheter för fjärråtkomst ger angripare fotfäste de tidigare saknat. RiskIQ identifierade många sårbara instanser av de mest populära fjärråtkomst- och perimeterenheterna, och störtfloden av nya säkerhetsrisker har inte avtagit. Totalt rapporterades 18 378 säkerhetsrisker under 2021.6

Ett nytt säkerhetsrisklandskap

  • tillväxt av RDP-användning.
  • tillväxt av VPN-användning.
  • säkerhetsrisker rapporterades 2021.

Ökningen av antalet globala attacker som orkestreras av flera olika hotgrupper och som skräddarsys för digitala organisationer gör att säkerhetsteam måste hantera säkerhetsrisker hos sig själva, tredje part, partner, kontrollerade och okontrollerade appar samt tjänster inom och mellan relationer i den digitala försörjningskedjan.

Digitala försörjningskedjor, fusioner och förvärv (M&A) och skugg-IT skapar en dold attackyta

De flesta cyberattacker har sitt ursprung långt från nätverket; webbappar utgjorde den vektorkategori som oftast exploaterades vid hackningsrelaterade överträdelser. Tyvärr saknar de flesta organisationer en fullständig bild av sina Internettillgångar och hur dessa tillgångar är kopplade till den globala attackytan. Tre bidragande faktorer till denna brist på synlighet är skugg-IT, fusioner och förvärv (M&A) och digitala försörjningskedjor.

Beroenden i riskzonen

  • utgångna tjänster per minut.2
  • av uppgörelserna innehåller företagsbesiktning inriktad på cybersäkerhet.7
  • av organisationerna har utsatts för minst en dataläcka som orsakats av en tredje part.8

Skugg-IT

 

Om IT-avdelningen inte kan hålla jämna steg med verksamhetens krav kommer organisationen att försöka hitta stöd för att utveckla och ta i bruk nya webbtillgångar på annat håll. Eftersom säkerhetsteamet sällan känner till dessa skugg-IT-aktiviteter kan de inte se till att de skapade tillgångarna omfattas av deras säkerhetsprogram. Ohanterade och överblivna tillgångar kan med tiden bli en risk i organisationens attackyta.

Denna snabba ökning av digitala tillgångar utanför brandväggen är nu det normala. Nya RiskIQ-kunder hittar vanligtvis cirka 30 procent fler tillgångar än de trodde att de hade, och RiskIQ identifierar 15 utgångna tjänster (sårbara för övertagande av underdomän) och 143 öppna portar varje minut.2

Fusioner och förvärv

 

Daglig verksamhet och viktiga affärsinitiativ som fusioner och förvärv (M&A), strategiska samarbeten och outsourcing skapar och utökar externa attackytor. Idag innehåller mindre än 10 procent av uppgörelserna globalt företagsbesiktning inriktad på cybersäkerhet.

Det finns flera vanliga orsaker till att organisationer inte får en fullständig bild av potentiella cyberrisker under företagsbesiktningsprocessen. Den första är omfattningen av företagets digitala närvaro som de förvärvar. Det är inte ovanligt att en stor organisation har tusentals – eller till och med tiotusentals – aktiva webbplatser och andra offentligt exponerade tillgångar. Fastän IT- och säkerhetsteamen i det företag som ska förvärvas har ett tillgångsregister över webbplatser, är det nästan alltid en ofullständig bild av vad som finns. Ju mer decentraliserad en organisations IT-aktiviteter är, desto större är klyftan.

Försörjningskedjor

 

Företagen blir allt mer beroende av de digitala allianser som utgör den moderna försörjningskedjan. Dessa beroenden är viktiga för att kunna driva en verksamhet på 2000-talet, men de skapar också ett rörigt och mycket komplicerat nätverk i flera lager av tredjepartsrelationer, av vilka många ligger utanför säkerhets- och riskteamens räckvidd för proaktivt försvar och skydd. Det gör att snabb identifiering av sårbara digitala tillgångar som signalerar risk blir en enorm utmaning.

En brist på förståelse och insyn i dessa beroenden har gjort tredjepartsattacker till en av de vanligaste och mest effektiva vektorerna för hotaktörer. En betydande mängd attacker sker nu via den digitala försörjningskedjan. Idag anger 70 procent av IT-experterna en måttlig till hög grad av beroende av externa enheter som kan innefatta tredje, fjärde eller femte part.9 Samtidigt har 53 procent av organisationerna utsatts för minst en dataläcka som orsakats av en tredje part.10

Samtidigt som storskaliga attacker i försörjningskedjan blir allt vanligare hanterar organisationer dessutom mindre sådana attacker dagligen. Skadlig kod för digital skimning av kreditkort som Magecart påverkar plugin-program för näthandel från tredje part. I februari 2022 identifierade RiskIQ mer än 300 domäner som påverkats av Magecarts skadliga kod för digital skimning av kreditkort.11

Varje år investerar företag mer i den mobila marknaden eftersom den genomsnittliga konsumentens livsstil blir allt mer mobilcentrerad. Amerikaner spenderar nu mer tid på mobilen än på att titta på direktsänd TV, och social distansering ledde till att många började använda mobilen för till exempel shopping och utbildning. App Annie visar att mobila köp växte till svindlande 170 miljarder USD 2021, en tillväxt på 19 procent på årsbasis.12

Denna efterfrågan på mobila upplevelser skapar en enorm tillväxt av mobilappar. Användare laddade ned 218 miljarder appar 2020. Samtidigt noterade RiskIQ en total tillväxt på 33 procent av tillgängliga mobilappar 2020, och 23 nya mobilappar dyker upp varje minut.2

Appbutiker är en växande attackyta

  • tillväxt av mobilappar.
  • mobilappar dyker upp varje minut.
  • app blockeras var femte minut.2

Apparna bidrar till bättre affärsresultat för organisationer. Men de kan vara ett tveeggat svärd. Applandskapet är en betydande del av företagets övergripande attackyta som finns utanför brandväggen, där säkerhetsteam ofta lider av en kritisk brist på synlighet. Hotaktörer försörjer sig på att utnyttja denna närsynthet genom att producera ”skurkappar” som efterliknar välkända varumärken eller på annat sätt utger sig för att vara något de inte är, och som är specialbyggda för att lura kunder att ladda ned dem. När en intet ont anande användare laddar ned dessa skadliga appar kan hotaktörer komma åt känslig information med nätfiske eller ladda upp skadlig kod till enheter. RiskIQ sätter en skadlig mobilapp på blockeringslistan var femte minut.

Dessa skurkappar dyker upp i officiella butiker vid sällsynta tillfällen och tar sig till och med igenom de stora appbutikernas robusta försvar. Men hundratals mindre tillförlitliga appbutiker representerar en mörk mobil undre värld utanför de välkända butikernas relativa säkerhet. Appar i dessa butiker är mycket mindre reglerade än officiella appbutiker, och vissa är så överfulla av skadliga appar att de överstiger antalet säkra erbjudanden i appbutiken.

Den globala attackytan är också en del av en organisations attackyta

Dagens globala Internetbaserade attackyta har genomgått en dramatisk förändring till ett dynamiskt, allomfattande och fullständigt sammanflätat ekosystem som vi alla är en del av. Om du har en Internetnärvaro är du sammanlänkad med alla andra, också de som vill skada dig. Av denna anledning är det lika viktigt att spåra hotinfrastrukturen som att spåra din egen infrastruktur.

Den globala attackytan är en del av en organisations attackyta

  • nya förekomster av skadlig kod upptäcks varje dag.2
  • ökning av varianter av skadlig kod.13
  • Cobalt Strike-server var 49:e minut.2

Olika hotgrupper återanvänder och delar infrastruktur – IP-adresser, domäner och certifikat – och använder standardverktyg med öppen källkod som skadlig programvara, nätfiskekit och C2-komponenter för att undvika enkel tillskrivning, och justerar och förbättrar dem utifrån sina behov.

Mer än 560 000 nya förekomster av skadlig kod upptäcks varje dag, och antalet nätfiskekit som annonserades på underjordiska cyberbrottsmarknader fördubblades mellan 2018 och 2019. Under 2020 ökade antalet upptäckta varianter av skadlig kod med 74 procent.14 RiskIQ upptäcker nu en Cobalt Strike C2-server var 49:e minut.

Traditionellt sett har de flesta organisationers säkerhetsstrategi varit en djupgående försvarsstrategi som börjar vid perimetern och går tillbaka i skikt till de tillgångar som bör skyddas. Det finns dock glapp mellan den typen av strategi och attackytan, som vi har visat i denna rapport. I dagens värld av digitalt engagemang finns användarna utanför perimetern – liksom ett ökande antal exponerade digitala företagstillgångar och många av angriparna. Genom att tillämpa principer för Nolltillit för företagets resurser kan säkerheten för dagens arbetsstyrka förstärkas så att människor, enheter, appar och data skyddas oavsett var de befinner sig eller omfattningen av hoten. Microsoft Security har en serie med riktade utvärderingsverktyg som du kan använda för att utvärdera organisationens Nolltillit-status.

Relaterade artiklar

Cyberhotminut

Under en cyberattack är varje sekund viktig. Vi har sammanställt ett års cybersäkerhetsforskning till 60 sekunder för att illustrera omfattningen av global cyberbrottslighet.
Mer information

Utpressningstrojaner som en tjänst (RaaS)

Den senaste affärsmodellen inom cyberbrottslighet, människostyrda attacker, uppmuntrar kriminella med olika förmågor.
Mer information

Växande IoT och riskerna för driftteknik

Den ökande mängden IoT i omlopp medför ökad risk för driftteknik med en rad potentiella sårbarheter och exponering för hotaktörer. Ta reda på hur du skyddar din organisation.
Mer information