I dag har vi lansert vår årlige it-sikkerhetsrapport om hva som faktisk berørte selskaper og organisasjoner i 2020, og vi sender en kraftig advarsel til virksomheter som lapper kjente sikkerhetshull altfor langsomt.
50 milliarder it-sikkerhetshendelser, samlet inn og analysert i våre CyberSOCs er idag offentliggjort i vår årlige sikkerhetsrapport «Security Navigator». Rapporten går i dybden på disse hendelsene og gir innsikt i utvikling og endring innen it-sikkerhet i året som har gått.
Årets rapport gir et omfattende bilde av økosystemet innen it-sikkerhet under helsekrisen som har rammet alle land og virksomheter. Aldri før har det vært viktigere å komme styrket ut av en krisesituasjon – ta tilbake kontrollen over sin egen sikkerhetsreise og bygge et sikrere digitalt samfunn.
Til tross for den globale krisen i 2020, har vi ikke opplevd noen dramatisk økning i tilfeller av it-angrep – bortsett fra andelen angrep med løsepengevirus. Den generelle nedgangen i den globale økonomien har ikke påvirket angripernes handlingsmønstre i betydelig grad. It-kriminelle benyttet COVID-19 som tema opportunistisk, men relativt kortvarig. Forvirringen rundt pandemien ble raskt byttet ut med mer klassiske temaer. Angrep knyttet til COVID-19 utgjør trolig mindre enn 2% av de registrerte angrepene i april. Angripernes handlingsmønstre ble kun overfladisk og midlertidig endret under krisen. Det har heller ikke vært noen nevneverdig økning i tilfeller av sikkerhetsvarsler, men vi har sett en tendens til mer målrettede angrep mot brukere, spesielt via sosiale manipuleringsteknikker (1% i 2019 mot 5% i 2020). De vanligste tilfellene har vært avvik innen nettverk og applikasjoner (35%), brukerkontoer (23%) og skadelig programvare (20%).
Selv om ikke trussellandskapet har endret seg drastisk gjennom 2020, ser vi at brukerne er mer sårbare for sosial manipulasjon og svindel enn normalt. Man har også mindre kontroll og synlighet over IT-systemene man beskytter, enn hva man er vant til. Noe av det mest bekymringsvekkende kommer fra de aller seneste dataene fra Orange Cyberdefense sine forskningssenter, sier André Schackt, Chief Technology Officer (CTO) i Orange Cyberdefense Norge.
– Vi har begynt å se løsepengevirus som retter seg spesifikt inn mot industri-infrastruktur (OT/ICS). Dette kan indikere at trusselaktører har begynt å vende fokuset sitt mot OT-miljøer for å se hvilke utpressings-muligheter som finnes der. Det er en kjensgjerning at disse miljøene ofte er ekstremt sårbare når det kommer til tilgjengelighet, hvor det faktisk vil kunne være en reell fare for liv og helse. En virksomhet som opplever løsepengevirus i sitt it-miljø må muligens vurdere risikoen for publisering av sensitive data vs. å betale pengekravet. Men dersom dette skulle ramme oljerigger, boreplattformer, skip til havs eller kraftstasjoner, kan man bare spekulere i hva de kan risikere å stå overfor av valg.
– Eksempler på dette har vi til en viss grad sett allerede. Hotellet i Østerrike, hvor alle gjestene ble sperret inne på rommet sitt. Eller sykehuset i Tyskland, der det lenge ble spekulert i om it-angrepet var en indirekte årsak til at en pasient døde. Dette kommer vi dessverre bare til å se mer av fremover, så bedrifter med OT-miljøer bør virkelig sørge for at de har gjort sine risikovurderinger, sier Schackt.
Løsepengevirus var opprinnelig en relativt usofistikert skadevare som krypterte all data etter å ha kommet seg inn i offerets IT-system. Offeret kunne bare få krypteringsnøkkelen i bytte mot utbetaling av løsepenger. Denne type angrep var hovedsakelig rettet mot små virksomheter eller individer som var lette å angripe, manglet sikkerhetskopier og som var villige til å betale mindre beløp for å få tilbake tilgangen til dataen sin. Utviklingen av kryptovalutaer, som gjør det vanskelig å spore transaksjoner tilbake til angriperen, har bidratt til en rask utvikling av denne typen angrep.
I 2020 har it-kriminelle utviklet sin forretningsmodell. I tillegg til at virksomhetenes data blir kryptert, krever de også penger for å ikke offentliggjøre virksomhetens data. Denne tilnærmingen åpner også mulighet for større utbytte, ved målrettede angrep på større virksomheter, hvor løsepengene kan utgjøre opp mot flere millioner euro.
– Dette forretningsområdet er i stadig utvikling. Nå ser vi også at noen trusselaktører tar dette enda litt lenger, ved å eksekvere tjenestenektangrep (DDoS) på virksomheten for å tvinge de til forhandlingsbordet, sier André Schackt.
Uvanlig mange sikkerhetsprodukter har vært i bruk i 2020, spesielt de som er essensielle for hjemmekontor. De mange sikkerhetsproduktene har avdekket mange nye sårbarheter som, hvis de løses faktisk vil forbedre sikkerheten. Dessverre viser en analyse av 168 sårbarheter i sikkerhetsprodukter, at mindre enn 19% av dem ble løst i løpet av en uke. Over halvparten (56,8%) ble først lukket etter 31 til 180 dager. Og mer enn en av ti (14%) var fortsatt ikke løst 6 måneder etter at selskapet ble varslet om sikkerhetshullet. Denne tregheten kan bli utnyttet av angripere som ønsker å utnytte hver eneste nye sårbarhet de oppdager.
Dagens trusler erstatter ikke gårsdagens trusler, men supplerer dem.
Det er observert en økning i det generelle modenhetsnivået. Ansatte er mer oppmerksomme på it-sikkerhet, og på hvor viktig den digitale verdenen er for både jobb og privatliv. Denne modenhetseffekten gjelder også it-kriminelle, som har blitt langt mer strukturerte i løpet av 2020.
– Vi ser at grupperinger som har spesialisert seg på utpressing gjerne kjøper «nøkkelferdig tilgang» til virksomheter fra andre grupperinger som spesialiserer seg på de første stegene av angrep. Dette dreier seg om initiell kompromittering, å etablere fotfeste og eskalere privileger.
Det å være it-kriminell har nærmest blitt et yrke. De samarbeider i større grad, og de går sammen for å danne spesialiserte grupper og sammenkoblede nettverk. De organiserer seg på samme måte som virksomhetene de angriper, og de bruker kjent forretningspraksis, som for eksempel å selge skadelig programvare som en tjeneste med tilhørende, profesjonell kundeservice, sier André Schackt.
Pandemien har satt søkelyset på teknologi for ekstern tilgang. Etterspørselen etter VPN-løsninger økte med 41% i andre halvdel av mars, og har holdt seg på 22% over nivået før pandemien. Den nye måten å arbeide på innebærer økt behov for sikkerhet i de ansattes PC-er, nettbrett, telefoner osv. Siden starten av pandemien har disse enhetene blitt et mer kritisk element, og Orange Cyberdefense har også registrert 500% økning i antall kunder innen endepunkt, deteksjons- og responstjenester.
En annen trend som er verdt å merke seg, er at flere virksomheter har flyttet til skyen. Orange Cyberdefense forventer at halvparten av all it-aktivitet er flyttet til skyen innen 2023, mens 75% av virksomheter allerede er “sky-først”. Denne migrasjonen til skyen vil kreve spesifikk databeskyttelse og en sterk i identitets- og tilgangsstyring (IAM).
I 2020 har virksomheter har delt seg i tre grupper:
Når det kommer til investeringer, er det ingen betydelige endringer relatert til krisen. Prognoser viser at virksomheter trekkes mot administrerte tjenester, og i større grad vil benytte en servicetilbyder for å outsource hele eller deler av IT-sikkerheten. Det anslås en økning i slike investeringer på ca. 17 % i 2021.
I snitt har små virksomheter vært utsatt for 101 bekreftede it-sikkerhetshendelser, sammenlignet med 63 i 2019. Mellomstore virksomheter har i snitt kun vært rammet 77 ganger mot 266 i 2019, og store virksomheter har hatt 278 hendelser mot 463 i 2019.
Det er viktig å presisere at flere registrerte og bekreftede hendelser ikke nødvendigvis betyr svakere beskyttelse. Små virksomheter har for eksempel investert mer i deteksjonsteknologi, og vil derfor også registrere påfølgende høyere volum.
5G, som ble lansert i mange land i 2020, vil føre til flere bruksområder og akselerere utviklingen av nye tjenester og teknologi. Vi forventer også en markedsutvikling innen sikkerhetsverktøy for IoT, og IT og OT-team vil endelig dele en felles visjon. Skyen, men også adopsjonen av nye former for tilkobling som SD-WAN, vil fortsatt være en prioritet for virksomheter, noe som medfører nye trusler som skal håndteres. De it-kriminelle blir stadig mer strukturerte, så vi må være forberedt på at antallet angrep vil fortsette å stige.
COVID-19 pandemien har ført til enorme ringvirkninger i samfunn og økonomi verden over. Den har fundamentalt endret måten vi jobber og driver forretninger. Som vi allerede kan se, fører disse endringene til varige forbedringer, og tankesettet vårt er i endring. Det har vært en kraftig økning i etterspørselen etter sikkerhetsløsninger for sky, nettverk og digitale videomøter. Hjemmekontor og fjernarbeid er her for å bli.
Security Navigator er en 90-siders rapport, der Orange Cyberdefense gir et innblikk i hvordan it-sikkerhetshendelser har rammet virksomheter og organisasjoner i 2020. Dataene stammer fra 50 milliarder registrerte it-sikkerhedshendelser, som Orange Cyberdefense sine 17 SOCs, 11 CyberSOCs (Security Operations Center), epidemiologilaboratoriet, forskningssenteret World Watch, i tillegg til rapporter fra eksperter og anerkjente studier.
Gå til Security Navigator 2023 her