Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. Threat Management
  5. Ett år av attacker – statistik från CyberSoc:en

Ett år av attacker – statistik från CyberSoc:en

Blogg CyberSOC Threat Management
Statistik Cybersoc

Share

Det är ingen hemlighet att antalet cybersäkerhetsincidenter och attacker har ökat under de senaste åren. Vad är det exakta antalet? Som en del av vår Security Navigator-rapport genomförde vi omfattande undersökningar av incidentlandskapet 2021. Vilken typ av attacker förekom mest? Är effekterna olika för stora eller små organisationer ochch vilka sektorer drabbades mest?

Data

Från oktober 2020 till september 2021 identifierade vi totalt 94 806 incidenter hos våra kunder, upp från 45 398 år 2020. Av incidenterna kan 36% bekräftas som säkerhetsincidenter.
 

En notering om terminologi: Vi loggar en händelse som har uppfyllt vissa villkor och anses därför vara en indikator på kompromiss, attack eller sårbarhet. En incident är när denna loggade händelse, eller flera händelser, korreleras eller flaggas för utredning av en människa – våra säkerhetsanalytiker. En incident anses vara "bekräftad" när vi med hjälp av kunden eller efter analytikerns analys kan fastställa att säkerheten verkligen har äventyrats.

Typer av incidenter

Under 2021 upptäckte vi följande incidenttyper:

  • Malware är skadlig programvara som ransomware

  • Nätverks- och applikationsavvikelser, såsom tunnling, IDS/IPS-varningar och andra attacker relaterade till nätverkstrafik och applikationer

  • Kontoavvikelser, såsom brute force-attacker, återanvändning av referenser, sidorörelser, höjningar av privilegier eller liknande typer av incidenter

  • Systemavvikelser är händelser som är direkt relaterade till operativsystemet och komponenterna runtomkring, som drivrutiner som slutar fungera eller tjänster som avslutas oväntat

  • Policyöverträdelser, som att installera programvara som inte stöds eller ansluta en obehörig enhet till nätverket

  • Social Engineering är alla försök att lura användare. inklusive, men inte begränsat till phising och spoofing.

Trender

En sak som sticker ut i all data är att vi ser en förändring i vår incidenttypsfördelning. Med 38% av det totala antalet incidenter har malware blivit den största incidenttypen. Network & Application Anomalies, som var den största incidenttypen 2020 med 35%, har flyttat till andra plats med 22%. En betydande minskning.

Ökningen av incidenter med malware kan delvis förklaras av att några av våra större kunder ökar sin detektion mot malware. Dessutom har det i allmänhet förekommit mer malware under de senaste 12 månaderna, särskilt under mars 2021 och juni 2021, där vi såg det högsta antalet bekräftade säkerhetsincidenter.

Incidenter efter företagsstorlek

Inom våra observationer gör vi en skillnad mellan organisationsstorlek för att klassificera våra kunder. Vi skiljer mellan företagsstorlekar enligt följande:

  • Små – Antal anställda = 101-1 000 
  • Medelstora – Antal anställda = 1,001-10,000 
  • Stora – Antal anställda = 10,000+  

Av alla kunder som tas med i vår rapport:

37% klassas som små och representerar 17% av alla upptäckta incidenter
41% klassas som medium och representerar 30% av alla upptäckta incidenter
22% klassas som stora och representerar 53% av alla upptäckta incidenter

Små oragnisationer

Vi ser incidentvolymer som korrelerar med verksamhetens storlek, därför utsetts större verksamheter för fler incidenter. Det finns ett undantag som sticker ut i år: små företag varnades mer om potentiella incidenter med malware än medelstora, och som ett resultat av detta fick 38% fler bekräftade incidenter med malware än medelstora företag.

En förklaring till denna statistik kan vara att små organisationer har mindre tid och resurser för sin IT-säkerhet, vilket gör det "lättare" för malware att ta sig in i en organisation.

Medelstora organisationer

Organisationerna som kategoriseras som medelstora sticker ut för sin höga mängd ökade nätverks- och applikationsavvikelser i år. Antalet incidenter var till och med högre än för stora organisationer. Dessutom har den här gruppen ett färre antal bekräftade incidenter jämfört med små organisationer i kategorierna policyöverträdelser, malware och social engineering. Att få medelstora företag att gå emot det "normala" av incidentvolym kontra ren storlek i fyra av de sju incidentkategorierna.

Stora organisationer

Sammantaget är det stora organisationer som utsätts för högsta antalet incidenter med malware, med nästan dubbelt så många bekräftade incidenter jämfört med förra året. Till exempel, i likhet med förra året, hade stora organisationer nästan hälften av antalet nätverksrelaterade incidenter jämfört med små organisationer.

En intressant observation är att när man analyserar incidenter som rör bekräftade ransomware-relaterade incidenter har stora organisationer haft lika få bekräftade incidenter som små organisationer. Eller för att vända på detta, små organisationer hade lika många bekräftade ransomware-relaterade incidenter som stora organisationer.

Incidenter per sektor

Förutom företagsstorleken har vi analyserat vår data över de olika affärssektorerna. Även om skillnader kan upptäckas ser vi i slutändan att alla branscher kämpa med allt mer avancerade attacker.

I vår forskning har vi samlat in en stor mängd statistik för de olika sektorerna. Här är några intressanta höjdpunkter:

 

  • Av alla sektorer som vi analyserade är Manufacturing den mest populära branschen som blir attackerade av cyberutpressningsgrupper
  • Sjukvården är återigen den sektor som har flest nätverksrelaterade säkerhetsincidenter. Dessutom såg vi en märkbar ökning av antalet nätfiskeattacker (phisisng). Som sektor, har sjukvården historiskt sett utmanats då deras egna användare är den högsta risken – insiderhotet
  • Finans- och försäkringssektorn är fortfarande en av vertikalerna med det högsta antalet bekräftade incidenter inom socialteknik (12%).
  • Den lägsta distributionen av policyöverträdelser finns inom sektorn Professional, Scientific and Technological Services. Det är mycket svårt att säga om detta beror på att användare i denna sektor följer policyer i större utsträckning än i andra branscher, om de inte har så många policyer implementerade eller om detekteringskapaciteten fokuserar på de andra incidenttyperna
  • Nätfiske (phising) som en Social Engineering-attack var den största komponenten som registrerats under Social Engineering-incidenter för detaljhandels- och handelssektorn, följt av opportunistisk skräppost och mer riktade Spear Phishing-incidenter
  • De flesta av kategorierna har fått en minskning totalt av sin andel av incidenter för fastighets-, hyres- och leasingsektorn, men med en kraftig ökning av nätverks- och applikationsavvikelser
  • Vi såg en markant ökning av antalet incidenter med malware för Transport- och Magasinering-sektorn, med aktivitet centrerad kring försök till installation av malware på arbetsstationer, vilket innebar att malware motverkades tidigt
  • Även om de bara representerar fyra procent av kunderna som ingick i årets analys, bidrog boende- och mattjänster till många incidenter för sin storlek, med en betydande del som kategoriseras som malware

Slutsats

Med mer än 30% av alla bekräftade incidenter såg vi en förändring i år där malware var den främsta incidenten. Det är en trend som inte nödvändigtvis visar sig i det övergripande hotlandskapets nuvarande status men som ger insikt i vad vi ser våra kunder kämpa mest med.

Även om det förekommer skillnader i typen av incidenter mellan olika företagsstorlekar och branscher, ser vi organisationer av alla former och storlekar som hanterar liknande problem. I slutändan är alla ett mål för den utvecklande motståndaren med en förfinad uppsättning avancerade verktyg.

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.