Trace Id is missing

Anatomien for en moderne angrebsoverflade

Download
Del
Seks områder, som organisationer skal administrere

Efterhånden som verden bliver mere forbundet og digital, bliver cybersikkerhed mere kompleks. Organisationer flytter mere infrastruktur, flere data og flere apps til clouden, understøtter fjernarbejde og interagerer med tredjeparters økosystemer. Som følge heraf skal sikkerhedsteams nu forsvare mod et bredere område, et mere dynamisk miljø og et udvidet sæt angrebsoverflader.

Trusselsaktører drager fordel af denne kompleksitet ved at udnytte huller i en organisations beskyttelser og tilladelser og bliver ved med at udføre mange angreb. Angrebene har ofte flere sider og spænder over flere elementer af en organisations drift og infrastruktur. Personer med ondsindede hensigter bliver også mere koordinerede på tværs af et voksende cyberkriminalitet-som-en-tjeneste-landskab. I 2022 blokerede Microsofts Digital Crime Unit 2.750.000 webstedsregistreringer for at komme i forkøbet på kriminelle aktører, der planlagde at bruge dem til global cyberkriminalitet.1

At holde trit med dagens trusler betyder at beskytte enhver overordnet angrebsoverflade, herunder mail, identitet, slutpunkt, tingenes internet (IoT), cloud og eksternt. Fra et sikkerhedsperspektiv er du kun så stærk, som dine svageste led – og personer med ondsindede hensigter bliver bedre til at finde dem. Den gode nyhed er, at de fleste trusler kan undgås ved at implementere grundlæggende sikkerhedsforanstaltninger. Faktisk har vi fundet frem til, at grundlæggende sikkerhedshygiejne stadig beskytter mod 98 % af cyberangreb.2

Fire personer samlet omkring en skærm taler om cybersikkerhed. Statistik på billede: 1 time og 42 minutter: Gennemsnitlig tid, før en person med ondsindede hensigter begynder at bevæge sig lateralt i dit virksomhedsnetværk, når en enhed er blevet kompromitteret, og "98 % af cyberangreb kan forebygges med grundlæggende sikkerhedshygiejne" – fra en artikel om den moderne angrebsoverflade

Synlighed over trusler fra ende til anden er grundlæggende for god sikkerhedshygiejne. De rigtige oplysninger om trusler giver sikkerhedsteams en omfattende oversigt over trusselslandskabet, hvilket lader dem være på forkant med fremvoksende trusler og fortsat finjustere deres forsvar. Og når trusselsaktører kommer ind, er holistiske oplysninger om trusler afgørende for at finde ud af, hvad der skete, og undgå at det sker i gen.

Nedenfor vil vi diskutere trusselstendenser og udfordringer relateret til seks overordnede angrebsoverflader i en organisation: mail, identitet, slutpunkt, IoT, cloud og eksternt. Mod slutningen kommer vi tilbage til, hvordan de rigtige oplysninger om trusler kan vende spillepladen og give sikkerhedsteams en kraftfuld fordel.

For de fleste organisationer er mail en vigtig del af den daglige forretningsdrift. Desværre er mail stadig en førende trusselsvektor. 35 % af ransomwarehændelser i 2022 involverede brug af mail.4 Angribere udfører flere mailangreb end nogensinde før – i 2022 steg andelen af phishingangreb med 61 % sammenlignet med 2021.5

Personer med ondsindede hensigter udnytter nu jævnligt også legitime ressourcer til at udføre phishingangreb. Dette gør det endnu sværere for brugere at differentiere mellem ægte og skadelige mails, hvilket øger risikoen for, at en trussel når frem. Samtykke-phishingangreb er et eksempel på denne tendens, hvor trusselsaktører misbruger legitime cloudtjenesteudbydere for at narre brugere til at give tilladelse til at få adgang til fortrolige data.

Uden muligheden for at korrelere mailsignaler i bredere hændelser for at visualisere angreb, kan det tage lang tid at registrere, at en trusselsaktør har fået adgang via mail. Og på det tidspunkt kan det være for sent til at forebygge skaden. Middeltiden, det tager for an person med ondsindede hensigter at få adgang til en organisations private data, er blot 72 minutter.6 Dette kan medføre alvorlige tab på virksomhedsniveau. Kompromittering af virksomhedsmail (BEC) kostede anslået 2,4 milliarder USD i justerede tab i 2021.7

En person skriver på en bærbar computer. Statistik på billede: "Det tager gennemsnitligt 72 minutter for en person med ondsindede hensigter at få adgang dine private data, hvis du bliver offer for en phishingmail", og "der er en stigning i 61 % i phishingangreb imellem 2021 og 2022" – fra en artikel om den moderne angrebsoverflade

Udover sikkerhedsmekanismer, f.eks. kontrol af URL-adresse og deaktivering af makroer, er uddannelse af medarbejdere afgørende for at forhindre trusler i at have en indvirkning. Simulerede phishingmails og instruktionsmails om, hvordan man identificerer skadeligt indhold (selv når det ser legitimt ud), er vigtige præventive sikkerhedsforanstaltninger. Vi antager, at trusselsaktører vil fortsætte med at øge kvaliteten af social engineering i deres mailangreb, hvor de gør brug af kunstig intelligens og andre værktøjer til at gøre deres ondsindede mails mere overtalende og personligt tilpassede. Og dette er blot ét eksempel – efterhånden som organisationer bliver bedre til at adressere nutidens mailtrusler, fortsætter truslerne med at udvikle sig.

I dagens cloud-forbundne verden er beskyttelse af adgang blevet vigtigere end nogensinde før. Som følge heraf er det afgørende at få en dyb forståelse af identitet på tværs af din organisation – herunder brugerkontotilladelser, arbejdsbelastningsidentiteter og deres potentielle sårbarheder – særligt efterhånden som angrebene bliver mere hyppige og kreative.

Antallet af adgangskodeangreb steg til anslået 921 angreb hvert sekund i 2022 – en stigning på 74 % fra 2021.8 Hos Microsoft har vi også set, at trusselsaktører bliver mere kreative med hensyn til at omgå multifaktorgodkendelse (MFA) ved hjælp af teknikker såsom fjende-i-midten-phishingangreb og misbrug af tokens til at få adgang til en organisations data. Phishingkits har gjort det nemmere for trusselsaktører at stjæle legitimationsoplysninger. Microsofts Digital Crimes Unit har observeret en stigning i sofistikationsniveau for phishingkits over det seneste år, foruden meget lave adgangsbarrierer – med en sælger, der tilbyder phishingkits for helt ned til 6 USD pr. dag.9

Administration af angrebsoverfladen for identiteter omfatter mere end at beskytte brugerkonti – det spænder over cloudadgang, foruden arbejdsbelastningsidentiteter. Kompromitterede legitimationsoplysninger kan være et kraftfuldt værktøj for trusselsaktører, som de kan bruge til at skabe kaos i en organisations cloud-infrastruktur.

Billede af en person i et digitalt cybersikkerhedsmøde, hvor der tales om sårbarheder for forbundne enheder. Statistik på billede: "Gennemsnitligt 3.500 forbundne enheder i en organisation er ikke beskyttet af en agent for slutpunktsregistrering og -svar", og "1,7 millioner USD, middelværdi for årligt opgjort risiko for et databrud fra mobilphishingangreb" – fra artiklen om den moderne angrebsoverflade

Personer med ondsindede hensigter får ofte adgang til tredjepartskonti eller andre højt privilegerede konti, der er forbundet til en organisation, hvorefter de bruger disse legitimationsoplysninger til at infiltrere clouden og stjæle data. Selvom arbejdsbelastningsidentiteter (identiteter, der er tildelt til software-arbejdsbelastninger, f.eks. programmer til adgang til andre tjeneste og ressource) ofte overses ved overvågning af tilladelser, kan identitetsoplysninger skjult i arbejdsbelastninger give en trusselsaktør adgang til en hel organisations data.

Efterhånden som identitetslandskabet fortsætter med at vokse, forventer vi at angreb, der målretter mod identitet, vil fortsætte med at vokse både i volumen og variation. Dette betyder, at det fortsat vil være missionskritisk at opretholde en dybdegående forståelse af identitet og adgang.

Givet det store antal enheder i dagens hybride miljø er det blevet mere udfordrende at beskytte slutpunkter. Det, der ikke har ændret sig, er, at beskyttelse af slutpunkter – særligt ikke-administrerede enheder – er afgørende for at hørt sikkerhedsniveau, eftersom blot én kompromittering kan give trusselsaktører adgang til din organisation.

Efterhånden som organisation har omfavnet BYOD-politikker ("Bring Your Own Device", medbring din egen enhed), er ikke-administrerede enheder blevet mere udbredte. Som følge heraf er angrebsoverfladen for slutpunkter nu større og mere eksponeret. Der er i gennemsnit 3.500 forbundne enheder i en virksomhed, der ikke er beskyttet af en agent for slutpunktsregistrering og -svar.11

Ikke-administrerede enheder (som er en del af landskabet for "skygge-it") er særligt tiltalende for trusselsaktører, fordi sikkerhedsteams ikke har den nødvendige synlighed til at beskytte dem. Hos Microsoft har vi fundet frem til, at brugerne har 71 % større risiko for at blive inficeret på en ikke-administreret enhed.12 Eftersom ikke-administrerede enheder opretter forbindelse til virksomhedsnetværk, præsenterer de også muligheder for personer med ondsindede hensigter for at lancere bredere angreb på servere og anden infrastruktur.

Ikke-administrerede servere er også potentielle vektorer for slutpunktsangreb. I 2021 observerede Microsoft Security et angreb, hvor en trusselsaktør gjorde brug af en ikke-patchet server, navigerede gennem mapper og opdagede en mappe med adgangskoder, der gav adgang til legitimationsoplysninger til konti.

Fire personer taler om cybersikkerhed. Statistik på billede: "921: Adgangskodeangreb pr. sekund i 2022, en stigning på 74 % fra 2021" og "93 % af Microsofts undersøgelser under genoprettelser fra ransomware afslørede utilstrækkelig kontrol af adgang til rettigheder og lateral bevægelse" – fra artikel om den moderne angrebsoverflade

Personen med ondsindede hensigter loggede derefter ind på flere enheder i hele organisationen for at indsamle og udtrække store mængder data, herunder immaterielle rettigheder. Dette gav sandsynligvis personen med ondsindede hensigter mulighed for at true med frigivelse af oplysningerne, hvis den efterfølgende løsesum ikke blev betalt. Dette er en praksis kendt som "dobbelt afpresning", og det er et bekymrende scenarie, som vi har set oftere i løbet af det seneste år.13 Og selv hvis løsesummen betales, er der ingen garanti for, at dataene dekrypteres eller i det hele taget returneres.

Eftersom antallet af slutpunkter fortsætter med at vokse, vil trusselsaktører utvivlsomt fortsætte med at se slutpunkter (særligt ikke-administrerede slutpunkter) som attraktive mål. Som følge heraf kan forbedring af synlighed over slutpunkter og sikkerhedshygiejne give betydelig værdi til organisationer.

En af de mest oversete angrebsvektorer for slutpunkter er IoT (tingenes internet) – som inkluderer milliarder af enheder, både store og små. IoT-sikkerhed omhandler fysiske enheder, der opretter forbindelse til og udveksler data med netværket, f.eks. routere, printere, kameraer og andre lignende enheder. Det kan også inkludere operationelle enheder og sensorer (operativ teknologi eller "OT"), f.eks. smartudstyr på produktionslinjer til fremstilling.

Efterhånden som antallet af IoT-enheder vokser, stiger antallet af sårbarheder. IDC forudsiger, at der i 2025 vil være 41 milliarder IoT-enheder i virksomheds- og forbrugermiljøer.15 Eftersom mange organisationer bestyrker deres routere og netværk for at gøre dem sværere for trusselsaktører at bryde ind i, bliver IoT-enheder et lettere og mere tiltalende mål. Vi ser ofte, at trusselsaktører udnytter sårbarheder for at bruge IoT-enheder som proxyer – med en eksponeret enhed som en fod indenfor i netværket. Når en trusselsaktør har fået adgang til en IoT-enhed, kan vedkommende overvåge netværkstrafik for andre ubeskyttede aktiver og bevæge sig lateralt for at infiltrere andre dele af målets infrastruktur eller udføre rekognoscering for at planlægge storskalaangreb på følsomt udstyr og enheder. I en undersøgelse rapporterede 35 % af sikkerhedsfagfolkene, at en IoT-enhed inden for de seneste 2 år blev brugt til at udføre et bredere angreb mod deres organisation.16

Desværre er IoT ofte en blind vinkel for organisationer med hensyn til synlighed, og mange har ikke passende foranstaltninger for IoT-sikkerhed. 60 % af sikkerhedsfagfolk angav IoT- og OT-sikkerhed som en af de mindst beskyttede aspekter ved deres it- og OT-infrastruktur.17

Billede af computernetværksporte. Statistik på billede: "Der forventes 41 milliarder IoT-enheder i virksomheds- og forbrugermiljøer i 2025" og "60 % af sikkerhedsfagfolk siger, at IoT- og OT-sikkerhed er et af de mindst beskyttede aspekter ved deres it- og OT-infrastruktur" – fra artiklen om den moderne angrebsoverflade

IoT-enheder indeholder selv ofte farlige sårbarheder. Efterretningsdata fra Microsoft viste, at 1 million enheder, der er offentligt synlige på internettet, kører Boa-webserveren, et stykke forældet og ikke-understøttet software, der stadig bruges bredt i IoT-enheder og SDK'er (software development kit).18

Et stigende antal lande tager notits af disse blinde vinkler og stiller krav om forbedringer af cybersikkerheden for IoT-enheder.19,20 Disse regulativer er en indikator af et øget fokus på IoT-sikkerhed, efterhånden som både virksomheder og forbrugere bliver mere bekymrede for sårbarheder i IoT-enheder. Selvom IoT i øjeblikket er i søgelyset, udvider cybersikkerhedsregulativer sig også til andre områder, hvilket gør det endnu mere presserende for organisationer at få synlighed på tværs af angrebsoverflader.

Organisationer flytter i stigende grad infrastruktur, programudvikling, arbejdsbelastninger og store mængder data til clouden. Beskyttelse af cloudmiljøet betyder forsvar en af række tjenester, herunder SaaS, IaaS og PaaS, fordelt over flere clouds. Givet bredden og fordelingen af involverede tjenester, kan det væres svært at få et passende niveau af synlighed og beskyttelse ved hvert lag.

Mange organisationer har svært ved at få synlighed på tværs af deres cloud-økosystem fra ende til anden, særligt eftersom data i stigende grad findes i flere cloud- og hybridmiljøer. Alt for ofte betyder denne manglende synlighed, at der er et sikkerhedshul. Hos Microsoft har vi fundet frem til, at 84 % af organisationer, der blev ramt af ransomwareangreb, ikke integrerede deres aktiver i flere clouds med deres sikkerhedsværktøjer, en alvorlig forglemmelse.21

Den store flytning til clouden har også øget antallet af nye angrebsvektorer, som cyberkriminelle kan udnytte, hvor mange får adgang via huller i sikkerheden for tilladelser. Sårbarheder baseret på ukendt kode i programmer, der er udviklet i clouden, har betydeligt øget risikoen for kompromittering. Som følge heraf er den førende angrebsvektor, som vi ser på tværs af organisationer, nu udvikling af skyapps.

Billede af en person, der sidder på et offentligt sted og bruger en bærbar computer. Statistik på billede: "Gennemsnitligt 895 phishingangreb fra tredjemand registret pr. måned af Microsoft Defender for Cloud Apps" og "84 % af organisationer ramt af ransomwareangreb integrerede ikke deres multicloudmiljøer i værktøjer til sikkerhedsdrift" – fra artiklen om den moderne angrebsoverflade"

Omfavnelse af en "ryk mod venstre"-sikkerhedstilgang – hvor sikkerhedstankegang indarbejdes i de tidligste stadier af appudvikling – kan hjælpe organisationer med at bestyrke deres sikkerhedsniveau og undgå at introducere disse sårbarheder fra starten.

Skylager er en anden stadigt mere almindelig angrebsvektor, eftersom forkerte tilladelser kan risikoudsætte brugerdata. Derudover kan cloudtjenesteudbydere selv blive kompromitteret. I 2021 lancerede Midnight Blizzard (en russisk-forbundet trusselsaktørgruppe, der tidligere var kendt som NOBELIUM) phishingangreb mod en cloudtjenesteudbyder i et forsøg på at kompromittere og benytte privilegerede konti tilhørende offentlige kunder.22 Dette er blot et eksempel på en moderne cloudtrussel, og vi forventer at se flere tværgående cloudangreb i fremtiden.

I dag dækker en organisations eksterne angrebsoverflade over flere skyer, komplekse digitale forsyningskæder og store tredjeparts-økosystemer. Internettet er nu en del af netværket, og trods den nærmest uforståelige størrelse skal sikkerhedsteams nu forsvare deres organisations tilstedeværelse på hele internettet i en vis udstrækning, såvel som alt bag deres firewalls. Og efterhånden som flere organisationer tager principperne ved Nul tillid i brug, er beskyttelse af både interne og eksterne angrebsoverflader blevet en udfordring i internetskala.

Den globale angrebsoverflade vokser med internettet, og det vokser hver dag. Hos Microsoft har vi set beviser på denne stigning på tværs af mange typer trusler, f.eks. phishingangreb. I 2021 stod Microsofts Digital Crimes Unit for fjernelsen af mere end 96.000 unikke URL-adresser brugt til phishing og 7.700 phishingkits, hvilket førte til identifikation og lukning af over 2.200 skadelige mailkonti, der blev brugt til at indsamle stjålne legitimationsoplysninger fra kunder.24

Den eksterne angrebsoverflade rækker langt ud over en organisations egne aktiver. Den inkluderer ofte leverandører, partnere, ikke-administrerede personlige medarbejderenheder forbundet til virksomhedens netværk eller aktiver, samt nyligt opkøbte organisationer. Som følge heraf er det afgørende at være bevidst om eksterne forbindelser og eksponering for at afbøde potentielle trusler. En Ponemon-rapport fra 2020 afslørede, at 53 % af organisationer havde oplevet mindst ét databrud som følge af en tredjepart over de seneste to år, med en afhjælpningsomkostning på gennemsnitligt 7,5 millioner USD.25

Billede af to personer i et møde, der taler om cyberangrebsrelaterede datakompromitteringer. "Statistik på billede: 1613 cyberangrebsrelaterede datakompromitteringer i 2021, mere end alle datakompromitteringer i 2020" og "53 % af organisationer oplevede mindst et databrud som følge af en tredjepart i perioden 2018-2020" – fra artiklen om den moderne angrebsoverflade

Efterhånden som infrastruktur bag cyberangreb bliver større, er det blevet mere presserende end nogensinde at få synlighed over trusselsinfrastrukturen og føre opgørelse over interneteksponerede enheder. Vi har fundet frem til, at organisationer ofte har svært ved at forstå omfanget af deres eksterne eksponering, hvilket medfører betydelige blinde vinkler. Disse blinde vinkler kan have ødelæggende konsekvenser. I 2021 oplevede 61 % af virksomheder et ransomwareangreb, der førte til mindst en delvis forstyrrelse af virksomhedens drift.26

Hos Microsoft fortæller vi ofte vores kunder, at de skal se deres organisation udefra og ind, når de evaluerer sikkerhedsniveauet. Udover VAPT (Vulnerability Assessment and Penetration Testing, sårbarhedsvurdering og penetrationstest) er det vigtigt at få dybdegående synlighed over din eksterne angrebsoverflade, så du kan identificere sårbarheder i hele dit miljø og udvidede økosystem. Hvis du var en person med ondsindede hensigter, som forsøger at komme ind, hvad kunne du så udnytte? Det er afgørende at forstå din organisations eksterne angrebsoverflades fulde udstrækning for at beskytte den.

Sådan kan Microsoft hjælpe


Dagens trusselslandskab undergår konstante forandringer, og organisationer har brug for en sikkerhedsstrategi, der kan følge med. Øget organisatorisk kompleksitet og eksponering gør det sammen med et stort antal trusler og en lav indgangsbarriere til den cyberkriminelle økonomi mere presserende end nogensinde at beskytte hver eneste placering i og mellem hver angrebsoverflade.

Sikkerhedsteams har brug for kraftfulde efterretninger om cybertrusler for at forsvare mod nutidens myriade af fremvoksende trusler. De rigtige efterretninger om trusler korrelerer signaler fra forskellige steder – hvilket giver relevant kontekst om aktuel angrebsadfærd og tendenser i tide, så sikkerhedsteams kan lykkes med at identificere sårbarheder, prioritere underretninger og forpurre angreb. Og hvis der sker et brud, er efterretninger om trusler afgørende for at undgå yderligere skade og forbedre forsvaret, så et lignende angreb ikke kan finde sted igen. Enkelt sagt vil organisationer, der gør brug af flere efterretninger om trusler være sikrere og mere succesfulde.

Microsoft har et overblik over det fremvoksende trusselslandskab uden sidestykke med 65 billioner signaler analyseret hver dag. Ved at korrelere disse signaler i realtid på tværs af angrebsoverflader giver oplysninger om trusler, der er indbygget i Microsoft Security-løsninger, indsigt i det voksende ransomware- og trusselsmiljø, så du kan se og stoppe flere angreb. Og med avanceret funktionalitet med kunstig intelligens, f.eks. Microsoft Security Copilot, kan du være foran fremvoksende trusler og beskytte din organisation i maskinhastighed – hvilket gør det muligt for dit sikkerhedsteam at forenkle det komplekse, fange det andre misser og beskytte alt.

  1. [1]

    2022 Microsoft-rapport over digitalt forsvar, s. 18

  2. [2]

    2022 Microsoft-rapport over digitalt forsvar, s. 108

  3. [3]

    2022 Microsoft-rapport over digitalt forsvar, s. 21

  4. [4]

    2022 Verizon Data Breach Investigations report, s. 28

  5. [5]
  6. [6]

    2022 Microsoft-rapport over digitalt forsvar, s. 21

  7. [7]

    2021 FBI Internet Crime Report, s. 3

  8. [8]

    2022 Microsoft-rapport over digitalt forsvar, s. 2

  9. [9]

    2022 Microsoft-rapport over digitalt forsvar, s. 19

  10. [10]

    2022 Microsoft-rapport over digitalt forsvar, s. 14

  11. [11]

    2022 Microsoft-rapport over digitalt forsvar, s. 92

  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]

    "The State of IoT/OT Cybersecurity in the Enterprise" Ponemon Institute-undersøgelsesrapport fra 2021, s. 2

  17. [17]

    "The State of IoT/OT Cybersecurity in the Enterprise" Ponemon Institute-undersøgelsesrapport fra 2021, s. 2

  18. [18]

    2022 Microsoft Cyber Signals Report, s. 3

  19. [19]
  20. [20]
  21. [21]

    2022 Microsoft-rapport over digitalt forsvar, s. 16

  22. [22]

    2022 Microsoft-rapport over digitalt forsvar, s. 37

  23. [23]

    2022 Microsoft-rapport over digitalt forsvar, s. 95

  24. [24]
  25. [25]
  26. [26]
  27. [27]

    2021 Identity Theft Resource Center Annual Data Breach Report, s. 5

Angrebsoverflade IoT og OT Phishing Ransomware

Relaterede artikler

Tre måder, hvorpå du kan beskytte dig selv mod ransomware

Moderne forsvar mod ransomware kræver meget mere end blot at konfigurere foranstaltninger til registrering. Find de tre måder, hvorpå du kan bestyrke dit netværks sikkerhed i forhold til ransomware i dag.
Få mere at vide

Den unikke sikkerhedsrisiko for IoT/OT-enheder

I vores seneste rapport udforsker vi, hvordan stigende IoT/OT-forbindelse fører til større og mere alvorlige sårbarheder, som organiserede cybertrusselsaktører kan udnytte.
Få mere at vide

Mødet mellem it og OT

Den stigende mængde IoT, der er i omløb, giver øget risiko for OT med en række potentielle sårbarheder og eksponering for trusselsaktører. Find ud af, hvordan du kan beskytte din organisation.
Få mere at vide

Følg Microsoft Security