Microsoft-rapport om digitalt forsvar for 2022
Innsikt fra billioner av daglige sikkerhetssignaler
Unikt fordelspunkt
Målet til Microsoft-rapporten om digitalt forsvar, nå i sitt tredje år (tidligere kalt Microsoft-sikkerhetsinnsiktsrapport med over 22 arkiverte rapporter), er å belyse det voksende digitale trussellandskapet på tvers av fire viktige fokusområder: nettkriminalitet, statlige trusler, enheter & infrastruktur og cyberbaserte påvirkningsoperasjoner, og samtidig gi innsikt og veiledning i hvordan cybermotstandsdyktigheten kan forbedres.
Microsoft betjener flere milliarder kunder globalt, noe som gir oss mulighet til å samle sikkerhetsdata fra et omfattende og mangfoldig spekter av organisasjoner og forbrukere. Denne rapporten bygger på bredden og dyden av signalintelligens fra hele Microsoft, inkludert skyen, endepunkter og den intelligente kanten. Dette unike utgangspunktet gir oss et naturtro bilde av trussellandskapet og den nåværende tilstanden til cybersikkerheten, inkludert indikatorer som hjelper oss med å forutse hva angripernes neste skritt er. Vi ser gjennomsiktighet og informasjonsdeling som avgjørende for å hjelpe kundene til å bli mer cybermotstandsdyktige, og for beskyttelse av økosystemet.
I dette overordnede sammendraget av rapporten lærer du om tilstanden til nettkriminalitet, hvordan tingenes Internett (IoT) -enheter er i ferd med å bli et svært populært mål, nye statlige taktikker, og økningen i cyber-leiesoldater, cyberbaserte påvirkningsoperasjoner, og, viktigst av alt, hvordan du holder deg motstandsdyktig i denne tiden.
- 43 billioner signaler syntetisert daglig ved hjelp av avansert dataanalyse og algoritmer med kunstig intelligens for å forstå og beskytte mot digitale trusler og kriminell cyberaktivitet
- Over 8500 ingeniører, forskere, dataforskere, cybersikkerhetseksperter, trusseljegere, geopolitiske analytikere, etterforskere og Frontlinjearbeidere i 77 land
- 15 000 partnere i vårt sikkerhetsøkosystem, som øker cybermotstandsdyktigheten for kundene våre
Nettkriminaliteten fortsetter å vokse, og drives av en dramatisk økning i både tilfeldige og målrettede angrep. Vi har sett stadig større mangfold i truslene i det digitale landskapet, med utvikling innen cyberangrepsmetoder og kriminell infrastruktur som brukes til å forsterke den kinetiske krigen under den russiske invasjonen av Ukraina.
Angrep med løsepengevirus utgjør en større fare for alle enkeltpersoner fordi kritisk infrastruktur, bedrifter av alle størrelser og statlige og lokale myndigheter blir målrettet av kriminelle som utnytter det voksende nettkriminelle økosystemet. Etter hvert som angrep med løsepengevirus blir mer dristige i omfang, har effekten blitt mer omfattende. En bærekraftig og vellykket innsats mot denne trusselen krever at en strategi som omfatter hele statsapparatet, utføres i nært samarbeid med privat sektor.
Ved å analysere responsen og gjenopprettingsarbeidet, fant vi konsekvent svake indentitetskontroller, ineffektive sikkerhetsoperasjoner, og ufullstendige databeskyttelsesstrategier blant de berørte organisasjonene.
I år har vi sett en betydelig økning i tilfeldig phishing og legitimasjonstyveri for å få informasjon som selges og brukes i målrettede angrep, slik som løsepengevirus, dataeksfiltrasjon og utpressing, og kompromittering av forretning-e-post.
Cyberkriminalitet som tjeneste (CaaS) er en trussel i vekst og utvikling, rettet mot kunder i hele verden. Microsofts avdeling for nettkriminalitet (DCU) observerte en kontinuerlig vekst i CaaS-økosystemet, med et økende antall nettbaserte tjenester som la til rette for nettkriminalitet, inkludert kompromittering av forretnings-e-post (BEC) og menneskestyrt løsepengevirus. CaaS-selgere tilbyr i økende grad salg av kompromittert legitimasjon, og vi ser flere CaaS-tjenester og -produkter med forbedrede funksjoner for å unngå oppdagelse.
Angripere finner nye måter å implementere teknikker på og drifte den operasjonelle infrastrukturen, slik som å kompromittere bedrifter til å drifte phishing-kampanjer, skadelig programvare, eller bruke databehandlingskraften til å utvinne kryptovaluta. Tingenes Internett (IoT) -enheter blir stadig mer populære mål for nettkriminelle som bruker utbredte botnett. Når rutere ikke er sikkerhetskopiert, og er eksponert for Internett direkte, kan trusselaktører misbruke dem for å få tilgang til nettverk, utføre skadelige angrep og til og med støtte driften.
Hacktivisme har økt det siste året, med private innbyggere som utfører cyberangrep, for å fremme sosiale eller politiske mål. Tusenvis av enkeltpersoner ble mobilisert til å starte angrep, som en del av krigen mellom Russland og Ukraina. Selv om det gjenstår å se om denne trenden vil fortsette, må teknologibransjen samle seg for å utforme et omfattende svar på denne nye trusselen.
Økende digital transformasjon har økt cybersikkerhetsrisikoen for kritisk infrastruktur og cyber-fysiske systemer. Etter hvert som organisasjoner utnytter fremskritt innen databehandling, og enheter digitaliserer for å utvikle seg, øker angrepsoverflaten til den digitale verden eksponentielt.
Denne hurtige innføringen av IoT-løsninger har økt antallet angrepsvektorer og eksponeringsrisikoen til organisasjoner. Denne overføringen har overgått de fleste organisasjoners evne til å holde følge etter hvert som skadelig programvare som tjenester har flyttet til store operasjoner mot sivil infrastruktur og bedriftsnettverk.
Vi har observert at et økt antall trusler utnytter enheter i alle deler av organisasjonen, fra tradisjonelt IT-utstyr til driftsteknologi (OT) -kontrollere eller enkle IoT-sensorer. Vi har sett angrep på strømnettet, angrep med løsepengevirus som avbryter OT-operasjoner, og IoT-rutere som utnyttes for økt vedvarenhet. På samme tid har det vært økt målretting mot sårbarheter i fastvare – programvare integrert i en enhets maskinvare eller et kretskort – for å starte ødeleggende angrep.
For å håndtere disse og andre trusler utvikler regjeringer verden rundt policyer for å håndtere cybersikkerhetsrisiko for kritisk infrastruktur. Mange iverksetter også policyer for å forbedre IoT- og OT-enhetssikkerheten. Den voksende globale bølgen av policyinitiativer skaper en enorm mulighet til å forbedre cybersikkerheten, men byr også på nye utfordringer for interessenter på tvers av økosystemet. Siden policyaktivitet på tvers av regioner, sektorer, teknologier og områder for driftsrisikostyring bestrebes samtidig, er det mulighet for overlapping og inkonsistens i omfanget, kravene og kompleksiteten til kravene. Offentlige organisasjoner og organisasjoner i privat sektor må benytte seg av muligheten til å forbedre cybersikkerheten med ekstra engasjement og arbeid for konsistens.
- 68 % av respondentene mener at innføring av IoT/OT er avgjørende for den strategiske digitale transformasjonen
- 60 % anerkjenner at IoT/OT-sikkerhet er én av de minst sikrede aspektene ved infrastrukturen
Det siste året har det vært et skifte blant statlige cybertrusselgrupper, fra utnytting av programvareforsyningskjeden til utnytting av IT-tjenesteforsyningskjeden, målretting mot skyløsninger og leverandører av administrerte tjenester for å nå nedstrøms kunder i offentlig og politisk sektor, og sektor for kritisk infrastruktur.
Etter hvert som organisasjonene styrker cybersikkerhetsstatusen, har statlige aktører svart med å strebe etter nye og unike taktikker for å angripe og unngå å bli oppdaget. Identifikasjonen og utnyttelsen av nulldagssårbarheter er en viktig taktikk i dette arbeidet. Antallet offentliggjorte nulldagssårbarheter det siste året er på linje med disse fra forrige år, som var det høyeste som er registrert. Mange organisasjoner antar at de har mindre sannsynlighet for å bli ofre for nulldagsangrep hvis sårbarhetsstyringen er integrert i nettverkssikkerheten. Kommodifiseringen av utnyttelser har i midlertid ledet dem til å komme mye raskere. Nulldagsutnyttelser oppdages ofte av andre aktører og brukes i stor grad på nytt i en kort tidsperiode, hvor systemer som ikke er sikkerhetsoppdatert, er i fare.
Vi har sett en voksende bransje med offensive aktører i privat sektor, eller cyber-leiesoldater, som utvikler og selger verktøy, teknikker og tjenester til klienter – ofte offentlig sektor – for å bryte inn i nettverk, datamaskiner, telefoner og Internett-tilkoblede enheter. Selv om de er en ressurs for statlige aktører, setter disse subjektene ofte avvikere, menneskerettighetsforkjempere, journalister, forkjempere for sivile samfunn og andre private innbyggere i fare. Disse cyber-leiesoldatene tilbyr avanserte «overvåking som tjeneste»-funksjoner som mange av nasjonalstatene ikke hadde kunnet utviklet alene.
Demokratiet trenger pålitelig informasjon for å blomstre. Et viktig fokusområde for Microsoft er påvirkningsoperasjonene som utvikles og foreviges av nasjonalstatene. Disse kampanjene bryter ned tillit, øker polariseringen og truer demokratiske prosesser.
Vi ser særlig autoritære regimer som arbeider sammen, for å forurense informasjonsøkosystemet for å få en gjensidig fordel. Kampanjer som var ute etter å skjule opprinnelsen til COVID-19-viruset er et eksempel på dette. Siden starten av pandemien har russisk, iransk og kinesisk COVID-19-propaganda økt dekningen for å forsterke disse sentrale temaene.
900 % årlig økning i den raske veksten til deepfakes siden 2019
Vi går også inn i det vi forventer skal være en glansperiode for mediekreasjoner og manipulasjon drevet av kunstig intelligens, drevet av den raske økningen i verktøy og tjenester for å lage svært realistiske, syntetiske bilder, videoer, lyd, og tekst på kunstig vis, og evnen til å raskt spre innhold som er optimalisert for bestemte målgrupper. Det som er en langvarig og enda mer snikende trussel omhandler vår oppfatning av hva som er sant, hvis vi ikke lenger kan stole på det vi ser og hører.
Det raskt endrende aspektet til informasjonsøkosystemet, sammen med statlige påvirkningsoperasjoner – inkludert sammenslåingen av tradisjonelle cyberangrep med påvirkningsoperasjoner og forstyrrelser i demokratiske valg – krever en tilnærming som omfatter hele samfunnet. Økt koordinasjon og informasjonsdeling på tvers av myndigheter, privat sektor og det sivile samfunn er nødvendig for å øke gjennomsiktigheten til disse påvirkningskampanjene og for å eksponere og avbryte kampanjene.
Det er en økende følelse av at det haster med å respondere på det økende trusselnivået i det digitale økosystemet. Den geopolitiske motivasjonen til trusselaktørene har vist at stater har eskalert bruken av offensive cyberoperasjoner for å destabilisere myndigheter og påvirke globale handelsoperasjoner. Etter hvert som disse truslene øker og utvikler seg, er det avgjørende å bygge cybermotstandsdyktighet i fabrikker og organisasjoner.
Som vi har sett, lykkes mange cyberangrep fordi grunnleggende sikkerhetstiltak ikke er blitt tatt i bruk. Minimumsstandardene enhver organisasjon bør innføre, er:
- Bekreft eksplisitt: Sørg for at brukere og enheter er oppdaterte før du gir tilgang til ressurser.
- Bruk minst priviligert tilgang: Tillat kun privilegiene som trengs for tilgang til en ressurs, ikke noe mer.
- Anta sikkerhetsbrudd: Anta brudd på systemvern og at systemer kan være kompromittert. Det betyr at man må konstant overvåke miljøet og være bevisst over mulige angrep.
Bruke moderne beskyttelse mot skadelig programvare
Innfør programvare som bidrar til å oppdage og automatisk blokkere angrep og gi innsikter til sikkerhetsoperasjoner. Å overvåke innsikter fra systemer som oppdager trusler, er grunnleggende for å kunne beskytte seg mot trusler i tide.
Hold deg oppdatert
Ikke-oppdaterte og gamle systemer er hovedgrunnen til at mange organisasjoner blir angrepet. Sørg for at alle systemene er oppdaterte, inkludert fastvare, operativsystemer og programmer.
Beskytte data
Å være bevisst på viktig data, hvor den er lokalisert og om relevante systemer er blitt innført, er grunnleggende for innføring av passende beskyttelse.
Kilde: Microsoft-rapport om digitalt forsvar, november 2022