Trace Id is missing

Oppbygningen av en ekstern angrepsoverflate

Last ned
Del
Forstå oppbygningen av et eksternt overflateangrep

Fem elementer organisasjoner bør overvåke

Cybersikkerhetsverdenen blir stadig mer kompleks, med organisasjoner som flytter til skyen og skifter til desentralisert arbeid. I dag strekker den eksterne angrepsoverflaten seg over flere skyer, komplekse digitale kjeder og massive tredjeparts økosystemer. Derfor har den rene skala for globale sikkerhetsproblemer som nå er vanlige, dermed skiftet forståelsen vår av omfattende sikkerhet radikalt.

Internett er nå en del av nettverket. Til tross for den nesten umålelige størrelsen må sikkerhetsteamene forsvare organisasjonens tilstedeværelse på tvers av Internett, i samme grad som alt bak brannmurene. Etter hvert som flere organisasjoner tar i bruk prinsippene til nulltillit, blir beskyttelse av både interne og eksterne overflater en Internett-utfordring. Derfor er det stadig viktigere for organisasjoner å forstå hele omfanget av angrepsoverflaten.

Microsoft kjøpte opp Risk IQ i 2021 for å hjelpe organisasjoner med å vurdere sikkerheten til hele den digitale virksomheten. Organisasjoner som er drevet av RiskIQ Internet Intelligence Graph, kan oppdage og undersøke trusler på tvers av komponenter, tilkoblinger, tjenester, IP-tilkoblede enheter og infrastruktur som utgjør angrepsoverflaten for å skape et motstandsdyktig, skalerbart forsvar.

For sikkerhetsteamene kan bredden av det de trenger å forsvare, virke avskrekkende. Én måte å sette omfanget til organisasjonens angrepsoverflate i perspektiv, er å tenke på Internett fra en angripers ståsted. Denne artikkelen fremhever fem områder som bidrar til å ramme inn utfordringene til effektiv styring av ekstern angrepsoverflate, på en bedre måte.

Den globale angrepsoverflaten vokser med Internett

Og den vokser hver eneste dag. I 2020 nådde datamengden på Internett 40 zettabyte, eller 40 billioner gigabyte.1 RiskIQ registrerte at hvert minutt så la 117 298 verter og 613 domener2 til innhold i de mange sammenvevde trådene som utgjør den globale angrepsoverflatens intrikate materiale. Hver av disse inneholder et sett med elementer, for eksempel underliggende operativsystemer, tredjepartsprogrammer, programtillegg og sporingskode. Med hvert av disse raskt voksende nettstedene som inneholder det mest grunnleggende, øker omfanget til den globale angrepsoverflaten eksponentielt.

Den globale angrepsoverflaten vokser hvert minutt

  • verter som opprettes hvert minutt.
  • domener som opprettes hvert minutt.
  • 375 nye trusler hvert minutt.2

Både legitime organisasjoner og trusselaktører bidrar til denne veksten, noe som betyr at cybertrusler øker på samme skala som resten av Internett. Både komplekse avanserte vedvarende trusler (APT-er) og smålige cyberkriminelle trusler bedriftssikkerheten, og retter seg mot data, merke, immaterielle rettigheter, systemer og mennesker.

I første kvartal av 2021 identifiserte CISCO 611 877 unike phishing-nettsteder,3 med 32 domenebruddhendelser og 375 fremvoksende totale trusler hvert minutt2 Disse truslene bruker skadelige ressurser og retter seg mot ansatte og kunder i organisasjoner, og prøver å lure dem til å klikke på svindel-koblinger for å «phishe» etter sensitive data. Alt dette kan bryte merketryggheten og forbrukernes tillit.

Økningen i sårbarheter fra en ekstern arbeidsstyrke

Den raske veksten av internett-eksponerte ressurser har utvidet spekteret av trusler og sårbarheter som påvirker den gjennomsnittlige organisasjon, dramatisk. Med COVID-19s inntog økte den digitale veksten atter en gang, der nesten alle organisasjoner utvidet det digitale fotavtrykket for å legge til retten for en ekstern og svært fleksibel arbeidsstyrke og bedriftsmodell. Resultatet: angripere har nå mange flere tilgangspunkter de kan undersøke eller utnytte.

Bruken av RDP (protokoll for eksternt skrivebord) og VPN (virtuelt privat nettverk) skjøt i været med 41 % og 33 %4 der nesten hele verden tok i bruk en jobb hjemmefra-policy. Den globale størrelsen på programvaremarkedet for eksternt skrivebord, USD 1,53 milliarder i 2019, kommer til å nå USD 4,69 milliarder innen 2027.5

Dusinvis av nye sårbarheter i programvare og enheter med ekstern tilgang har gitt angriperne et fotfeste de aldri før har hatt. RiskIQ viste mange sårbare forekomster av de mest populære tilgangs- og perimeterenhetene, og den voldsomme hastigheten til sårbarhetene har ikke gått ned. Totalt ble 18 378 sårbarheter rapportert i 2021.6

Et nytt sårbarhetslandskap

  • vekst i RDP-bruk.
  • vekst i VPN-bruk.
  • sårbarheter rapportert i 2021.

Med fremveksten av angrep som er orkestrert av flere trusselgrupper på global skala, og er skreddersydd for digitale virksomheter, må sikkerhetsteamene redusere sårbarheter for seg selv, tredjeparter, partnere, kontrollerte og ukontrollerte apper og tjenester, i og blant relasjoner i den digitale forsyningskjeden.

Digitale forsyningskjeder, M&A, og skygge-IT skaper en skjult angrepsoverflate

De fleste cyberangrep har sin opprinnelse hundrevis av kilometer unna nettverket. Webprogrammer omfatter vektorkategorien som oftest blir utnyttet i sikkerhetsbrudd knyttet til hacking. Dessverre mangler de fleste organisasjoner en fullstendig oversikt over internett-ressursene sine og hvordan disse ressursene kan knyttes til den globale angrepsoverflaten. Tre betydelige bidragsytere når det gjelder mangel på synlighet, er skygge-IT, fusjoner og oppkjøp (M&A) og digitale forsyningskjeder.

Avhengigheter i fare

  • utløpte tjenester per minutt.2
  • av avtaler inneholder tilbørlig aktsomhet for cybersikkerhet7
  • av organisasjoner opplevde minst ett databrudd forårsaket av en tredjepart.8

Skygge-IT

 

Hvis IT-avdelingen ikke kan holde følge med bedriftskravene, ser bedriften andre steder etter støtte i utvikling og distribusjon av nye nettressurser. Sikkerhetsteamet er ofte blinde for disse skygge-IT-aktivitetene, og som et resultat av dette, kan de ikke bringe de opprettede ressursene innenfor omfanget av sikkerhetsprogrammet. Ikke-administrerte og løsrevne ressurser kan bli en svakhet i angrepsoverflaten til en organisasjon over tid.

Den raske veksten av digitale ressurser utenfor brannmuren er nå normen. Nye RiskIQ-kunder finner vanligvis rundt 30 prosent flere ressurser enn de trodde de hadde, og RiskIQ identifiserer 15 utgåtte enheter (utsatt for overtakelse av tredjenivådomener) og 143 åpne porter hvert minutt.2

Fusjoner og oppkjøp

 

Daglige operasjoner og kritiske bedriftsinitiativer som M&A, strategiske partnerskap, og outsourcing, skaper og utvider eksterne angrepsoverflater. I dag omfatter mindre enn 10 prosent av avtaler globalt tilbørlig aktsomhet for cybersikkerhet.

Det finnes flere vanlige årsaker til hvorfor organisasjoner ikke får fullstendig oversikt over potensielle cybersikkerhetsrisikoer under tilbørlig aktsomhet-prosessen. Den første er den rene skalaen til selskapets digitale tilstedeværelse som de kjøper opp. Det er ikke uvanlig for en stor organisasjon å ha tusenvis – eller til og med titusenvis – av aktive nettsteder og andre offentlig eksponerte ressurser. Selv om IT-avdelingen og sikkerhetsteamene i selskapet som skal kjøpes opp, har et ressursregister med nettsteder, er det nesten alltid bare en delvis visning av det som finnes. Jo mer desentralisert en organisasjons IT-aktiviteter er, jo er betydelig er gapet.

Forsyningskjeder

 

Virksomheten avhenger stadig mer av de digitale alliansene som former den moderne forsyningskjeden. Selv om disse avhengighetene er essensielle for drift i det 21. århundre, skaper de også et rotete og svært komplisert nett med mange lag av tredjepartsrelasjoner, der mange er utenfor sikkerhets- og risikoteamenes rekkevidde for å beskytte og forsvare proaktivt. Som et resultat av dette, er det å identifisere sårbare digitale ressurser som signaliserer risiko, en stor utfordring.

Mangel på forståelse og synlighet inn i disse avhengighetene har gjort tredjepartsangrep til ett av de mest hyppige og effektive vektorene for trusselaktører. En betydelig mengde angrep kommer nå gjennom den digitale forsyningskjeden. I dag angir 70 prosent av IT-ansatte et moderat til høyt nivå av avhengighet av eksterne enheter som kan omfatte tredje-, fjerde og femteparter.9 Samtidig har 53 prosent av organisasjonene opplevd minst ett databrudd forårsaket av en tredjepart.10

Selv om store forsyningskjedeangrep blir mer vanlig, håndterer organisasjoner mindre angrep daglig. Programvare for digital kredittkort-skimming, for eksempel Magecart, påvirker tredjeparts e-handel-tillegg. I februar 2022 indentifiserte RiskIQ mer enn 300 domener som ble påvirket av Magecart, programvaren for digital kredittkort-skimming.11

Hvert år investerer bedrifter mer i mobil, siden den gjennomsnittlige forbrukers livsstil blir mer mobilorientert. Amerikanere bruker nå mer tid på mobil enn å se på direktesendt TV, og sosial distansering forårsaket at de overførte flere av sine fysiske behov til mobilen, for eksempel shopping og utdanning. App Annie viser at mobilforbruket økte til forbløffende USD 170 milliarder i 2021, med en vekst på 19 prosent fra år til år.12

Denne etterspørselen etter mobil skaper en massiv økning i mobilapper. Brukere lastet ned 218 milliarder apper i 2020. Samtidig merket RiskIQ en totalt vekst i mobilapper som var tilgjengelige i 2020, på 33 prosent, der 23 dukket opp hvert minutt.2

Appbutikker er en voksende angrepsoverflate

  • vekst i mobilapper.
  • mobilapper dukker opp hvert minutt.
  • app blokkeres hvert femte minutt.2

For organisasjoner driver disse appene forretningresultater. De kan imidlertid være et tveegget sverd. Applandskapet er en betydelig del av en virksomhets totale angrepsoverflate som eksisterer utenfor brannmuren, hvor sikkerhetsteamene ofte har en avgjørende mangel på synlighet. Trusselaktører har gjort det til et levebrød å utnytte denne korttenktheten, for å produsere «svindelapper» som etterligner velkjente merker, eller som på annen måte gir seg ut for å være noe de ikke er, spesialbygd for å lure kunder til å laste dem ned. Når en intetanende bruker laster ned disse skadelige appene, får trusselaktørene det som de vil, og kan «phishe» etter sensitiv informasjon eller laste opp programvare til enheter. RiskIQ fører skadelige mobilapper opp på blokkeringsliste hvert femte minutt.

Disse svindelappene dukker opp i offisielle butikker ved sjeldne tilfeller, og skaper til og med brudd på det robuste forsvaret til de store app-butikkene. Hundrevis av mindre anerkjente appbutikker representerer en mørk mobil underverden utenfor den relative tryggheten til anerkjente butikker. Apper i disse butikkene er mye mindre regulert enn offisielle appbutikker, og noen er så invadert av skadelige apper at de utkonkurrerer de trygge tilbudene.

Den globale angrepsoverflaten er også en del av e organisasjons angrepsoverflate

Dagens globale Internett-angrepsoverflate har dramatisk transformert seg til et dynamisk, altomfattende og fullstendig sammenslynget økosystem som vi alle er en del av. Hvis du har en tilstedeværelse på Internett, kobles du sammen med alle andre, inkludert de som vil skade deg. På bakgrunn av dette er det like viktig å spore trusselinfrastrukturen som å spore egen infrastruktur.

Den globale angrepsoverflaten er en del av en organisasjons angrepsoverflate

  • ny skadelig programvare identifiseres hver dag.2
  • økning i skadelig programvare-varianter.13
  • Cobalt Strike-server hvert 49. i minutt.2

Ulike trusselgrupper resirkulerer og deler infrastruktur – IP-er, domener og sertifikater – og bruker handelsvareverktøy med åpen kildekode, for eksempel skadelig programvare, phishing-sett, og C2-komponenter, for å unngå enkel tilskrivelse, og finjusterer og forbedrer dem så de passer deres unike behov.

Mer enn 560 000 nye typer skadelig programvare identifiseres hver dag, og antallet phishing-sett som markedsføres på skjulte markedsplasser for cyberkriminalitet, doblet seg mellom 2018 og 2019. I 2020 steg antallet identifiserte varianter av skadelig programvare med 74 prosent.14 RiskIQ identifiserer nå en Cobalt Strike C2-server hvert 49 minutt.

Tradisjonelt sett har sikkerhetsstrategien til de fleste organisasjoner vært en forsvarspreget tilnærming som starter på perimeteren, og legger flere lag stilbake til ressursene som skal beskyttes. Det finnes imidlertid frakoblinger mellom denne typen strategi og angrepsoverflaten, som presentert i denne rapporten. I det digitale engasjementet i verden i dag sitter brukerne utenfor perimeteren – og de samme gjør et økende antall eksponerte digitale bedriftsressurser og mange av de ondsinnede aktørene. Å ta i bruk nulltillitsprinsipper på tvers av bedriftsressurser kan bidra til å sikre dagens arbeidsstyrke – beskytte mennesker, enheter, programmer og data, uavhengig av plassering eller antall trusler de møter. Microsoft Sikkerhet tilbyr en rekke målrettede evalueringsverktøy som hjelper deg med å vurdere modenhetsstadiet for nulltillit i organisasjonen.

Relaterte artikler

Datatrussel-minutt

Under et cyberangrep teller hvert sekund. For å illustrere mengden og omfanget til verdensomspennende nettkriminalitet har vi samlet et år med cybersikkerhetsforskning i et 60-sekunders vindu.
Mer informasjon

Løsepengevirus som tjeneste

Nettkriminalitetens nyeste bedriftsmodell, menneskestyrte angrep, oppmuntrer kriminelle med varierende evner.
Mer informasjon

Økning i IoT og risikoen for OT

Den økende utbredelsen av IoT setter OT i fare med mange mulige sårbarheter og eksponering for trusselaktører. Finn ut hvordan du holder organisasjonen beskyttet.
Mer informasjon