Den moderna attackytans uppbyggnad

För de flesta organisationer är e-post en oumbärlig del av den dagliga verksamheten. Tyvärr är e-post fortfarande en av de främsta hotvektorerna. I 35 % av incidenterna med utpressningstrojaner 2022 ingick användning av e-post.⁴ Angriparna utför fler e-postattacker än någonsin tidigare – 2022 ökade andelen nätfiskeattacker med 61 % jämfört med 2021^.5

Angriparna använder nu ofta också legitima resurser när de utför sina nätfiskeattacker. Detta gör det ännu svårare för användare att skilja på riktiga och skadliga e-postmeddelanden, vilket ökar sannolikheten för att ett hot tar sig in. Medgivandebaserade nätfiskeattacker är ett exempel på denna trend, där hotaktörer missbrukar legitima molntjänstleverantörer för att lura användare att ge tillstånd att komma åt konfidentiella data.

Utan möjligheten att korrelera e-postsignaler med bredare incidenter för att visualisera attacker kan det ta lång tid att upptäcka en hotaktör som tagit sig in via e-post. Då kan skadan redan vara skedd. Mediantiden det tar för en angripare att få åtkomst till en organisations privata data är bara 72 minuter.⁶ Detta kan leda till stora förluster på företagsnivå. E-postintrång hos företag (BEC) kostade uppskattningsvis 2,4 miljarder USD i justerade förluster 2021.⁷

I dagens molnbaserade värld har säker åtkomst blivit viktigare än någonsin. Därför är en djup förståelse av identitetshanteringen i hela din organisation, exempelvis hanteringen av behörigheter för användarkonton, arbetsbelastningsidentiteter och deras potentiella säkerhetsrisker, av största vikt, särskilt då attackernas frekvens och kreativitet ökar.

Antalet lösenordsattacker ökade till uppskattningsvis 921 attacker per sekund 2022 – en ökning med 74 % från 2021.⁸ På Microsoft har vi också sett att hotaktörerna blir alltmer kreativa när det gäller att kringgå multifaktorautentisering (MFA), med hjälp av tekniker som angripare-i-mitten-nätfiskeattacker och tokenmissbruk, och därigenom få tillgång till organisationers data. Nätfiskekit har gjort det ännu lättare för hotaktörer att stjäla autentiseringsuppgifter. Microsofts Digital Crimes Unit har observerat en ökning av nätfiskekitens sofistikeringsnivå under det senaste året, i kombination med mycket låga inträdeshinder. En säljare erbjöd exempelvis nätfiskekit för så lite som 6 USD per dag.⁹

Att hantera identitetsattackytan handlar inte bara om att skydda användarkonton – utan även molnåtkomst och arbetsbelastningsidentiteter. Komprometterade autentiseringsuppgifter kan vara ett kraftfullt verktyg för hotaktörer för att orsaka förödelse i en organisations molninfrastruktur.

Det stora antalet enheter i dagens hybridmiljö har gjort det svårare att skydda slutpunkterna. Det som inte har förändrats är att skyddet av slutpunkter – särskilt ohanterade enheter – är avgörande för en stark säkerhetsstatus, eftersom en enda kompromettering kan ge hotaktörer tillgång till din organisation.

Allt eftersom organisationerna har infört BYOD-principer (”Bring Your Own Device”) har antalet ohanterade enheter ökat. Det har i sin tur lett till att attackytan för slutpunkter nu är större och mer exponerad. I genomsnitt finns det 3 500 anslutna enheter i ett företag som inte skyddas av en agent för slutpunktsidentifiering och åtgärd.¹¹

Ohanterade enheter (som är en del av ”skugg-IT”-landskapet) är särskilt attraktiva för hotaktörerna eftersom säkerhetsteamen saknar den synlighet som krävs för att skydda dem. På Microsoft har vi kommit fram till att det är 71 % mer sannolikt att användare blir infekterade på en ohanterad enhet.¹² Eftersom de ansluter till företagsnätverk ger ohanterade enheter också angriparna möjligheter att inleda bredare attacker mot servrar och annan infrastruktur.

Ohanterade servrar är också potentiella vektorer för slutpunktsattacker. År 2021 observerade Microsoft Security en attack där en hotaktör utnyttjade en server som inte uppdaterats med korrigeringar, navigerade genom kataloger och upptäckte en lösenordsmapp som gav åtkomst till autentiseringsuppgifter för konton.

En av de mest förbisedda attackvektorerna för slutpunkter är IoT (Sakernas Internet), där flera miljarder enheter, både stora och små, ingår. IoT-säkerhet omfattar fysiska enheter som ansluter till och utbyter data med nätverket, till exempel routrar, skrivare, kameror och andra liknande enheter. Det kan också handla om driftenheter och sensorer (driftteknik, eller ”DT”), till exempel smart utrustning på produktionslinjer.

I takt med att antalet IoT-enheter växer, ökar även antalet säkerhetsrisker. År 2025 förutspår IDC att 41 miljarder IoT-enheter kommer att finnas i företags- och konsumentmiljöer.¹⁵ Eftersom många organisationer förstärker säkerheten för routrar och nätverk för att göra det svårare för hotaktörerna att göra intrång på dem, så framstår IoT-enheter som ett enklare och mer lockande mål. Vi har ofta sett att hotaktörer utnyttjar säkerhetsrisker för att förvandla IoT-enheter till proxyservrar, så att de kan få fotfäste i nätverket med hjälp av en exponerad enhet. När en hotaktör väl har fått tillgång till en IoT-enhet kan aktören övervaka nätverkstrafiken i jakt på andra oskyddade tillgångar, röra sig lateralt och infiltrera andra delar av målets infrastruktur, eller utföra rekognoscering som en del av planerandet av storskaliga attacker mot känslig utrustning och enheter. I en studie rapporterade 35 % av säkerhetsexperterna att en IoT-enhet hade använts för att utföra en bredare attack mot deras organisation under de senaste två åren.¹⁶

Tyvärr är IoT ofta en svart låda med begränsad insyn för organisationer, och många saknar ordentliga IoT-säkerhetsåtgärder. 60 % av säkerhetsexperterna nämnde IoT- och DT-säkerhet som en av de minst skyddade aspekterna av deras IT- och DT-infrastruktur.¹⁷

Idag omspänner en organisations externa attackyta flera moln, komplexa digitala försörjningskedjor och enorma ekosystem från tredje part. Internet är nu en del av nätverket, och trots den nästan ofattbara omfattningen måste säkerhetsteamen försvara sin organisations närvaro på hela Internet i samma grad som allt som finns bakom deras brandväggar. I takt med att allt fler organisationer tillämpar principerna för Nolltillit har skyddet av både interna och externa attackytor blivit en utmaning i Internetskala.

Den globala attackytan växer jämsides med Internet och utökas dag för dag. På Microsoft har vi sett bevis på denna ökning i många olika typer av hot, som nätfiskeattacker. År 2021 ledde Microsofts Digital Crimes Unit avlägsnandet av mer än 96 000 unika nätfiskewebbadresser och 7 700 nätfiskekit, vilket ledde till identifiering och nedstängning av över 2 200 skadliga e-postkonton som användes för att samla in stulna autentiseringsuppgifter från kunder.²⁴

Den externa attackytan sträcker sig långt bortom en organisations egna tillgångar. Den omfattar ofta leverantörer, partner, ohanterade personliga medarbetarenheter som är anslutna till företagets nätverk eller tillgångar samt nyförvärvade organisationer. Följaktligen är det viktigt att man är medveten om sina externa anslutningar och exponering så att man lättare kan hantera potentiella hot. En Ponemon-rapport från 2020 visade att 53 % av organisationerna hade utsatts för minst en dataläcka som orsakats av en tredje part under de senaste två åren, vilket kostade i genomsnitt 7,5 miljoner USD att åtgärda.²⁵

I takt med att infrastrukturen bakom cyberattackerna växer har det blivit mer brådskande än någonsin att synliggöra hotinfrastrukturen och inventera Internetexponerade tillgångar. Vi har upptäckt att organisationer ofta har svårt att förstå omfattningen av sin externa exponering, vilket resulterar i betydande blinda fläckar. Dessa blinda fläckar kan få förödande konsekvenser. År 2021 upplevde 61 % av företagen en utpressningstrojanattack som ledde till åtminstone en partiell driftstörning i verksamheten.²⁶

På Microsoft uppmanar vi ofta kunderna att granska sin organisation utifrån och in när de utvärderar säkerhetsstatusen. Utöver VAPT (Vulnerability Assessment and Penetration Testing, utvärdering av säkerhetsrisker och penetrationstestning), är det viktigt att få djup insyn i din externa attackyta så att du kan identifiera säkerhetsrisker i hela din miljö och det utökade ekosystemet. Om du var en angripare som försökte ta dig in, vad skulle du kunna exploatera? För att kunna skydda din organisations externa attackyta behöver du känna till hela dess omfattning.

Så här kan Microsoft hjälpa till

Dagens hotlandskap förändras ständigt, och organisationer behöver en säkerhetsstrategi som kan hänga med i utvecklingen. Ökad organisatorisk komplexitet och exponering, tillsammans med ett stort antal hot och låga hinder för inträde på cyberbrottsmarknaden, gör det mer angeläget än någonsin att skydda alla sårbara områden inom och mellan varje attackyta.

Säkerhetsteam behöver kraftfull hotinformation för att försvara sig mot dagens stora mängd hot i ständig utveckling. Rätt hotinformation korrelerar signaler från olika platser, vilket ger relevant sammanhang för aktuellt attackbeteende och trender, så att säkerhetsteam framgångsrikt kan identifiera säkerhetsrisker, prioritera varningar och avbryta attacker. Och om ett intrång inträffar är hotinformation avgörande för att förhindra ytterligare skada och förbättra försvaret så att en liknande attack inte kan inträffa igen. Enkelt uttryckt kommer organisationer som utnyttjar mer hotinformation att vara säkrare och mer framgångsrika.

Microsoft har en unik överblick över det föränderliga hotlandskapet med analyser av 65 biljoner signaler dagligen. Genom att korrelera dessa signaler i realtid mellan attackytor ger hotinformationen som är inbyggd i Microsoft Security-lösningarna en inblick i den växande utpressningstrojan- och hotmiljön, så att du kan se och stoppa fler attacker. Med avancerade AI-funktioner, som Microsoft Security Copilot, kan du dessutom ligga steget före de nya hoten och försvara din organisation i maskinhastighet. Det ger ditt säkerhetsteam möjlighet att förenkla det komplexa, upptäcka det som andra missar och se till att allt skyddas.