Dybdegående it-sikkerhedsrapport fra Europas største it-sikkerhedsfirma

Dybdegående it-sikkerhedsrapport fra Europas største it-sikkerhedsfirma skyder en hvid pind efter øget angrebsvolumen under coronapandemien, men sender en kraftig advarsel til de mange virksomheder, der lapper kendte sikkerhedshuller alt for sent

Dybdegående it-sikkerhedsrapport fra Europas største it-sikkerhedsfirma 150 milliarder it-sikkerhedshændelser, der er indsamlet og bearbejdet af Orange Cyberdefense, offentliggøres nu i årets nok mest dybdegående rapport om, hvad der faktisk ramte virksomheder og organisationer i 2020. Rapporten Security Navigator 2021 giver et unikt indblik i det cybersikkerhedsøkosystem, der har hersket under coronapandemien.

Orange Cyberdefences analyse viser bl.a. at:

  • Corona har ikke ført til en stigning i det samlede antal angreb, men de har ændret sig
  • Majoriteten af virksomheder er alt for langsomme til at lukke kendte sårbarheder
  • Angreb mod små virksomheder er steget i antal, mens angreb mod både mellemstore og store virksomheder er drastisk reduceret

Corona har ikke udløst en forøget angrebsbølge, men angrebene har skiftet karakter

Coronakrisen har ikke ført til, at det samlede antal af it-angreb er blevet større end det var før pandemien. Det ligger på samme høje niveau, som før krisen ramte os. Der har heller ikke været nogen bemærkelsesværdig stigning i antallet af sikkerhedsalarmer.

Mens antallet af corona-relaterede ransomware angreb er steget med en faktor syv i Q3 i forhold til Q1, hvor corona-pandemien først ramte os, så har det altså ikke kunnet aflæses i en stigning i det samlede antal angreb. Selvom de it-kriminelle tidligt forsøgte at udnytte coronakrisen, så opgav de relativt hurtigt, og vendte tilbage til de mere klassiske it-angreb. Fx udgjorde corona-relaterede angreb kun 2 procent af alle angreb i april måned. Disse angreb var overfladiske og blev kun let modificerede i løbet af krisen.

Til gengæld har coronakrisen haft stor indflydelse på hvem, der var mål for angrebene. Før krisen rettedes de it-kriminelles angrebsiver sig primært mod virksomheder, men den store hjemsendelse af medarbejdere gjorde, at de it-kriminelle skiftede taktik. Der har således været en stigning i angreb rettet mod hjemsendte medarbejdere, hvor social engineering udgjorde 5 procent af alle angreb i 2020 mod kun 1 procent i 2019.

De hyppigste hændelser har været netværks- og applikationsafvigelser (35%), uregelmæssighed på brugerkonti (23%) og malware (20%) (s. 9-26).

Kaskader af sårbarheder, men sløvhed med at få dem udbedret

Usædvanligt mange sikkerhedsprodukter er taget i brug i 2020, specielt dem, der er essentielle for fjernarbejde (altså endpoint-sikkerhed). De mange sikkerhedsprodukter har afdækket mange sårbarheder, som hvis løst, forbedrer sikkerheden. Desværre viser en analyse af 168 kendte sårbarheder i it-sikkerhedsprodukter, at under 19 procent af dem var udbedret indenfor en uge. Over halvdelen (56,8%) blev først udbedret mellem 31 til 180 dage efter virksomheden var blevet gjort opmærksom på sårbarheden. Mere end hver tiende (14%) var stadig ikke udbedret efter 6 måneder (s. 36). Denne sløvhed er et slaraffenland for it-kriminelle, der gladeligt udnytter de sårbarheder, de afdækker. Orange Cyberdefense opfordrer kraftigt til, at virksomheder patcher, så snart de bliver gjort opmærksomme på en sårbarhed.

Størrelsen på virksomheden har betydning.

I snit var små virksomheder hver især udsat for 101 bekræftede it-sikkerhedshændelser i 2020 mod 63 i 2019. Mellemstore virksomheder har i snit ’kun’ været ramt 77 gange mod 266 i 2019, og store virksomheder 278 gange i 2020 mod 463 i 2019. Flere sikkerheds-hændelser er ikke nødvendigvis et spørgsmål om lav it-sikkerhed. Små virksomheder fx har investeret i flere detektionsteknologier, hvorfor deres alarmvolumen også vokser (s. 21).

Et mere modent cyberøkosystem

Modenhed har ramt alle, også de it-kriminelle. 2020 har stået i organiseringens år, hvor de for alvor har grupperet sig med hver deres speciale og samarbejder også i netværk. I det hele taget organiserer de sig, som en virksomhed ville, og udbyder bl.a. malware-som-en-service med tilhørende, professionel kundeservice (s. 57-65). Professionaliseringen går endda så langt, at deres kundeservice venligt ringer virksomheder op for at gøre dem opmærksomme på at de er blevet udsat for ransomware (amerikanske tandlæger er blandt eksemplerne).

Hvad med 2021?

5G blev lanceret i mange lande og det vil medføre nye services og teknologier. Sikkerheds-løsninger til IoT vil stige, og IT og OT kommer endelig til at dele en fælles vision. Cloud-appetitten er stadig stor, og nye former for konnektivitet, såsom SD-WAN, vil fortsat blive prioriteret, hvilket også vil føre til nye risici. De it-kriminelles økosystem bliver endnu mere struktureret og professionelt, og alle forventer at antallet af angreb vil stige. Og mens coronapandemien en dag er ovre, så vil vi komme til at se en stigende efterspørgsel efter it-sikkerhed til cloud, netværk og videokonferencer. Fjern- og hjemmearbejde er kommet for at blive.