IT-kriminalitet: Hyppigheden og omkostningerne ved social engineering-angreb skyder i vejret

Uddrag fra Verizon 2023 Data Breach Investigations Report: 

• Omkostningerne pr. ransomware-angreb er fordoblet i løbet af de seneste to år, og de udgør nu hver fjerde brud på IT-sikkerheden.

• Angreb vha. pretexting (Business Email Compromise) er mere end fordoblet i det forløbne år.
• Det menneskelige element er involveret i 3 ud af 4 angreb.
• Analyse af Log4j-sikkerhedshændelsen viser omfanget af den og effektiviteten ved en koordineret reaktion.

Dyk ned i den omfattende rapport (vedhæftet) og find mange flere resultater i analysen af IT-kriminaliteten – herunder bl.a., hvordan den rammer forskellige brancher.

Verizon Business offentliggør resultaterne fra sin årlige kortlægning af IT-sikkerheden – Data Breach Investigations Report (2023 DBIR) – som udkommer for 16. gang og i år er baseret på analyse af 16.312 konkrete sikkerhedshændelser og 5.199 brud på IT-sikkerheden. Blandt de opsigtsvækkende resultater er den voldsomme stigning i de omkostninger, der er forbundet med ransomware – den type angreb med ondsindet software (malware), som kan kryptere en organisations eller virksomheds data og derefter afpresse store summer mod at genoprette adgangen til disse data.

Medianprisen pr. ransomware-angreb er fordoblet i løbet af de seneste to år, hvor 95 procent af tilfældene førte til økonomiske tab på mellem 1 million og 2,25 millioner US-dollars. Stigningen i omkostninger falder sammen med en dramatisk stigning i frekvensen. Sidste år var antallet af ransomware-angreb større end de foregående fem år tilsammen. Ransomware-angreb udgør nu næsten en fjerdedel af alle brud på IT-sikkerheden (24 procent) og er stadig en af de mest anvendte angrebsmetoder.

Det menneskelige element indgår stadig i et overvældende flertal af brud på IT-sikkerheden – i 74 procent af alle tilfælde, selvom virksomheder gør en indsats for at beskytte deres kritiske infrastruktur og øge træningen i cyber-sikkerhedsprocedurer. En af de mest almindelige måder at udnytte den menneskelige natur på er social engineering, som refererer til at manipulere en organisations følsomme oplysninger gennem taktikker som phishing, hvor en hacker overbeviser brugeren til at klikke på et ondsindet link eller vedhæftet fil.

“Den øverste ledelse repræsenterer en voksende sikkerhedstrussel for mange organisationer,” siger Chris Novak, Managing Director of Cybersecurity Consulting hos Verizon Business. “Selv om de har adgang til en virksomheds mest følsomme oplysninger, er de ofte blandt de mindst beskyttede, da mange virksomheder undtager dem fra sikkerhedsprocedurerne. Med væksten af stadigt mere avancerede tilfælde af social engineering bør virksomhederne styrke beskyttelsen af deres senior-ledelse nu for at undgå dyre angreb på deres systemer.”

Ligesom ransomware er social engineering en lukrativ taktik for de cyber-kriminelle. Det skyldes ikke mindst en øget anvendelse af Business Email Compromise (BEC), hvor de kriminelle udgiver sig for at være virksomhedskolleger. Median-beløbet, der bliver stjålet som følge af BEC’er, er i løbet af de sidste par år steget til 50.000 US-dollars, baseret på data fra Internet Crime Complaint Center (IC3) – og det har givetvis bidraget til fordoblingen af pretexting i det forløbne år. Med væksten af BEC står virksomheder med mange ansatte, der arbejder hjemmefra, over for en voksende udfordring mht. at skabe og håndhæve den bedste sikkerhedspraksis, som tager hensyn til det menneskelige element.

“Globalt fortsætter de cyber-kriminelle deres ubarmhjertige bestræbelser på at erhverve følsomme forbruger- og virksomhedsdata. Indtægterne herfra udgør et svimlende beløb, hvad både virksomhedernes ledelse og bestyrelser er helt opmærksomme på,” sagde Craig Robinson, Research Vice President hos IDC. “Verizons Data Breach Investigations Report giver dyb indsigt i de emner, der er afgørende for cyber-sikkerhedsindustrien, og den er blevet en kilde til af finde fakta for erhvervslivet.”

Ud over stigningen i social engineering fremhæver 2023 DBIR også følgende:

• Selv om spionage får betydelig mediebevågenhed, ikke mindst på grund af den aktuelle geopolitiske situation, er kun 3 procent af de cyber-kriminelle motiveret af spionage. De øvrige 97 procent var motiveret af økonomisk gevinst.
• 32 % af den årlige Log4j-sårbarhedsscanning fandt sted i de første 30 dage efter dens udgivelse, hvilket viser, hvor hurtige de cyber-kriminelle er, når de går fra et proof of concept til udnyttelse i stor skala.
• Eksterne aktører udnyttede en række forskellige teknikker til at få adgang til en organisation, såsom at bruge stjålne legitimationsoplysninger (49 procent), phishing (12 procent) og udnyttelse af sårbarheder (5 procent).

En af måderne, hvorpå virksomheder kan hjælpe med at beskytte deres kritiske infrastruktur, er at vedtage og overholde brancheførende procedurer og praksis’er. Verizon blev for nylig deltager i Mutually Agreed Norms for Routing Security-projektet (MANRS): et globalt initiativ, der skal reducere de mest almindelige routingsårbarheder, som kan udnyttes af angribere. Deltagelsen i MANRS demonstrerer Verizons forpligtelse til at implementere industriens bedste sikkerhedsopdateringer og best praksis’er, som kan hjælpe med at afværge sikkerhedstrusler.