Hackere udnytter, at mange virksomheder er flere år om at lukke kritiske sikkerhedshuller i deres IT-systemer.
Således viser nye tal, at 22 pct. af de hackerprogrammer, cyberkriminelle brugte i 2021, var rettet imod sikkerhedshuller, som er mere end 3 år gamle.
“Tallene vidner om, at mange virksomheder skal back to basics, når det gælder sikkerhed,” siger landechef Christian K. Beck fra cybersikkerhedsselskabet Trend Micro, der står bag de nye tal.
Trend Micro har analyseret de mere end 94 mia. cybersikkerhedstrusler, virksomheden registrerede i løbet af 2021, og har udpeget de mest bemærkelsesværdige tendenser fra året, der er gået.
Sikkerhedshuller fra 2005 bliver stadig misbrugt
Selvom 2021 blev et rekordår, når man ser på antallet af nye cybersikkerhedstrusler, er det iøjnefaldende, at rigtigt mange gamle sikkerhedshuller står åbne år efter år.
Trend Micros analyse af den cyberkriminelle undergrundsbørs afslører nemlig, at 22 pct. af de exploits (ondsindede programmer, som er rettet imod et specifikt sikkerhedshul), der blev handlet mellem hackerne i 2021, var mere end 3 år gamle. Trend Micro har endda registreret handel med exploits til sikkerhuller, som blev opdaget helt tilbage i 2005, og som nemt kan lukkes.
“Selvom der hele tiden kommer nye trusler til, er det essentielt at få lukket gamle sikkerhedshuller. Jo længere tid de er åbne, desto flere exploits og cyberkriminelle vil der være til at angribe hullerne. Sikkerhed er et spørgsmål om at komme back to basics for mange virksomheder i dag,” siger Christian K. Beck.
En del af problemstillingen er, at det tager lang tid at udvikle de patches, virksomhederne skal bruge til at lukke hullerne i deres IT-systemer med.
“Når et sikkerhedshul bliver opdaget, går der i gennemsnit 200 dage, før der er udviklet en patch, som kan lukke hullet. Hvis der er tale om et alvorligt sikkerhedshul, går der i snit 256 dage, før patchen er klar. Der er med andre ord et vindue på minimum et halvt år, hvor hackerne har frit spil, og altså endnu længere tid, hvis virksomhederne derefter er længe om at bruge patchen. I en ideel verden bliver hullerne lukket hurtigt, men realiteterne er, at IT-afdelingerne i mange virksomheder er pressede på ressourcer og ikke får opdateret og patchet alt til perfektion,” forklarer Christian K. Beck.
Hjemmearbejdende sløser med sikkerheden
En anden markant tendens fra 2021 er, at hackerne i højere grad end tidligere forsøger at udnytte menneskelige fejltrin til at bryde ind i virksomhedernes IT-systemer.
Undersøgelser har vist, at medarbejdere er mere tilbøjelige til at løbe en sikkerhedsmæssig risiko, når de arbejder hjemme, end når de sidder på et kontor. Det betyder eksempelvis, at der er større risiko for, at folk, der arbejder hjemme, klikker på et link i en phishingmail.
Den tendens har hackerne forsøgt at udnytte i 2021, hvor rekordmange har arbejdet hjemme pga. pandemien. Således har Trend Micro blokeret 25,7 mio. e-mailtrusler i 2021 mod 16,7 mio. i 2020 og registreret en fordobling af antallet af phishing-e-mails i samme periode.
Usikkerhed cloud i mange virksomheder
Også menneskelige fejl i clouden har fået hackernes opmærksomhed i 2021.
Her har Trend Micro i 2021 registreret et meget stort antal fejl, når virksomheder tager cloudtjenester i brug. Fejlene sker, når virksomhederne skal konfigurere/indstille cloudtjenesterne, og betyder, at hackere kan udnytte fejlkonfigurationerne til at bryde ind i cloudsystemerne.
Således har Trend Micro analyseret data fra verdens tre største udbydere af cloudtjenester – Amazon Web Services, Microsoft Azure og Google Cloud Platform.
Her viser tallene bl.a., at 29 pct. af alle Amazon Elastic Block Store-tjenester (en storagetjeneste) er indstillet forkert.
Ser man på brugen af virtuelle servere hos Microsoft Azure, er 65 pct. indstillet forkert.
Sidst har Trend Micro registreret hele 98 pct. fejlkonfigurationer i alle Cloud Identity and Access Management (Cloud IAM)-systemer, som er den del af en cloudtjeneste, som styrer, hvem der har adgang til tjenesten, og hvad de kan gøre dataene, der ligger i clouden.
“Virksomheder har taget cloudtjenester til sig i højt tempo i 2021, men som tallene viser, er der tit ikke styr på konfigurationen, og det kan koste dyrt i form af datalækage og sikkerhedshuller, som kan få store, negative økonomiske konsekvenser,” siger Christian K. Beck.
Mere avanceret direktørsvindel
Antallet af business email compromise-tilfælde (BEC), også kaldet direktørsvindel, faldt med 11 pct. i 2021 sammenlignet med 2020. Til gengæld har Trend Micro registreret en tendens til, at BEC-mails er blevet mere avancerede det seneste år.
Det betyder, at det er blevet vanskeligere at afgøre, om eksempelvis en e-mail til bogholderiet fra virksomhedens finansdirektør om at udbetale et beløb til en leverandør er ægte – eller om den er et forsøg på at svindle penge ud af virksomheden og i virkeligheden er afsendt af en kriminel.
Således var det i 47 pct. af tilfældene kun muligt at spotte direktørsvindel gennem en såkaldt writing style-analyse i 2021. Det er en analyse, hvor avancerede algoritmer sammenligner skrivestilen i en mail med den ægte afsenders skrivestil for at afgøre, om en mail er ægte eller ej. Til sammenligning var det kun nødvendigt at benytte writing style-analyse i 23 pct. af tilfældene i 2020.
“Tallene viser, at hackerne gør sig langt mere umage med at få svindelmails til at ligne den ægte vare. I mange tilfælde er det ikke længere nok at se på teksten eller afsenderadressen for at kunne afgøre, om mailen er ægte,” siger Christian K. Beck.