Ny rapport: Dette er sikkerhetstruslene vi står overfor
DEBATT: Nylig lanserte vi i Sopra Steria vår trusselrapport for 2022. Rapporten gir et helhetlig innblikk i hva slags trusselbilde store norske virksomheter står ovenfor, skriver Per Kroghrud.
Den russiske invasjonen av Ukraina har endret det europeiske sikkerhetslandskapet og ført til at sikkerhet står høyt på agendaen til norske virksomheter. Som en av Norges største sikkerhetsleverandører ønsker vi å dele et utdrag av våre observasjoner og sikkerhetshendelser på tvers av kundene våre. Derfor har vi nå lansert en rapport med funnene.
Her finner du de fire viktigste høydepunktene fra rapporten, samt vår konklusjon og anbefaling:
1. Phishing
Vi fortsetter å se store mengder phishing-e-post forsøkt levert til våre kunder. Vi ser blant annet at avsenderne foretrekker å benytte dagsaktuelle hendelser for å lure mottakeren til å trykke på den ondsinnede lenken.
Det er tre typer kampanjer som har vært hyppig observert ila 2022:
– Vi har i økende grad sett bruk av LinkedIn for å skjule phishing-angrep. Trusselaktøren benytter falske LinkedIn-profiler for å opprette kontakt, holde dialogen gående og sende ondsinnede lenker forkledd som jobbtilbud, gjerne til sider maskert som SharePoint.
Den russiske invasjonen av Ukraina har endret det europeiske sikkerhetslandskapet og ført til at sikkerhet står høyt på agendaen til norske virksomheter.
– Det har også vært en betydelig økning av kampanjer som benytter Ukraina som tema, gjerne utgitt som hjelpeorganisasjoner. Typiske «røde flagg» er at betaling skal skje i kryptovaluta.
– Invoice-phishing pågår fortsatt i stort omfang og vi har hatt flere observasjoner hos våre kunder hvor trusselaktørene forsøker å lure økonomiavdelinger gjennom å forkle seg som etablerte underleverandører.
En av de store endringene i året som har gått, kom i februar da Microsoft annonserte at de vil blokkere makroer som standard for å unngå at skadevare blir levert gjennom e-post-vedlegg. Vi observerte umiddelbart en endring i hva slags filtyper det var på e-post-vedleggene som trusselaktørene forsøkte å skjule skadevaren sin i. Nå er det ISO/LNK som gjelder.
2. Business E-mail Compromise
Business E-mail Compromise (BEC) er en type svindel hvor angriperen forsøker å svindle virksomheten den går etter. Microsoft rapporterer at BEC er den type kriminalitet som fører til mest tap på tvers av sektorer globalt. Sopra Steria observerte blant annet en hendelse i november 2022 hvor en trusselaktør fikk tak i en pågående e-post-korrespondanse mellom en av våre kunder og en underleverandør. Dette førte til en uregelmessig overføring fra underleverandør til trusselaktøren.
3. Skadevare
Skadevare inngår i over halvparten av hendelsene Sopra Steria håndterer. Når det rapporteres i åpne kilder om større ondsinnede kampanjer så ser vi også at det treffer kundene våre. Vi har håndtert flere hendelser knyttet til skadevarer som RASPBERRY ROBIN og EMOTET i løpet av året som har gått. Førstnevnte knyttes også til en økning i skadevarehendelser som har blitt forårsaket av infiserte USB-minnepinner.
Vi har også observert en betydelig økning i antall «Stealers», en skadevare som henter ut lagrede brukernavn og passord i nettleseren. Vi ser spesielt at dette er et problem hvor brukere synkroniserer nettleseren på jobben med nettleseren på sin private pc, som fører til at identiteten til viktige virksomhetsressurser havner for salg på det mørke nettet.
4. Sårbarheter
2022 var et år med flere alvorlige sårbarheter som må håndteres så raskt som mulig. Vi ser at tiden fra en sårbarhet blir kjent til det foreligger en måte å utnytte den på, blir stadig kortere. Fjoråret startet med etterarbeid av Log4Shell (CVE-2021-44228), og ila året håndterte vi alvorlige sårbarheter knyttet til Microsoft Exchange servere, Google Chrome og enkelte nettverksteknologier.
Konklusjon og anbefalinger
Vi ser at rapporterte trender i trussel-landskapet også reflekterer de hendelsene som sikkerhetssenteret til Sopra Steria har håndtert i løpet av 2022. Phishing er en pågående vedvarende trussel hvor det både blir forsøkt levert skadevare og forsøk på å stjele brukernavn og passord.
I tillegg ser vi at de kundene som jobber svært aktivt med å redusere sin angrepsflate, som gode rutiner for sårbarhetshåndtering og automatisert scanning av interneteksponerte tjenester, opplever færre sikkerhetshendelser.
Kunder som har jobbet svært aktivt med security awareness, og som har implementert brukervennlige løsninger for å rapportere ondsinnet e-post, har betydelig høyere rapportering- og deteksjonsrate på phishingkampanjer.
Avslutningsvis er det viktig å presisere at vi er store tilhengere av NSMs grunnprinsipper for ikt-sikkerhet og oppfordrer alle virksomheter til å følge disse rådene. Da har du tatt første steget mot en sikrere hverdag.