Teknologivirksomheder har skabt de værktøjer, vi bruger til at bygge og drive virksomheder, behandle forbrugertransaktioner, kommunikere med hinanden og organisere vores personlige og professionelle liv. Teknologi har formet den moderne verden, som vi kender den - og vores afhængighed af teknologi fortsætter med at vokse.
Teknologiindustriens betydning er ikke gået tabt for cyberkriminelle og nationalstatsgrupper, som retter sig mod teknologivirksomheder af en række forskellige årsager: for at opfylde strategiske, militære og økonomiske mål; for at få adgang til følsomme virksomhedsdata, de kan opbevare mod løsepenge eller sælge på Dark Web; at kompromittere forsyningskæder; og meget mere.
Teknologivirksomheder er ikke fremmede for cyberkriminalitet - de har længe været mål for modstandernes aktivitet - men i det seneste år er disse angreb hurtigt steget. Teknologi var den mest målrettede vertikal for cyberindtrængen mellem juli 2021 og juni 2022, ifølge CrowdStrike-trusselsdata. Dette gjorde tech til den mest populære sektor for trusselsaktører i løbet af et år, hvor CrowdStrike-trusselsjægere registrerede mere end 77,000 potentielle indtrængen, eller cirka én potentiel indtrængen hvert syvende minut.
Hvis dette lyder bekendt, er det sandsynligvis fordi du har set denne trusselaktivitet i nyhederne - overtrædelse af data som påvirker teknologiindustrien, har domineret overskrifter i 2022. Teknikvirksomheder af alle størrelser bør være bekymrede over potentialet for modstandsaktivitet, fordi de ofte forsøger at stjæle data. Lad os se nærmere på de trusler, som teknologivirksomheder bør være mest bekymrede over, hvordan disse modstanders taktikker ser ud, og hvordan man stopper dem.
Hvordan dagens modstandere målretter mod teknologivirksomheder
Både virksomheder, små og mellemstore virksomheder (SMB'er) og startups skal være opmærksomme på de trusler, de står over for, og hvordan de kan forsvare sig mod dem.
Modstandere bevæger sig i stigende grad væk fra malware i et forsøg på at undgå opdagelse: CrowdStrike-trusselsdata viser, at malware-fri aktivitet tegnede sig for 71 % af alle registreringer mellem juli 2021 og juni 2022. Dette skift er delvist relateret til angribere i stigende grad misbruger gyldige legitimationsoplysninger at få adgang og vedligeholde persistens (dvs. etablere langsigtet adgang til systemer på trods af forstyrrelser såsom genstarter eller ændrede legitimationsoplysninger) i it-miljøer. Der er dog en anden faktor: den hastighed, hvormed nye sårbarheder afsløres, og den hastighed, hvormed modstandere kan operationalisere udnyttelser.
Antallet af nul-dage og nyligt afslørede sårbarheder fortsætter med at stige år over år. CrowdStrike-trusselsdata viser mere end 20,000 nye sårbarheder rapporteret i 2021 - mere end noget tidligere år - og mere end 10,000 blev rapporteret i starten af juni 2022. Dette er en klar indikation af, at denne tendens ikke er ved at bremse.
Et nærmere kig på taktikker, teknikker og procedurer (TTP'er), der bruges under indtrængen, afslører almindelige mønstre i modstandernes aktivitet. Når en sårbarhed udnyttes med succes, efterfølges den rutinemæssigt af implementering af web-shells (dvs. ondsindede scripts, der gør det muligt for modstandere at kompromittere webservere og iværksætte yderligere angreb).
Hvad kan teknologivirksomheder gøre for at stoppe brud?
Teknologiindustrien er udfordret til at opretholde et stærkt forsvar mod et trusselslandskab i konstant udvikling. Dagens angribere ændrer deres TTP'er til at være mere subtile, for at undgå opdagelse og for at forårsage mere skade. Det er op til forsvarere at beskytte de arbejdsbelastninger, identiteter og data, som deres virksomhed er afhængig af.
Der er ingen ensartet model for, hvordan cyberkriminelle udfører deres angreb, og der er heller ikke en eneste sølvkugle for teknologivirksomheder til at forsvare sig mod enhver indtrængen. Et nærmere kig på indbrudsaktivitet afslører dog kritiske fokusområder for it- og sikkerhedsteams. Nedenfor er de vigtigste anbefalinger:
- Kom tilbage til det grundlæggende: Det er altafgørende, at teknologivirksomheder har det grundlæggende i sikkerhedshygiejne på plads. Dette inkluderer implementering af et stærkt program til håndtering af programrettelser og sikring af robust brugerkontokontrol og privilegeret adgangsstyring for at afbøde virkningerne af kompromitterede legitimationsoplysninger.
- Revidér rutinemæssigt fjernadgangstjenester: Modstandere vil udnytte ethvert eksisterende fjernadgangsværktøj til deres rådighed eller forsøge at installere legitim fjernadgangssoftware i håb om, at det undgår enhver automatiseret registrering. Regelmæssige revisioner bør kontrollere, om værktøjet er godkendt, og om aktiviteten falder inden for en forventet tidsramme, f.eks. inden for åbningstiden. Forbindelser fra den samme brugerkonto til flere værter inden for en kort tidsramme kan være et tegn på, at en modstander har kompromitteret legitimationsoplysninger.
- Gå proaktivt på jagt efter trusler: Når først en modstander bryder en teknologivirksomheds forsvar, kan det være svært at opdage dem, da de stille og roligt indsamler data, leder efter følsomme oplysninger eller stjæler legitimationsoplysninger. Det er her trusselsjagt kommer ind i billedet. Ved proaktivt at lede efter modstandere i deres miljø kan teknologivirksomheder opdage angreb tidligere og styrke deres sikkerhedsposition.
- Prioriter identitetsbeskyttelse: Modstandere retter sig i stigende grad efter legitimationsoplysninger for at bryde teknologivirksomheder. Enhver bruger, uanset om de er en medarbejder, tredjepartsleverandør eller kunde, kan ubevidst blive kompromitteret og give modstandere en angrebssti. Teknikvirksomheder skal autentificere enhver identitet og godkende hver anmodning for at forhindre cyberangreb, såsom et forsyningskædeangreb, ransomware-angreb eller databrud.
- Glem ikke trusselsforebyggelse: For teknologivirksomheder kan trusselsforebyggelsesværktøjer blokere cybertrusler, før de trænger ind i et miljø, eller før de gør skade. Detektion og forebyggelse går hånd i hånd. For at forhindre cybertrusler skal de opdages i realtid. Jo større it-miljøet er, jo større er behovet for værktøjer, der kan hjælpe med trusselsdetektion og forebyggelse.
Udviklingen af cyberkriminalitet og nationalstatsaktivitet viser ingen tegn på at bremse tempoet. Teknikvirksomheder skal styrke deres forsvar og forstå en modstanders teknikker for at beskytte deres arbejdsbelastninger, identiteter og data og holde deres organisationer kørende.
