Teknologiselskaper har laget verktøyene vi bruker til å bygge og drive virksomheter, behandle forbrukertransaksjoner, kommunisere med hverandre og organisere våre personlige og profesjonelle liv. Teknologi har formet den moderne verden slik vi kjenner den – og vår avhengighet av teknologi fortsetter å vokse.
Teknologiindustriens betydning har ikke gått tapt for nettkriminelle og nasjonalstatsgrupper, som retter seg mot teknologiselskaper av en rekke årsaker: for å oppfylle strategiske, militære og økonomiske mål; for å få tilgang til sensitive bedriftsdata de kan holde for løsepenger eller selge på Dark Web; å kompromittere forsyningskjeder; og mye mer.
Teknologiselskaper er ikke fremmede for nettkriminalitet – de har lenge vært mål for motstandsaktivitet – men det siste året har disse angrepene økt raskt. Teknologi var den mest målrettede vertikalen for cyberinntrenging mellom juli 2021 og juni 2022, ifølge CrowdStrike trusseldata. Dette gjorde teknologi til den mest populære sektoren for trusselaktører i løpet av et år da CrowdStrike-trusseljegere registrerte mer enn 77,000 XNUMX potensielle inntrengninger, eller omtrent ett potensielt inntrenging hvert syvende minutt.
Hvis dette høres kjent ut, er det sannsynligvis fordi du har sett denne trusselaktiviteten i nyhetene — datainnbrudd som påvirker teknologiindustrien har dominert overskrifter i 2022. Teknologiselskaper i alle størrelser bør være bekymret for potensialet for motstandsaktivitet, fordi de ofte prøver å stjele data. La oss se nærmere på truslene som teknologiselskaper bør være mest bekymret for, hvordan disse motstandernes taktikk ser ut, og hvordan de kan stoppe dem.
Hvordan dagens motstandere retter seg mot teknologiselskaper
Bedrifter, små til mellomstore bedrifter (SMB) og startups må være klar over truslene de står overfor og hvordan de kan forsvare seg mot dem.
Motstandere beveger seg i økende grad bort fra skadelig programvare i et forsøk på å unngå oppdagelse: CrowdStrike-trusselsdata viser at aktivitet uten skadelig programvare utgjorde 71 % av alle oppdagelser mellom juli 2021 og juni 2022. Denne endringen er delvis relatert til angripere i økende grad misbruker gyldig legitimasjon for å få tilgang og opprettholde utholdenhet (dvs. etablere langsiktig tilgang til systemer til tross for forstyrrelser som omstart eller endret legitimasjon) i IT-miljøer. Det er imidlertid en annen faktor: hvor raskt nye sårbarheter blir avslørt og hastigheten som motstandere kan operasjonalisere utnyttelser med.
Antallet nulldagers og nylig avslørte sårbarheter fortsetter å stige år over år. CrowdStrike-trusseldata viser mer enn 20,000 2021 nye sårbarheter rapportert i 10,000 – mer enn noe tidligere år – og mer enn 2022 XNUMX ble rapportert ved starten av juni XNUMX. Dette er en klar indikasjon på at denne trenden ikke bremser ned.
En nærmere titt på taktikk, teknikker og prosedyrer (TTP) brukt under inntrenging avslører vanlige mønstre i motstanders aktivitet. Når en sårbarhet er vellykket utnyttet, følges den rutinemessig av distribusjon av web-skall (dvs. ondsinnede skript som gjør det mulig for motstandere å kompromittere webservere og starte flere angrep).
Hva kan teknologiselskaper gjøre for å stoppe brudd?
Teknologiindustrien utfordres til å opprettholde et sterkt forsvar mot et trussellandskap i stadig utvikling. Dagens angripere endrer sine TTP-er for å være mer subtile, for å unngå oppdagelse og for å forårsake mer skade. Det er opp til forsvarere å beskytte arbeidsbelastningen, identitetene og dataene deres virksomhet er avhengig av.
Det finnes ingen enhetlig modell for hvordan nettkriminelle utfører angrepene sine, og det er heller ikke en eneste sølvkule for teknologiselskaper å forsvare seg mot enhver inntrenging. En nærmere titt på inntrengningsaktivitet avslører imidlertid kritiske fokusområder for IT- og sikkerhetsteam. Nedenfor er viktige anbefalinger:
- Gå tilbake til det grunnleggende: Det er avgjørende at teknologiselskaper har det grunnleggende om sikkerhetshygiene på plass. Dette inkluderer distribusjon av et sterkt program for oppdateringsadministrasjon, og sikring av robust brukerkontokontroll og privilegert tilgangsadministrasjon for å dempe effektene av kompromittert legitimasjon.
- Rutinemessig revider fjerntilgangstjenester: Motstandere vil utnytte alle eksisterende fjerntilgangsverktøy som de har til rådighet eller forsøke å installere legitim fjerntilgangsprogramvare i håp om at den unngår enhver automatisert oppdagelse. Regelmessige revisjoner bør sjekke om verktøyet er autorisert og om aktiviteten faller innenfor en forventet tidsramme, for eksempel innen arbeidstiden. Tilkoblinger fra samme brukerkonto til flere verter i løpet av en kort tidsramme kan være et tegn på at en motstander har kompromittert legitimasjon.
- Jakt proaktivt etter trusler: Når en motstander bryter et teknologiselskaps forsvar, kan det være vanskelig å oppdage dem mens de i det stille samler inn data, ser etter sensitiv informasjon eller stjeler legitimasjon. Det er her trusseljakt kommer inn. Ved proaktivt å lete etter motstandere i miljøet deres, kan teknologiselskaper oppdage angrep tidligere og styrke deres sikkerhetsstilling.
- Prioriter identitetsbeskyttelse: Motstandere retter seg i økende grad mot legitimasjon for å bryte teknologiselskaper. Enhver bruker, enten de er ansatt, tredjepartsleverandør eller kunde, kan ubevisst bli kompromittert og gi en angrepsvei for motstandere. Teknologiselskaper må autentisere hver identitet og autorisere hver forespørsel for å forhindre cyberangrep, som et forsyningskjedeangrep, løsepengevareangrep eller datainnbrudd.
- Ikke glem trusselforebygging: For teknologiselskaper kan trusselforebyggende verktøy blokkere cybertrusler før de trenger inn i et miljø eller før de gjør skade. Deteksjon og forebygging går hånd i hånd. For å forhindre cybertrusler må de oppdages i sanntid. Jo større IT-miljøet er, desto større behov for verktøy som kan hjelpe med trusseldeteksjon og forebygging.
Utviklingen av nettkriminalitet og nasjonalstatsaktivitet viser ingen tegn til å avta. Teknologiselskaper må styrke sitt forsvar og forstå en motstanders teknikker for å beskytte arbeidsbelastningen, identiteten og dataene deres, og holde organisasjonene i gang.
