Teknikföretag har skapat de verktyg vi använder för att bygga och driva företag, bearbeta konsumenttransaktioner, kommunicera med varandra och organisera våra personliga och professionella liv. Tekniken har format den moderna världen som vi känner den – och vårt beroende av teknik fortsätter att växa.
Teknikindustrins betydelse har inte gått förlorad för cyberbrottslingar och nationalstatsgrupper, som riktar sig till teknikföretag av en mängd olika anledningar: för att uppfylla strategiska, militära och ekonomiska mål; för att komma åt känslig företagsinformation som de kan hålla för lösen eller sälja på Dark Web; att kompromissa försörjningskedjor; och mycket mer.
Teknikföretag är inte främmande för cyberbrottslighet – de har länge varit mål för fiendens aktivitet – men under det senaste året har dessa attacker snabbt ökat. Teknik var den mest riktade vertikalen för cyberintrång mellan juli 2021 och juni 2022, enligt CrowdStrike-hotdata. Detta gjorde teknik till den mest populära sektorn för hotaktörer under ett år då CrowdStrike-hotjägare registrerade mer än 77,000 XNUMX potentiella intrång, eller ungefär ett potentiellt intrång var sjunde minut.
Om detta låter bekant beror det förmodligen på att du har sett den här hotaktiviteten i nyheterna — dataöverträdelser som påverkar teknikindustrin har dominerat rubrikerna under 2022. Teknikföretag av alla storlekar bör vara oroliga över potentialen för motståndsverksamhet, eftersom de ofta försöker stjäla data. Låt oss ta en närmare titt på de hot som tekniska företag bör vara mest oroliga för, hur dessa motståndstaktiker ser ut och hur man stoppar dem.
Hur dagens motståndare riktar sig mot teknikföretag
Företag, små till medelstora företag (SMB) och nystartade företag måste vara medvetna om de hot de möter och hur man försvarar sig mot dem.
Motståndare flyttar allt mer bort från skadlig programvara i ett försök att undvika upptäckt: CrowdStrike-hotdata visar att aktivitet utan skadlig programvara stod för 71 % av alla upptäckter mellan juli 2021 och juni 2022. Denna förändring är delvis relaterad till angripare i allt större utsträckning missbruka giltiga meriter att få åtkomst och upprätthålla persistens (dvs. etablera långsiktig åtkomst till system trots störningar som omstarter eller ändrade referenser) i IT-miljöer. Det finns dock en annan faktor: hastigheten med vilken nya sårbarheter avslöjas och den hastighet med vilken motståndare kan operationalisera utnyttjandet.
Antalet nolldagar och nyligen avslöjade sårbarheter fortsätter att öka från år till år. CrowdStrike-hotdata visar mer än 20,000 2021 nya sårbarheter som rapporterades 10,000 – fler än något tidigare år – och mer än 2022 XNUMX rapporterades i början av juni XNUMX. Detta är en tydlig indikation på att denna trend inte avtar.
En närmare titt på taktik, tekniker och procedurer (TTP) som används under intrång avslöjar vanliga mönster i motståndaraktivitet. När en sårbarhet lyckas utnyttjas följs den rutinmässigt av distribution av webbskal (dvs. skadliga skript som gör det möjligt för motståndare att äventyra webbservrar och starta ytterligare attacker).
Vad kan tekniska företag göra för att stoppa intrång?
Teknikbranschen utmanas att upprätthålla ett starkt försvar mot ett ständigt föränderligt hotlandskap. Dagens angripare ändrar sina TTP:er för att vara mer subtila, för att undvika upptäckt och för att orsaka mer skada. Det är upp till försvarare att skydda arbetsbelastningar, identiteter och data som deras verksamhet är beroende av.
Det finns ingen enhetlig modell för hur cyberbrottslingar utför sina attacker, och det finns inte heller en enda silverkula för teknikföretag att försvara sig mot varje intrång. Men en närmare titt på intrångsaktivitet avslöjar kritiska fokusområden för IT- och säkerhetsteam. Nedan följer viktiga rekommendationer:
- Gå tillbaka till grunderna: Det är ytterst viktigt att teknikföretag har grunderna för säkerhetshygien på plats. Detta inkluderar att implementera ett starkt program för patchhantering och säkerställa robust kontroll av användarkonton och privilegierad åtkomsthantering för att mildra effekterna av komprometterade autentiseringsuppgifter.
- Granska rutinmässigt fjärråtkomsttjänster: Motståndare kommer att utnyttja alla befintliga fjärråtkomstverktyg till deras förfogande eller försöka installera legitim fjärråtkomstprogramvara i hopp om att den undviker all automatiserad upptäckt. Regelbundna revisioner bör kontrollera om verktyget är auktoriserat och om aktiviteten faller inom en förväntad tidsram, till exempel inom kontorstid. Anslutningar som görs från samma användarkonto till flera värdar inom en kort tidsram kan vara ett tecken på att en motståndare har äventyrat sina autentiseringsuppgifter.
- Jaga proaktivt efter hot: När en motståndare väl bryter mot ett teknikföretags försvar kan det vara svårt att upptäcka dem när de i tysthet samlar in data, letar efter känslig information eller stjäl referenser. Det är här hotjakten kommer in. Genom att proaktivt leta efter motståndare i sin miljö kan teknikföretag upptäcka attacker tidigare och stärka sin säkerhetsställning.
- Prioritera identitetsskydd: Motståndare inriktar sig allt mer på referenser för att bryta mot teknikföretag. Alla användare, oavsett om de är anställd, tredjepartsleverantör eller kund, kan omedvetet äventyras och tillhandahålla en attackväg för motståndare. Teknikföretag måste autentisera varje identitet och godkänna varje begäran för att förhindra cyberattacker, som en supply chain attack, ransomware attack eller dataintrång.
- Glöm inte hotförebyggande: För teknikföretag kan verktyg för att förebygga hot blockera cyberhot innan de tränger in i en miljö eller innan de gör skada. Upptäckt och förebyggande går hand i hand. För att förhindra cyberhot måste de upptäckas i realtid. Ju större IT-miljö, desto större behov av verktyg som kan hjälpa till med att upptäcka och förebygga hot.
Utvecklingen av cyberbrottslighet och nationalstatlig verksamhet visar inga tecken på att avta. Teknikföretag måste stärka sitt försvar och förstå en motståndares tekniker för att skydda deras arbetsbelastningar, identiteter och data och hålla deras organisationer igång.
