По данным телекоммуникационной компании Verizon, которая на этой неделе выпустила тревожный сигнал в Европе, на Ближнем Востоке и в Африке (EMEA), организации должны активизировать свою деятельность, когда дело доходит до устранения человеческого фактора, приводящего к утечкам данных и инцидентам в области кибербезопасности. форма 17й ежегодное издание знакового глобального отчета о расследованиях утечек данных (DBIR)
При составлении отчета DBIR, который можно скачать для ознакомления здесь, Verizon проанализировала 8302 инцидента безопасности в регионе, из которых 72% были подтвержденными нарушениями, и обнаружила, что чуть менее половины – 49% – из них возникли внутри компании, что указывает на высокая степень человеческих ошибок и других ошибок, таких как злоупотребление привилегиями, вызванных недостатком осведомленности или подготовки.
Действительно, в подтвержденных инцидентах кибербезопасности Verizon обнаружил, что за 87% нарушений стоят три фактора: различные ошибки, вторжение в систему и социальная инженерия. Этот процент был примерно таким же, как и в прошлом году, при этом одной из «потенциальных противодействующих сил», по мнению Verizon, является очевидное улучшение практики отчетности: теперь все больше людей, похоже, могут обнаружить фишинговые электронные письма, и все больше людей сообщают о них.
Во всем мире в общей сложности 68% нарушений (с участием третьих лиц или без них) были связаны с незлонамеренными действиями человека, то есть кто-то допустил ошибку или стал жертвой атаки социальной инженерии.
«Сохранение человеческого фактора во взломах показывает, что организации в регионе EMEA должны продолжать бороться с этой тенденцией, уделяя приоритетное внимание обучению и повышению осведомленности о передовых методах кибербезопасности», — сказал вице-президент Verizon Business в регионе EMEA Санджив Госсейн.
«Однако увеличение количества самоотчетов является многообещающим и указывает на культурный сдвиг в важности осведомленности о кибербезопасности среди общей рабочей силы».
«Нулевой день» — постоянная угроза
Несмотря на это, распространенность антропогенных нарушений данных не должна маскировать другие критические угрозы. В глобальном масштабе использование уязвимостей в качестве начальной точки входа злоумышленниками за отчетный период (с 1 ноября 2022 г. по 31 октября 2023 г.) увеличилось по сравнению с прошлым годом, составив 14% всех обнаруженных нарушений, которые отследила команда Verizon.
Всплеск был вызван масштабами и увеличением объема атак нулевого дня со стороны злоумышленников-вымогателей, в частности, нарушениями при передаче файлов MOVEit, которые произошли в мае и июне 2023 года и стали причиной массовой эксплуатации бандой программ-вымогателей Clop/Cl0p, что, вероятно, достаточно, чтобы исказить ситуацию. статистика какая-то.
«Использование уязвимостей нулевого дня злоумышленниками-вымогателями остается постоянной угрозой для предприятий, в немалой степени из-за взаимосвязанности цепочек поставок», — сказал Алистер Нил, старший директор по безопасности в регионе EMEA компании Verizon Business.
«В прошлом году 15% нарушений были связаны с третьими лицами, включая хранителей данных, уязвимостями стороннего программного обеспечения и другими прямыми или косвенными проблемами цепочки поставок».
Verizon отметила, что в среднем организациям требуется около 55 дней, чтобы устранить 50% критических уязвимостей (которые могут быть или не быть нулевого дня) после того, как станут доступны исправления, в то время как массовая эксплуатация наиболее серьезных уязвимостей может занять всего пять дней. Это основано на анализе широко используемого каталога известных эксплуатируемых уязвимостей (KEV) Агентства кибербезопасности и безопасности (CISA).
Реакция отрасли
Как всегда, Verizon DBIR с нетерпением ждали в мире безопасности и вызвали много споров после его выпуска. Среди тех, кто комментировал выводы Verizon, был Уильям Райт, генеральный директор Closed Door Security, шотландского поставщика услуг управляемой безопасности (MSSP), который сказал, что, несмотря на постоянный шум громких нарушений, организации явно очень далеки от киберзрелости.
« Веризон DBIR показывает, что именно базовые ошибки безопасности подвергают организации риску, например, длительные интервалы между обнаружением и исправлением уязвимостей, а также недостаточная подготовка сотрудников к выявлению мошенничества», — сказал Райт. «Это необходимо изменить в качестве приоритета, потому что ни один бизнес не может позволить себе рисковать или рисковать с кибергигиеной. Достаточно взглянуть на Change Healthcare: взлом был осуществлен через незащищенные учетные данные сотрудника, и теперь организация несет убытки на сумму более миллиарда долларов. Ни одна другая организация не хочет оказаться в таком положении».
«Вместо этого организации должны внедрить процессы, при которых исправления применяются часто, а критические уязвимости получают немедленные обновления, даже если они находятся за пределами обычных окон исправлений. Сотрудники должны регулярно проходить обучение, а для повышения защиты от фишинга необходимо принять MFA. Это также необходимо тщательно протестировать, чтобы убедиться в отсутствии пробелов, которые могут поставить бизнес под угрозу», — сказал Райт.
Саид Аббаси, менеджер по исследованиям уязвимостей в Qualys, сказал, что резкий рост использования уязвимостей вызывает особую озабоченность, и подчеркнул необходимость срочного и стратегического управления.
«Мы советуем организациям внедрять комплексные, упреждающие стратегии, в том числе меры безопасности на основе агентов и без агентов, чтобы предотвратить потенциальные нарушения. Кроме того, организациям требуется многоуровневая стратегия защиты, интегрирующая передовые инструменты обнаружения, системы нулевого доверия и быстрое управление исправлениями», — сказал Аббаси.
«Учитывая растущую сложность и взаимосвязанность цепочек поставок, такой целостный подход к кибербезопасности имеет важное значение. Эти сети часто подвергаются киберугрозам, затрагивающим не только отдельные организации, но также распространяющимся на взаимодействие третьих сторон и более широкую цепочку поставок».
Другие также обратили внимание на проблемы, связанные с эксплуатацией уязвимостей, возникшие в Verizon DBIR. Джей Джей Гай, генеральный директор Sevco Security, платформы управления рисками, сказал, что решение растущих объемов эксплойтов — это не проблема безопасности, а скорее организационная проблема.
«CISO несут ответственность за безопасность корпоративной сети, но не имеют полномочий или ответственности ни за поддержание инвентаризации активов в этой сети, ни за устранение уязвимостей в этих активах», — сказал Гай.
«Никто не должен удивляться тому, что неблагополучная организационная модель приводит к плохим результатам, а 10% наиболее критических и активно эксплуатируемых уязвимостей, отслеживаемых CISA, по прошествии года все еще не исправлены. Лидеры организаций должны либо согласовать подотчетность и ответственность за эти критически важные действия, либо ИТ-командам и командам безопасности потребуются более эффективные инструменты для совместной работы между подразделениями».
А Кевин Робертсон, операционный директор MSSP Acumen в Глазго, высказался резко в адрес одной организации.
«Преступники явно делают ставку на «нулевой день» для проведения атак на предприятия, часто полагаясь на задержки в установке исправлений для организаций. Microsoft должна взять на себя ответственность за это, в противном случае реальные последствия пострадают их уважаемые клиенты», — сказал он.
