CyberbezpieczeństwoPolecane tematy
Europa najczęściej atakowanym regionem w 2023 roku – główny cel hakerów to tożsamość użytkowników
W ubiegłym roku Europa doświadczyła 32% globalnych cyberincydentów – tak wynika z raportu Force Threat Intelligence Index firmy IBM. Badanie wskazuje również na narastający problem kradzieży tożsamości. Obecnie cyberprzestępcy dwukrotnie częściej wykorzystują tożsamość użytkowników w celu przeprowadzenia ataku na przedsiębiorstwa. Jak wynika z analiz IBM X-Force, w 2023 roku cyberprzestępcy dostrzegli więcej możliwości „logowania się” niż włamywania do sieci korporacyjnych za pośrednictwem aktywnych kont, co czyni tę taktykę preferowaną wśród przestępców.
Najnowszy X-Force Threat Intelligence Index powstał w oparciu o dane pochodzące z monitorowania ponad 150 miliardów alertów bezpieczeństwa dziennie w ponad 130 krajach. Co więcej, IBM zbiera i analizuje dane z wielu źródeł, w tym z IBM X-Force Threat Intelligence, z zespołów Incident Response, X-Force Red, IBM Managed Security Services oraz danych dostarczonych z Red Hat Insights oraz Intezer.
Najważniejsze wnioski z raportu X-Force dotyczące incydentów bezpieczeństwa w Europie:
- Blisko 1/3 światowych ataków była wymierzona w Europę, co stanowi rekordową liczbę jaką zespół X-Force kiedykolwiek raportował w skali regionalnej.
- Najczęściej atakowanymi krajami były Wielka Brytania (27%); Niemcy (15%), Dania (14%), Portugalia (11%), Włochy (8%) i Francja (8%).
- W całej Europie zespół X-Force zaobserwował 66% wzrost (r/r) ataków spowodowanych użyciem aktywnych kont.
- Najsłabszymi ogniwami organizacji z Europy były tożsamości użytkowników i wiadomości e-mail – nadużywanie aktywnych kont (30%) i phishing (30%) stanowiły najczęstszą przyczynę ataków w regionie.
- Najczęściej obserwowanym działaniem, odpowiadającym za 44% incydentów, było wykorzystanie złośliwego oprogramowania (malware). Co istotne, to Europa doświadczyła największej liczby ataków ransomware na świecie (26%).
- Trzy główne skutki ataków na organizacje z Europy to zbieranie danych uwierzytelniających (28%), wymuszenia (24%) i wyciek danych (16%).
- W zestawieniu najczęściej atakowanych branż, produkcja przesunęła się z drugiego (2022) na miejsce pierwsze (28% incydentów).
- Drugie miejsce wśród najczęściej atakowanych branż zajęły usługi profesjonalne, biznesowe i konsumenckie (25% incydentów), a na dwóch kolejnych miejscach uplasowały się sektory finansów i ubezpieczeń (16%) oraz energetyczny (14%).
- Łącznie w Europie najwyższy odsetek incydentów miał miejsce w sektorze energetycznym (43%) oraz w finansach i ubezpieczeniach (37%).
Dane dotyczące incydentów bezpieczeństwa na terenie UE pokazują, że:
- Prawie 70% ataków wymierzonych w organizacje z Europy, na które zareagował X-Force, wystąpiło w państwach członkowskich UE.
- Blisko 74% zaobserwowanych ataków dotyczyło infrastruktury krytycznej.
- Złośliwe oprogramowanie było głównym narzędziem do przeprowadzenia ataków (40% incydentów). Na kolejnych miejscach znalazło się wykorzystanie legalnych narzędzi (26%) i uzyskanie dostępu do serwerów (15%). Ransomware było głównym rodzajem złośliwego oprogramowania, wykorzystywanym w 26% ataków.
Kryzys związany z wykradaniem tożsamości może się pogłębić
Wykorzystywanie aktywnych kont stało się najłatwiejszą ścieżką dla cyberprzestępców, z miliardami danych uwierzytelniających dostępnych w Dark Webie. W 2023 roku zespół X-Force zaobserwował, że atakujący coraz częściej inwestują w operacje mające na celu pozyskanie tożsamości użytkowników na całym świecie. Dostrzeżono aż 266% wzrost udziału złośliwego oprogramowania wykradającego informacje, zaprojektowanego
w celu kradzieży danych osobowych, takich jak e-maile, dane uwierzytelniające mediów społecznościowych i aplikacji do przesyłania wiadomości, dane bankowe, dane portfela kryptowalutowego i tym podobne.
„Łatwa ścieżka” dla atakujących jest trudniejsza do wykrycia, co wywołuje kosztowną reakcję ze strony przedsiębiorstw. Według X-Force, poważne incydenty spowodowane przez atakujących, korzystających z aktywnych kont, wiązały się z prawie 200% bardziej złożonymi środkami reagowania przez zespoły bezpieczeństwa niż przeciętny incydent – członkowie takich zespołów musieli odróżnić legalną i złośliwą aktywność użytkowników w sieci. Z kolei raport IBM Cost of a Data Breach, dotyczący kosztów naruszenia danych w 2023 roku wykazał, że incydenty bezpieczeństwa spowodowane kradzieżą lub naruszeniem danych uwierzytelniających wymagały około 11 miesięcy pracy w celu wykrycia i odzyskania danych – jest to najdłuższy czas reakcji na zagrożenie w porównaniu z jakikolwiek innym wektorem zainfekowania.
Skalę i zasięg aktywności nakierowanych na użytkowników w internecie pokazał przykład forum cyberprzestępców, zamkniętego przez FBI i europejskie organy ścigania w kwietniu 2023 roku. Zawierało ono dane logowania ponad 80 milionów kont użytkowników.
Zagrożenia oparte na tożsamości będą prawdopodobnie nadal rosły, ponieważ cyberprzestępcy wykorzystują generatywną sztuczną inteligencję do optymalizacji swoich ataków. Już w 2023 roku zespół X-Force zaobserwował ponad 800 000 postów na temat sztucznej inteligencji i GPT na forach Dark Webu, co potwierdza, że innowacje przyciągają uwagę cyberprzestępców.
Rekomendacje dla przedsiębiorstw
Na podstawie przeprowadzonych badań, IBM X-Force opracował następujące rekomendacje dla przedsiębiorstw:
- Zmniejsz rozmiar szkód – organizacje powinny rozważyć wdrożenie rozwiązań ograniczających negatywne konsekwencje incydentu związanego z bezpieczeństwem danych, poprzez ograniczenie potencjalnego wpływu incydentu, biorąc pod uwagę naruszenie bezpieczeństwa poszczególnych użytkowników, urządzeń lub danych. Może to obejmować wdrożenie najmniej uprzywilejowanej struktury, segmentację sieci i strukturę tożsamości, która rozszerza nowoczesne możliwości bezpieczeństwa oraz wykrywania i reagowania na przestarzałe aplikacje i systemy.
- Przetestuj swoje środowiska pod kątem wystąpienia skrajnych warunków i przygotuj plan – zatrudnij hakerów, którzy przeprowadzą testy środowiska i zidentyfikują słabe punkty, które cyberprzestępcy mogliby wykorzystać, aby uzyskać dostęp do sieci i przeprowadzić ataki. Kluczem do skrócenia czasu reakcji, naprawy i przywrócenia systemu po ataku jest także posiadanie planów reagowania na incydenty, dostosowanych do środowiska. Plany te powinny być regularnie sprawdzane i uwzględniać reakcję obejmującą całość organizacji, włączać interesariuszy spoza IT oraz testować komunikację między zespołami technicznymi, a kierownictwem wyższego szczebla.
- Bezpiecznie wdrażaj sztuczną inteligencję – organizacje powinny skupić się na następujących założeniach, aby wdrożyć rozwiązania z zakresu sztucznej inteligencji: zabezpieczyć dane szkoleniowe stanowiące podstawę sztucznej inteligencji, zabezpieczyć modele oraz wykorzystanie modeli i wnioskowanie z nich. Niezwykle istotne jest także zabezpieczenie szerszej infrastruktury powiązanej z modelami sztucznej inteligencji. Firma IBM wprowadziła niedawno Framework for Securing Generative AI – kompleksowe ramy zabezpieczania generatywnej AI, aby pomóc organizacjom w ustaleniu priorytetów zabezpieczeń w oparciu o najwyższe ryzyko i potencjalny wpływ.
Najnowszy X-Force Threat Intelligence Index dostępny jest pod poniższym linkiem.