Virksomheder fanger færre cyberagreb, mens antallet og omfanget stiger

Hvert halve år udgiver Fortinet, der er én af verdens førende IT-sikkerhedsvirksomheder, sin Global Threat Landscape Report, og i den seneste, der dækker H1 2023, konstaterer IT-eksperterne fra Fortinet et fald i virksomhedernes evne til at opdage ransomeware-trusler. Det er til trods for en stigende aktivitet blandt ’advanced persistent threat (APT)'- grupperinger samt et skifte i MITRE ATTACK-teknikker, der anvendes af de IT-kriminelle.

Virksomhederne opdager færre ransomware-angreb

Fortinet har afdækket markante stigninger af ransomware-varianter over de senere år, der især er drevet af udvidelsen af Ransomware-as-a-Service (RaaS). Trods væksten af ransomware viser Fortinets data, at færre virksomheder har opdaget ransomware i første halvdel af 2023 (13 %) sammenlignet med samme periode for fem år siden (22 %). Faldet i ransomware-detektioner betyder ifølge Fortinet Danmarks Christian Rutrecht imidlertid ikke, at virksomheder kan ånde lette op. Tværtimod gemmer tallene nok på en anden virkelighed. Nemlig, at angrebene er blevet så sofistikerede og målrettede, at de simpelthen ikke opdages. Samlet set er detektionen af ransomware-angreb 13 gange højere i H1 2023 end slutningen af 2022, men stadig lavere for året som helhed.

“Selvom vi ser en faldende tendens i detektionen af ransomware-angreb, så er der desværre nogle foruroligende stigninger, som kan påvirke vores evne til at detektere ransomware-angreb negativt. Vi har i første halvår af 2023 set en stigning i udviklingen af exploits, flere malware-varianter, og at de eksisterende botnet er operationelle i længere tid. Hvis vi tager det med i betragtningen om at ransomware-detektion falder, så er en mulig konklusion, at flere ikke i tide opdager ransomware eller anden kompromittering i takt med, at aktørerne bliver mere sofistikerede,” siger Christian Rutrecht, der er cyberekspert ved Fortinet Danmark.

Virksomheder har under én uge til at beskytte sig mod de mest udnyttede sårbarheder

Siden dets opstart har Fortinet være en central bidragsyder af udnyttelsesaktivitetsdata til Exploit Prediction Scoring Systemet (EPSS). Systemet har til formål at samle en myade af datapunkter til at forudsige sandsynligheden for og hvornår en sårbarhed vil blive udnyttet. Fortinet har anlyseret seks års data på tværs af flere end 11.000 offentliggjorte sårbarheder, der er blevet udnyttet af it-kriminielle. Her fandt de, at ’Common Vulnerabilities and Exposures (CVEs)’ kategoriseret med en høj EPSS score er 327 gange mere udsatte for at blive udnyttet inden for syv dage end alle andre sårbarheder.

”Det er umuligt at holde styr på alle sårbarheder og opdateringer i en virksomhed. Derfor er flere sikkerhedsafdelinger begyndt at gøre brug af EPSS score-systemet, så de kan prioritere kritiske opdateringer samt implementeringer af yderligere sikkerhedskontroller rundt om dem. Det er en positiv udvikling, men jo højere en EPSS score, jo hurtigere skal man tage action – som vores data viser, så har man faktisk under en uge til at handle i,” siger Christian Rutrecht.

Knap en tredjedel af de kendte IT-kriminelle grupperinger var aktive i første halvår af 2023

For første gang på tværs af Fortinets Global Treat Landscape-rapporterne har man undersøgt antallet af IT-kriminelle. Analyser viser, at 41 (30 %) af de 138 it-kriminelle gruppers MITRE-spor var aktive i den første del af 2023. Af disse var Turla, StrongPity, Winnti, OceanLotus, og WildNeutron de mest aktive baseret på malware-detektionstal.

“Vi har i sommeren 2023 også set eksempler herhjemme på de mere avancerede ransomware. CloudNordic fik i august stjålet data både i produktion og i backup uden mulighed for genskabelse. En af de selvreflektioner virksomheder bør gøre sig efter angrebet mod CloudNordic, er nødvendigheden for offline eller isoleret backup. Der må og skal ikke være adgang til alle backups fra en kriminel aktør som slipper ind, da det har fatale konsekvenser og som i CloudNordics tilfælde i værste fald resulterer i, at virksomheden må lukke. Det er der, vi er med it-kriminaliteten nu – det kan betyde virksomhedens overlevelse ikke at tage sikkerheden alvorligt” siger Christian Rutrecht.

Udviklinger i it-sikkerheden over en femårig periode

Fortinet har sammenholdt data fra de seneste fem års Global Treat Landscape-rapporter og har fundet tre hovedkonklusioner. Hele H1 2023-rapporten kan hentes her.

• Unikke exploits er stigende: I første halvår af 2023, opdagede Fortinet flere end 10.000 unikke exploits – en stigning på 68 % ift. 2017. Rapporten viser også, at der over de seneste fem år er sket et fald på 75 % i exploit-forsøg pr. virksomhed – det peger på, at de it-kriminelle er blevet mere og mere målrettede i deres angreb.

• Malware-familier og -varianter er eksploderet – stigninger på hhv. 135 % og 175 %: Stigningen af malware over perioden hænger sammen med, at der er flere aktive it-kriminelle. Fortinet oplever stadig, at wipers anvendes af statsfinansierede aktører, ligesom den form for malware også vokser blandt it-kriminelle, der angriber virksomheder inden for teknologi, produktion, myndigheder, telekommunikation og sundhedssektoren.

• Botnets holder fast i netværk længere end tidligere: Mens rapporten viser, at der er flere aktive botnets (+27 %) samt en højere grad af botnet-angreb over de seneste fem år (+126 %), så er det mest overraskende antallet af ’aktive dage’ for botnets fra et første hit på en sensor til det sidste. I første del af 2023 udgjorde tallet 83 dage, en stigning på 1.000 % ift. for fem år siden.

 
Sådan beskytter du dig bedst muligt

Selvom de seneste tal fra Fortinet fortæller en historie om mere og og mere sofistikerede angreb og kortere tid til at lukke huller i din virksomheds it-sikkerhed, så er der flere initiativer, man kan sætte i værk for at sikre, at man så er godt beskyttet, som muligt. Christian Rutrechts fem gode it-sikkerhedsråd er:

1. Få etableret en hændelsesplan og hændelsesprocedure.
2. Arbejd på at konsolidere kontrol med netværk, cloud, it-sikkerhed og brugere ud fra en zero-trust tilgang.
3. Monitorér virksomhedens eksponerede snitflade i cloud, på perimeter og slutbrugerendepunkter for at detektere kritiske sårbarheder, igangværende angreb og uautoriserede adgange.
4. Det er best pratice at have en isoleret eller offline backup, så man kan stille en garanti overfor virksomhedens kontinuitet.
5. Tilgængelighed og redundans er stadig en af grundpillerne i it-sikkerhed, således at både kunder og medarbejdere bruger virksomhedens platforme efter bedste evne - også når virksomheden er under angreb.