Microsofts rapport om digitalt försvar 2022
Insikter från biljontals dagliga säkerhetssignaler
Ett unikt perspektiv
Målet med Microsofts rapport om digitalt försvar, som nu är inne på sitt tredje år (hette tidigare Microsoft-rapporten om säkerhetsinsikter, med över 22 arkiverade rapporter), är att belysa det framväxande digitala hotlandskapet inom fyra fokusområden: cyberbrott, nationalstatliga hot, enheter & infrastruktur samt cyberpåverkansoperationer. Rapporten ger samtidigt insikter och vägledning om hur du kan förbättra cybermotståndskraften.
Microsoft betjänar miljarder kunder globalt, vilket gör att vi kan sammanställa säkerhetsdata från ett brett och mångsidigt spektrum av organisationer och konsumenter. Den här rapporten bygger på omfattande och djupgående signalinformation från hela Microsoft, till exempel från molnet, slutpunkter och den intelligenta nätverksgränsen. Detta unika perspektiv ger oss en detaljerad bild av hotlandskapet och det nuvarande tillståndet för cybersäkerhet, bland annat indikatorer som hjälper oss att förutsäga vad angripare kommer att göra härnäst. Vi anser att transparens och informationsutbyte är avgörande för att hjälpa våra kunder att bli mer motståndskraftiga och för att skydda ekosystemet.
I denna sammanfattning av rapporten får du veta mer om tillståndet för cyberbrott, hur IoT-enheter (Sakernas Internet) blir ett allt populärare mål, ny taktik från nationella statsaktörer och cyberlegosoldaternas avancemang, cyberpåverkansoperationer och, viktigast av allt, hur du skapar en motståndskraftig miljö i dessa tider.
- 43 biljoner signaler syntetiseras dagligen med hjälp av sofistikerad dataanalys och AI-algoritmer för att förstå och hjälpa till att skydda mot digitala hot och kriminell cyberaktivitet
- Mer än 8 500 ingenjörer, forskare, dataforskare, cybersäkerhetsexperter, hotjägare, geopolitiska analytiker, utredare och incidenthanterare i frontlinjen i 77 länder
- Fler än 15 000 partner i vårt säkerhetsekosystem som ökar cybermotståndskraften hos våra kunder
Cyberbrotten fortsätter att öka med betydligt fler fall av både slumpmässiga och riktade attacker. Vi har observerat allt mer mångfasetterade hot i det digitala landskapet, med utveckling av cyberattacksmetoder och kriminell infrastruktur som används för att förstärka den kinetiska krigföringen under Rysslands invasion av Ukraina.
Attacker med utpressningstrojaner är en allt större risk för alla individer eftersom kritisk infrastruktur, företag av alla storlekar och statliga och lokala myndigheter är måltavlor för brottslingar som drar fördel av ett växande ekosystem för cyberbrott. Utpressningstrojanattackerna har blivit djärvare och mer omfattande, och samtidigt fått allt mer långtgående konsekvenser. Ett hållbart och framgångsrikt svar på detta hot kräver en myndighetsövergripande strategi som genomförs i nära samarbete med den privata sektorn.
Efter att ha analyserat våra uppdrag för incidentsvar och återställning hittade vi genomgående svaga identitetskontroller, ineffektiva säkerhetsåtgärder och ofullständiga dataskyddsstrategier hos de berörda organisationerna.
I år har vi haft en betydande ökning av slumpartade attacker med nätfiske och identitetsstölder för att komma åt information som säljs och används i riktade attacker, till exempel gisslanattacker, dataexfiltrering och utpressning samt e-postintrång hos företag.
Cyberbrott som en tjänst (cybercrime as a service, CaaS) är ett växande hot mot kunder över hela världen. Microsofts Digital Crimes Unit (DCU) observerade en fortsatt tillväxt av CaaS-ekosystemet med ett ökat antal onlinetjänster som underlättar cyberbrott, bland annat e-postintrång hos företag (BEC) och mänskligt styrda utpressningstrojaner. CaaS-säljare erbjuder i allt högre grad komprometterade autentiseringsuppgifter till försäljning, och vi ser fler CaaS-tjänster och produkter med förbättrade funktioner för att undvika upptäckt.
Angripare hittar nya sätt att implementera tekniker och nya värdar för sin operativa infrastruktur. Företag kan till exempel komprometteras och bli värdar för nätfiskekampanjer och skadlig kod, eller så utnyttjas deras processorkraft för mining av kryptovaluta. IoT-enheter (Sakernas Internet) blir ett allt mer populärt mål för cyberbrottslingar som använder vidsträckta botnät. När routrar inte korrigeras med uppdateringar och lämnas exponerade direkt mot Internet, kan hotaktörer missbruka dem för att få tillgång till nätverk, utföra skadliga attacker och till och med för att stöda sin verksamhet.
Hacktivism var på uppgång under det senaste året, då privatpersoner utförde cyberattacker för att främja sociala eller politiska mål. Tusentals individer mobiliserades för att inleda attacker som en del av kriget mellan Ryssland och Ukraina. Även om det återstår att se om denna trend kommer att fortsätta, måste teknikindustrin gå samman för att utarbeta ett omfattande svar på detta nya hot.
Den accelererande digitala omvandlingen har ökat cybersäkerhetsrisken för kritisk infrastruktur och cyberfysiska system. I takt med att organisationer drar nytta av framsteg inom databehandling och enheter digitaliserar för att blomstra ökar den digitala världens attackyta enormt.
Det snabba införandet av IoT-lösningar har ökat antalet attackvektorer och exponeringsrisken för organisationer. Denna migrering har gått så snabbt att de flesta organisationer inte klarat av att hålla jämna steg när skadlig kod som en tjänst har riktat in sig på civil infrastruktur och företagsnätverk.
Vi har observerat att allt fler hot exploaterar enheter i alla delar av organisationen, från traditionell IT-utrustning till styrsystem för driftteknik (DT) eller enkla IoT-sensorer. Vi har sett attacker mot elnätet, utpressningstrojanattacker som orsakar driftstörningar på DT och IoT-routrar som utnyttjas för ökad beständighet. Samtidigt har det skett en ökad inriktning mot säkerhetsrisker i inbyggd programvara – programvara som är inbyggd i en enhets maskinvara eller kretskort – för att inleda förödande attacker.
För att bekämpa dessa och andra hot utarbetar och vidareutvecklar myndigheter runt om i världen riktlinjer för att hantera cybersäkerhetsrisker för kritisk infrastruktur. Många implementerar också policyer för att förbättra säkerheten för IoT- och DT-enheter. Den växande globala vågen av policyutveckling skapar stora möjligheter för en förbättring av cybersäkerheten, men den leder också till utmaningar för intressenter i ekosystemet. När utvecklingen av policyer sker inom olika regioner, sektorer, teknologier och områden för operativ riskhantering samtidigt, finns det en risk för överlappning och inkonsekvens i omfattning, krav och komplexitet. Organisationer i både den offentliga och privata sektorn måste ta vara på tillfället och förbättra cybersäkerheten med ytterligare engagemang och insatser inriktade på konsekvens.
- 68 % av de tillfrågade anser att införandet av IoT/DT är avgörande för deras strategiska digitala omvandling
- 60 % anser att IoT/DT-säkerhet är en av de minst skyddade aspekterna av deras infrastruktur
Under det senaste året har nationalstatliga cyberhotsgrupper gått från att utnyttja programvaruförsörjningskedjan till att utnyttja försörjningskedjan för IT-tjänster. De riktar in sig på molnlösningar och leverantörer av hanterade tjänster för att nå nedströmskunder inom den offentliga sektorn, reglering och kritisk infrastruktur.
I takt med att organisationer stärker sin cybersäkerhetsstatus har nationella statsaktörer svarat med att använda nya och unika taktiker för att leverera attacker och undvika upptäckt. Identifiering och exploatering av dag noll-sårbarheter är en viktig taktik på det här området. Antalet offentligt rapporterade dag noll-sårbarheter under det senaste året är i nivå med antalet under föregående år, som var det högsta någonsin. Många organisationer antar att de är mindre utsatta för att drabbas av dagnollattacker om hantering av säkerhetsrisker är en integrerad del av deras nätverkssäkerhet. Kommodifiering av attackmetoder som utnyttjar sårbarheter har ändå lett till en mycket högre takt av dem. Dag noll-sårbarheter upptäcks ofta av andra aktörer och återanvänds på bred front på kort tid, vilket gör att system som inte har korrigerats med uppdateringar är i riskzonen.
Vi har lagt märke till en växande bransch av offensiva aktörer i den privata sektorn, så kallade cyberlegosoldater. De utvecklar och säljer verktyg, tekniker och tjänster till olika kunder, ofta statliga, som kan användas för att bryta sig in i nätverk, datorer, telefoner och Internetanslutna enheter. Dessa enheter är en tillgång för nationella statsaktörer, men utgör ofta en fara för oliktänkande, människorättsförsvarare, journalister, förespråkare för civilsamhället och andra privatpersoner. Cyberlegosoldaterna tillhandahåller avancerade funktioner för ”övervakning som en tjänst” som många av nationalstaterna inte skulle ha kunnat utveckla på egen hand.
Pålitlig information är en förutsättning för en blomstrande demokrati. Ett viktigt fokusområde för Microsoft är påverkansoperationerna som utvecklas och upprätthålls av nationalstater. Dessa kampanjer undergräver förtroendet, ökar polariseringen och är ett hot mot demokratiska processer.
I synnerhet ser vi att vissa auktoritära regimer tillsammans försöker förorena informationsekosystemet till ömsesidig fördel. Kampanjer som försökte dölja ursprunget till covid-19-viruset är ett exempel. Sedan pandemins början har rysk, iransk och kinesisk covid-19-propaganda bidragit till att förstärka dessa centrala teman.
900 % ökning på årsbasis i spridning av deepfakes sedan 2019
Vi går också in i vad vi förväntar oss kommer att bli en guldålder för skapande och manipulation av media med hjälp av AI. Den möjliggörs av ett ökat antal verktyg och tjänster för att artificiellt skapa mycket realistiska syntetiska bilder, videor, ljud och text samt möjligheterna att snabbt sprida innehåll som optimerats för specifika målgrupper. Ett mer långsiktigt och ännu mer lömskt hot är mot vår förmåga att kunna urskilja vad som är sant om vi inte längre kan lita på det vi ser och hör.
Informationsekosystemets snabbt föränderliga karaktär, i kombination med nationalstatliga påverkansoperationer – som i sammanslagningen av traditionella cyberattacker med påverkansoperationer och inblandning i demokratiska val – kräver ett samhälleligt helhetsgrepp. Ökad samordning och informationsutbyte mellan statliga myndigheter, den privata sektorn och civilsamhället behövs för att öka öppenheten och ge större insyn i dessa påverkanskampanjer och för att kunna avslöja och avbryta kampanjer.
Det blir allt mer brådskande att vidta åtgärder mot den ökade nivån av hot i det digitala ekosystemet. Hotaktörernas geopolitiska motiv har visat att staterna har eskalerat sin användning av offensiva cyberoperationer för att destabilisera regeringar och påverka den globala handeln. När dessa hot ökar och utvecklas är det ytterst viktigt att cybermotståndskraft byggs in i organisationsstrukturen.
Som vi har sett är det många cyberattacker som lyckas eftersom den grundläggande säkerhetshygienen inte har följts. De minimistandarder som varje organisation bör följa är:
Cybermotståndets fördelningskurva: 98 % – grundläggande säkerhetshygien skyddar fortfarande mot 98 % av alla attacker. Läs mer om den här bilden på sida 109 i Microsofts rapport om digitalt försvar från 2022
- Verifiera explicit: Säkerställ ett gott tillstånd för användare och enheter innan åtkomst till resurser tillåts.
- Använd minst privilegierad åtkomst: Tillåt bara den behörighet som krävs för åtkomst till en resurs, inte mer än så.
- Förutsätt intrång: Utgå från att intrång har gjorts och att systemets försvar kan ha komprometterats. Det innebär att du ständigt måste övervaka miljön och kontrollera möjliga attacker.
Använd moderna program mot skadlig kod
Implementera programvara som bidrar till att identifiera och automatiskt blockera attacker och ge insikter i säkerhetsåtgärderna. Att övervaka insikter från hotidentifieringssystem är ytterst viktigt för att du ska kunna agera på hot i tid.
Håll dig uppdaterad
System som är föråldrade och inte har uppdaterats med korrigeringar är en av de främsta orsakerna till att organisationer påverkas av attacker. Se till att alla system hålls uppdaterade, inklusive inbyggd programvara, operativsystem och program.
Skydda data
Det är viktigt att du vet vilka dina viktiga data är, var de finns och om rätt system har implementerats för att du ska kunna använda rätt skyddsåtgärder.
Källa: Microsofts rapport om digitalt försvar, november 2022