F-Secures nya Incident Response Report visar att användarnas inkorgar fortfarande är den svagaste länken i företagens säkerhetsarbete, samt att många företag har svårt att upptäcka säkerhetsincidenter tillräckligt snabbt och med tillräcklig noggrannhet.
Fler än var tredje säkerhetsincident börjar med ett nätfiskemejl eller ett mejl med en skadlig bifogad fil som skickas till en medarbetare. Det visar en ny rapport som globala cybersäkerhetsföretaget F-Secure släpper idag. Incident Response Report bygger på de insikter som företagets säkerhetskonsulter samlat in under sitt arbete ute på fältet och visar hur det går till när verkliga företag utsätts för verkliga angrepp.
Den vanligaste enskilda attackvektorn mot företag är enligt rapporten angripare som drar nytta av sårbarheter i uppkopplade tjänster – de stod för 21 procent av alla säkerhetsincidenter som undersökts av F-Secures säkerhetskonsulter.
Men om man slår ihop nätfiskemejl och e-post med skadliga bifogade filer så seglar de upp som en solklar etta med 34 procent av incidenterna, vilket enligt F-Secures säkerhetskonsult Tom Van de Wiele betyder att attacker via e-post är ett betydligt större problem för företag.
”Att utnyttja sårbarheter i mjukvara i olika typer av drive-by-attacker är typiskt för opportunistiska angrepp, men när det gäller intrång är e-post en betydligt vanligare väg in. Det finns mängder av olika sätt som angripare kan utnyttja e-post, och bara det faktum att i princip samtliga företag är beroende av e-post för sin kommunikation gör mejlen ännu mera attraktiv”, säger Tom Van de Wiele. ”Människor behöver tänka sig för innan de klickar på länkar och öppnar bifogade filer, men många yrken medför stor press och kräver ett högt tempo och det är något som angriparna både förstår och utnyttjar.”
Andra insikter från rapporten:
• Företag drabbas av riktade och opportunistiska attacker i ungefär samma utsträckning
• Insider-hot står för ungefär en femtedel av alla säkerhetsincidenter
• I ungefär 80 procent av fallen kallades säkerhetskonsulter in för att hantera incidenten efter att angripare lyckats med sitt intrång och hade tagit sig förbi skalskyddet
• Att sprida någon form av skadlig kod (oftast för ekonomisk vinning, men också för spionage och exfiltrering av data samt för att bibehålla tillgång till systemet) är det första de flesta angripare gör efter att de fått tillgång till ett system.
• 13 procent av alla incidenter visade sig vara falskt alarm
Enligt Tom Van de Wiele är det förvånansvärt många falsklarm, och något som tydligt visar att företag har svårt att korrekt identifiera cyberattacker. ”Vi kallas ofta in för att undersöka ’misstänkt aktivitet’, vilket säger mig att många företag inte har tillräckliga möjligheter att upptäcka och analysera säkerhetsincidenter. Ibland när vi är ute och undersöker något så hittar vi ett traditionellt it-problem istället för ett mera regelrätt angrepp – och det kostar onödiga resurser och distraherar organisationen från att ta itu med de verkliga problemen.”