Cisco Talos, Ciscos avdelning för cyberhotforskning och analys, presenterar data över det gångna årets cyberattacker, som bygger på telemetri från miljarder incidenter - varjedag.
Genom att dra lärdom av historien blir man skickligare på att tolka framtiden, och det gångna årets cybersäkerhetsincidenter kan ge vägledning till att förbättra motståndskraften hos näringsliv och offentlig sektor under nästa år.
Statistiken bygger på anonymiserad realtidstelemetri-data från Cisco Talos incidenthantering, som dagligen analyserar 550 miljarder säkerhetshändelser världen över och är hämtad från företagets rapport 2023 Year In Review.
Att exploatera olika sårbarheter i öppna applikationer, som exempelvis kontorsprogram och webbläsare, var det som påbörjade intrången i 29 procent av attackerna. Flera av de sårbarheter som utnyttjades hade funnits i mer än tio år utan upptäckt, och Cisco Talos data visar att det är vanligare att gamla sårbarheter utnyttjas än nya. Bara under 2023 har fler än 180 allvarliga sårbarheter katalogiserats och uppmärksammats av den amerikanska cybersäkerhetsmyndigheten CISA.
Olika former av nätfiske kunde identifieras som en den ursprungliga källan i 25 procent av alla intrångsförsök under 2023. Bland de företag som oftast imiterades finns telekombolaget AT&T, Google, American Express, Western Union och PayPal.
Den vanligaste filtypen som användes för att försöka infektera datorer var PDF-dokument, vilket stod för mer än en tredjedel, 36 procent, av alla upptäckta och stoppade angrepp. Även HTML-filer, Word-dokument och ZIP-filer var vanligt förekommande, men rapportförfattarna noterar att Word och andra Office-dokument är mindre vanliga än tidigare:
”Detta är sannolikt en följd av beslutet från 2022 att blokera macros, som hotaktörer hade utnyttjat i stor utsträckning fram till dess. I och med den förändringen, har de i större utsträckning rört sig mot att använda andra filtyper.”
En utveckling som rapporten tar fasta på är en kraftig ökning av sofistikerade attacker direkt mot nätverksinfrastruktur – vilket beror på en kombination av högt värde och dåligt skydd:
”Nätverksenheter är en inbjudande måltavla för hotaktörer på grund av den stora attackytan och möjligheten till större tillgång till nätverket. Trots att dessa enheter är kritiska komponänter i en verksamhets IT och ofta förmedlare av känslig trafik, är de inte föremål för regelbunden övervakning och ofta dåligt uppdaterade. De använder ofta tillverkarens egen firmware istället för standardoperativsystem, och det innebär att de inte kan skyddas eller övervakade med standardlösningar.”
En bidragande orsak till det ökande antalet attacker är det osäkra världsläget, då nätverksexploatering är en vanlig taktik hos statsstödda aktörer i konflikthärdar.
AI är ett kraftfullt verktyg på båda sidor av kampen – för brottslingar och försvarare.
Liz Centoni, Chief Strategy Officer på Cisco, är övertygad om att en av de trender som kommer att prägla 2024 är ökade risker för AI-genererade bedrägerier och desinformationskampanjer – men också att fler samarbeten skapas och fördjupas för att motverka den utvecklingen.
”Vi kommer att få se mer investeringar i spårning och riskhantering. Inkluderande nya AI-lösningar kommer att vara en vaktpost mot klonade röster, deepfakes, botar i sociala medier och påverkanskampanjer. AI-modeller kommer att tränas på stora datamänger för bättre pricksäkerhet och effektivitet. Nya mekanismer för autentisering och äkthetskontroll kommer att förbättra transparens och ansvarsutkrävande”, skriver hon i ett blogginlägg.
”Vi kommer att se mer samarbete mellan näringsliv och offentlighet för att öka medvetenheten om hot, och användningen av verifierings- och säkerhetslösningar.”
Under december 2023 presenterade Cisco en rad kommande tjänster på området, bland annat AI Assistant for Security, som med Cisco Talos incidenthanteringsdata som grund kommer att göra det lättare att arbeta med förebyggande skydd, undvika felkonfigurationer och andra vanliga orsaker till sårbarheter.