Sammanfattning: Trustwave Global Security Report 2019

Thursday, May 2, 2019

UnderrättelserSammanfattningTrustwaveHotrapport

Ny månad, ny rapport, ny sammanfattning. Idag är det Trustwave som står för underlaget genom sin Global Security Report . Tanken med dessa sammanfattningar är att försöka plocka ut det mest väsentliga från rapporterna och presentera detta, kanske främst för er som inte känner att ni har tid att läsa men gärna skulle vilja läsa.

Nyckelinsikter

  • Om du säljer något på webben och hanterar, eller accepterar, betalmedel kommer du att utsättas för angrepp. Där det för angriparen luktar kreditkort kommer det också snart finnas ett angrepp.
  • Särskilt utsatta branscher är finans, detaljhandel och hotell/restaurang som tillsammans står för en stor del (39%) av utredda incidenter.
  • Phishing tillsammans med svaga lösenord eller svaga kombinationer av användarnamn/lösenord är mycket vanliga metoder som används av angriparna.
  • Vartannat e-handelsföretaget kommer att få sina webplatser utnyttjade genom kodinjektion.
  • Skadlig kod förekommer givetvis, och är i stor utsträckning kopplad till någon form av kryptovaluta eller insamling av inloggningsuppgifter till finansrelaterade-tjänster. Där det finns pengar att tjäna…

Reflektioner och sammanfattning

Först och främst slås jag av att rapporten är tämligen lättillgänglig. Jämför med Microsoft SIR… den rapporten innehåller bara upprepningar och massor av procentsatser, den känns nästan som att den är automatiskt genererad. Trustwaves-rapport däremot … not so much. Här är det troligen faktiskt människor som skrivit och dragit slutsatser. Kort och gott, rapporten är värd att läsa för den är välskriven.

Vad är då mina slutsatser efter att ha läst rapporten?

Först och främst nämns ingenting om riktade angrepp. Vi kan endast spekulera i varför. Jag lutar åt hållet… det är så djäkla ovanligt, därför ingen rapportering om det.

Jag noterar också att samhällstjänster (utilities) tar plats i rapporten som utsatta. Detta är självklart intressant eftersom det helt avviker från målsättningen att tjäna pengar. Dessvärre ganska lite detaljer om dessa nya procent av incidenter… men det följer onekligen diskursen och hur det politiska snacket rullar.

Personligen tar jag med mig vilka branscher som är mest utsatta och att en klar majoritet av alla intrång är kopplade till hur angripare kan tjäna pengar, enkelt. Det är inga magiska angrepp som knycker obskyra informationstillgångar… utan det handlar allt som oftast om uppenbara saker. Kreditkort, inloggningsuppgifter till banktjänster osv. Där ett givet intrång snabbt kan omsättas till pengar och vinst.

En reflektion är också att metoderna som statliga aktörer använder inte nämnvärt skiljer sig från de av cyberkriminella. Det är phishing som gäller, eller användande av stulna inloggningsuppgifter. Den stora skillnaden ligger väl snarare i att en statlig aktörer har tid på sig och ingenting emot att vänta. Kriminella vill snabbt omsätta sina intrång till pengar och gå vidare.

Ofiltrerade anteckningar

Nedan får du mina helt ofiltrerade anteckningar från rapporten.

Geografi

Spridningen över Syd- och Nordamerika, Europa och Asien är ganska jämt fördelad, procentmässigt. Hur detta förhåller sig till antalet företag osv vore kanske intressant att undersöka?

Bransch

Retail (18%) och finance (11%) är mest utsatta. Hur mycket “sample-bias” ligger i detta? Vilka är deras kunder? Det vet vi inte.

Utredningar av Utilities har ökat från 0% till 7%.

Cirka 39% av alla intrång påverkade branscherna retail, finance eller hospitality. 

Bransch/information

Om du, i någon utsträckning, hanterar eller i övrigt behandlar kreditkort kommer du utsättas för angrepp. Det spelar ingen roll om du “skickar vidare” betalningen till PayPal eller någon annan leverantör. Om du har en sida där användaren kan ange uppgifter kommer en angripare också försöka manipulera denna för att användaren ska mata in sina uppgifter och sedan skickas vidare.

Metod

Phishing användes i 46% av samtliga utredda incidenter.

Överlag ganska lite e-post innehöll malware (6%). Av all malspam (malware spam) användes i 38% av fallen Excel eller Word-filer, huvudsakligen då genom makron.

53% av alla utredda incidenter för e-handel omfattas av kodinjektion.

För intrång i företagsnätverk är det phishing/social engineering samt svaga lösenord som gäller. Dessa står tillsammans för mer än 60% av intrången. (Insiders utgör endast 3% av intrången…)

Data/underlag

Nytt för det här året är att “cloud” har inkluderats i rapporten då flera intrång gjorts mot så kallade SaaS-leverantörer.

Mål

En mycket vanlig uppgift som angriparna försöker komma åt är inloggningsuppgifter för “finance”-relaterade tjänster.

Sårbarheter

Visst används sårbarheter, men endast när det finns möjlighet att “skala” upp användandet. Sårbarheter i Wordpress är exempelvis eftertraktat eller för andra stora publika programvaror.

PCI-DSS

Hjälper! Kollar vi t.ex. på användandet av TLS1.0 så ligger PCI-DSS “anslutna” företag mycket lägre än övriga vilket skulle antyda att kraven från PCI-DSS faktiskt får effekt. Sedan till vilken kostnad och reell riskreducering är en annan fråga…

Skadlig kod

Point-of-sale, web shells, formjacking, ransomware, coin miners, RATS, android

Powershell och PHP representerar tillsammans 39% av den skadliga koden.

Används förvånande nog inte av hela 33%. 21% använder enklare sträng-manipulation och 16% kör någon form av kryptering.

Absolut vanligast är att registrera sig i registret med en autorun.  LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run and HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Run

Är faktiskt inte så vanligt. Istället ansluter angripare till datorn för att hämta hem det som hittats.

UnderrättelserSammanfattningTrustwaveHotrapport

Christoffer Strömblad

Några fler relaterade artiklar:

Sammanfattning: CrowdStrike Global Threat Report 2019 Sammanfattning: Proofpoint Threat Report Q4 2018 Sammanfattning: Mcafee Labs Threat Report December 2018 Sammanfattning: Quarterly Threat Report (November 2018) - Proofpoint Sammanfattning: Sophos 2019 Threat Report

Ökad cybersäkerhet med hjälp av MITRE ATT&CK

Föreläsning - Om att ligga steget före IT-attacken