Det kan udfordrende at sikre korrekt beskyttelse af din organisation i et stadigt skiftende, sårbart miljø. Ihvertfald hvis man ikke har forudsætninger for det. I undersøgelsen af over 250 organisationer fandt vi, at 80 % af sikkerhedseksponeringerne findes i cloudmiljøer, og at 20 % af cloudtjenesterne ændres hver måned. Disse konstante ændringer i Cloudmiljøer såsom Amazon, Azure, Google og mange andre betyder en 45% nye kritiske sikkerhedshuller pr. måned.
Det er ikke let at forsøge at få styr på denne form for volatilitet, men det er meget vigtigt. Vores 2023 Unit 42 Attack Surface Threat Report udforsker det globale angrebsoverfladelandskab baseret på observerbare data om eksponeringer, der er offentligt tilgængelige over internettet. Det giver også anbefalinger om, hvordan organisationer skal gribe aktiv angrebsoverfladestyring an.
Nøgleresultater fra 2023 Unit 42 Attack Surface Threat Report
Konstante forandringer i skyen skaber ny risikoer, hvorfor det kan være svært at følge med uden den korrekte software.
Unit 42 undersøgte sammensætningen af nye og eksisterende tjenester, der kører i forskellige cloud-udbydere, der bruges af organisationer over en periode på seks måneder. Cloudbaseret it-infrastruktur er altid i en tilstand af forandring. I gennemsnit ændres over 20 % af de eksternt tilgængelige cloudtjenester månedligt på tværs af de 250 organisationer. Figur 1 viser, hvordan dette fordeler sig på tværs af forskellige brancher.
Figur 1. Medianandelen af ændrede tjenester indført af en typisk virksomhed i en bestemt branche i løbet af en given måned.
Derfor undersøgte Unit 42 virkningen på antallet af nye sikkerhedsrisici, der introduceres i en organisation, hvilket er illustreret i figur 2. Over 45% af de fleste organisationers højrisiko, cloud-hostede eksponeringer i en given måned blev observeret på nye tjenester, der ikke havde været til stede på deres organisations angrebsoverflade i måneden før. Således er oprettelsen af nye, offentligt tilgængelige cloud-tjenester (både tilsigtede og uautoriserede) en risikofaktor, der er relateret til næsten halvdelen af alle eksponeringer med høj kritikalitet på et givet tidspunkt.
Figur 2. Median andel af cloud-hostede eksponeringer med høj risiko observeret på en typisk virksomheds angrebsflade i hver branche i løbet af en given måned.
Cloudeksponeringer dominerer de fleste organisationers sikkerhedsrisici
Ifølge vores analyse blev 80 % af sikkerhedseksponeringerne observeret i cloudmiljøer, som vist i figur 3 nedenfor. Denne højere fordeling af eksponeringer i skyen kan tilskrives følgende årsager:
· Hyppige fejlkonfigurationer
· Fælles ansvar
· Skygge IT
· Iboende forbindelse til internettet
· Manglende synlighed i cloud-aktiver
Figur 3. Andel af sikkerhedseksponeringer i cloudmiljøet vs. sikkerhed i det lokale miljø.
Tre årsager tegner sig for 60% af al eksponering på den globale angrebsoverflade
Figur 4 viser, at på tværs af de mere end 250 organisationer, vi analyserede, udgør eksponeringer for overtagelse af webrammer som usikre versioner af Apache-webservere, usikre versioner af PHP og usikre versioner af jQuery over 22% af eksponeringerne. Dårligt konfigurerede fjernadgangstjenester som RDP (Remote Desktop Protocol), Secure Shell (SSH) eller Virtual Network Computing (VNC) udgør 20% af eksponeringerne.
Figur 4. Eksponeringer af den globale angrebsflade.
Unit 42 observerede også, at eksponeringer for it-sikkerhed og netværksinfrastruktur udgør næsten 17% af alle eksponeringer på den globale angrebsoverflade. Eksponeringerne i denne kategori bestod af administrative login-sider med internetadgang for følgende aktiver:
· Routere
· Firewalls
· Virtuelle private netværk (VPN’er)
· Andre centrale netværks- og sikkerhedsenheder
Kompromittering af disse aktiver kan have betydelige konsekvenser for organisationer, herunder kompromittering af kerneforretningsfunktioner og applikationer og de data, de indeholder.
Anbefalinger til aktiv administration af din angrebsoverflade
De fleste organisationer er uforberedte på et angreb gennem en ukendt eller ikke-administreret eksponering. Vi fandt ud af, at otte af de ni organisationer, vi undersøgte, havde internettilgængelig RDP sårbar over for brute-force-angreb i mindst 25% af måneden.
For at beskytte mod disse typer sårbarheder på angrebsoverfladen bør organisationer:
· Opnå kontinuerlig synlighed Oprethold en omfattende forståelse i realtid af alle internettilgængelige aktiver, herunder skybaserede systemer og tjenester. Dette hjælper med aktivt at opdage, lære og reagere hurtigere på risici.
· Håndter fejlkonfigurationer i skyen Gennemgå og opdater regelmæssigt cloudkonfigurationer, og tilpas dig bedste praksis for at mindske sikkerhedsrisici. Fremme samarbejdet mellem sikkerheds- og DevOps-teams for at sikre udvikling og udrulning af programmer, der oprindeligt findes i cloudmiljøet.
· Prioriter afhjælpning Fokuser på at håndtere de mest kritiske sårbarheder og eksponeringer, f.eks. dem med en høj CVSS-score (Common Vulnerability Scoring System) – som tager højde for alvorsgraden – og en EPSS-score (Exploit Prediction Scoring System) – som tager højde for sandsynligheden – for at reducere risikoen for vellykkede cyberangreb.
Organisationer bør overveje et program til administration af angrebsflader for løbende at opdage, prioritere og afhjælpe eksponeringer på deres angrebsoverflade. Dette sikrer, at opportunistiske angribere ikke kan udnytte noget ukendt eller ikke-administreret aktiv.
Hvis angrebsoverfladestyring er nyt for din organisation, eller du gerne vil have hjælp til at forbedre dit program, kan Cortex Xpanse og Unit 42 Attack Surface Assessment kickstarte din rejse. Denne vurderingstjeneste giver dig bedre indsigt i dine lokale og skybaserede internetforbundne aktiver og anbefalinger om prioriterede handlinger, der kan hjælpe dig med at forsvare din organisation.
Kilde: Palo Alto
Yderligere kommentarer og oversættelse: ICARE SECURITY A/S
Fotokredit: