Den 28 januari publicerade ENISA sin årliga hotrapport och i den här artikeln får du läsa en översiktlig sammanfattning av innehållet. Det är en omfattande rapport på hela 139 sidor med ungefär 670 referenser vilket onekligen försvårar en sammanfattning. Hur som helst, första några nyckelinsikter från rapporten.

Nyckelinsikter

  • Cyber Threat Intelligence (CTI) är det nya och får oerhört mycket utrymme i rapporten.
  • Spännande mognadsmodell för CTI (s.21-23)
  • Rapporten är omfattande, ibland svåröverskådlig och nästan lite väl tung på referenser. Nästan bättre att dela upp i olika rapporter?
  • (Spear)Phishing figurerar i princip alla typer av angrepp och utnyttjar allt oftare HTTPS (med legitima certifikat) och även länkar till legitima tjänster (Dropbox, Google Drive, Instagram etc.)
  • Cryptomining är glödhett trots ett fallande BitCoin-pris. Vad händer om vi får en statligt sponsrad eKrona?

Vad som följer härnäst är mina anteckningar från rapporten som jag försökt strukturera i några övergripande avsnitt.

Cyber Threat Intelligence (CTI)

Ett genomgående tema i hela rapporten är CTI. Rapporten inleds med ett helt kapitel om detta och fortsätter sedan att dyka upp titt som tätt. ENISA konstaterar att CTI inom Europa är en bristande förmåga som i mångt och mycket borde betraktas som ett ”public good”. CTI har ett idag alldeles för tekniskt fokus på indikatorer vilket gör det svårt att medvetandegöra det seniora ledarskapet om värdet i dessa.

CTI saknas för mindre organisationer och det är nödvändigt att fundera över hur CTI kan spridas till fler organisationer och företag som kanske inte själva har möjligheten att etablera en sådan förmåga. Det föreslås t.o.m att staten kanske borde kunna erbjuda en grundläggande CTI-förmåga till intresserade företag. Dock ingenting om vad en sådan grundläggande förmåga skulle innebära.

Det jag tar med mig från allt om CTI i rapporten är mognadsmodellen på sidorna 21 till 23. Den tycker jag var riktigt bra och något som borde förvaltas och vidareutvecklas.

Angreppstyper

Rapportens huvudsakliga innehåll fokuserar på alla olika typer av angreppstyper och detta sträcker sig från phishing till supply chain-attacker.

(Spear)Phishing

Den enkla summeringen är att phishing och allt oftare även spear phishing är överlägset den vanligaste typen av initial vektor för att påbörja ett angrepp. Phishing har även skiftat till sociala plattformar, exempelvis facebook messenger och instagram. Det har också blivit allt vanligare att phishing nu även riktas mot företag. APT-grupper använder i princip alltid spearphishing som initial infektions vektor.

Cryptomining

Crypto-mining blev lite av 2018 stora händelse och har i viss utsträckning kunnat korreleras mot priset för ett BitCoin. Samtidigt finns det andra valutor. Med tanke på Riksbankens eKrona-projekt känns det som en uppenbar sak att noga följa och se hur det utvecklar sig. En statligt subventionerad kryptovaluta kommer onekligen bli mycket attraktiv att försöka angripa.

Skadlig kod och skadliga programvaror

Utöver detta är självklart skadlig kod och skadliga programvaror mycket vanliga. Skadlig programvara använder allt oftare krypterad C2-kommunikation, och allt oftare används då legitima krypteringstjänster (tänk Let’s Encrypt). Det finns även observationer om att C2-kommunikation sker över blockchain.

Åtgärderna som föreslås är tämligen intetsägande och mycket breda. det räcker inte med klientskydd utan skyddet måste finnas på alla enheter och nätverksvägar.

Webb-attacker eller webb-baserade angrepp

Web-baserade angrepp har inte förändrats nämnvärt. Browser exploits, drive-by downloads, malicious URL’s och walter holing. Någorlunda nytt kanske är det faktum att CMS:er allt oftare angrips. Plugins till WordPress är det första jag tänker på.

När det gäller angrepp av webb-applikationer så är det SQL-injection som med egen majoritet tar täten tätt följt av local file inclusion och cross-site-scripting.

Aktörer

ENISA sammanställer fem huvudsakliga aktörs-grupperingar; cyber-kriminella, statliga aktörer, hacktivister, cyber-terrorister och script kiddies. De nämner även insiders och corporations.

Det är ofrånkomligen så att allt fler stater använder cyberdomänen för att genomföra kampanjer och operationer med målsättning att inhämta underlag till underrättelser. Banker utsätts allt oftare för statliga, eller statligt sponsrade, angrepp.

Cyber-kriminella står enligt rapporten för 80% av samtliga incidenter. Och i 90% av alla cyberangrepp används e-post.

Åtgärder

På en “politisk”-nivå rekommenderas att regeringar, eu stater och andra eu institutioner börjar träna anställda inom området för CTI. Och eftersom detta är ett “hett” område inom den privata sektorn måste attraktiva erbjudanden kunna lämnas.

Det behöver göras investeringar i teknik och infrastruktur för att bygga förmåga att omhänderta CTI. 

Jag blir så trött på rekommendationerna att vi ska utbilda användarna i att inte trycka på länkar. Internet är byggt för detta. Jag citerar Bruce Schneier. Today, a lot of security advice we give to users just covers for bad security design. We tell people not to click on strange links. But it’s the Internet; clicking is what links are for.”