Ny månad, ny rapport, ny sammanfattning. Idag är det Trustwave som står för underlaget genom sin Global Security Report. Tanken med dessa sammanfattningar är att försöka plocka ut det mest väsentliga från rapporterna och presentera detta, kanske främst för er som inte känner att ni har tid att läsa men gärna skulle vilja läsa.

Nyckelinsikter

  • Om du säljer något på webben och hanterar, eller accepterar, betalmedel kommer du att utsättas för angrepp. Där det för angriparen luktar kreditkort kommer det också snart finnas ett angrepp.
  • Särskilt utsatta branscher är finans, detaljhandel och hotell/restaurang som tillsammans står för en stor del (39%) av utredda incidenter.
  • Phishing tillsammans med svaga lösenord eller svaga kombinationer av användarnamn/lösenord är mycket vanliga metoder som används av angriparna.
  • Vartannat e-handelsföretaget kommer att få sina webplatser utnyttjade genom kodinjektion.
  • Skadlig kod förekommer givetvis, och är i stor utsträckning kopplad till någon form av kryptovaluta eller insamling av inloggningsuppgifter till finansrelaterade-tjänster. Där det finns pengar att tjäna…

Reflektioner och sammanfattning

Först och främst slås jag av att rapporten är tämligen lättillgänglig. Jämför med Microsoft SIR… den rapporten innehåller bara upprepningar och massor av procentsatser, den känns nästan som att den är automatiskt genererad. Trustwaves-rapport däremot … not so much. Här är det troligen faktiskt människor som skrivit och dragit slutsatser. Kort och gott, rapporten är värd att läsa för den är välskriven.

Vad är då mina slutsatser efter att ha läst rapporten?

Först och främst nämns ingenting om riktade angrepp. Vi kan endast spekulera i varför. Jag lutar åt hållet… det är så djäkla ovanligt, därför ingen rapportering om det.

Jag noterar också att samhällstjänster (utilities) tar plats i rapporten som utsatta. Detta är självklart intressant eftersom det helt avviker från målsättningen att tjäna pengar. Dessvärre ganska lite detaljer om dessa nya procent av incidenter… men det följer onekligen diskursen och hur det politiska snacket rullar.

Personligen tar jag med mig vilka branscher som är mest utsatta och att en klar majoritet av alla intrång är kopplade till hur angripare kan tjäna pengar, enkelt. Det är inga magiska angrepp som knycker obskyra informationstillgångar… utan det handlar allt som oftast om uppenbara saker. Kreditkort, inloggningsuppgifter till banktjänster osv. Där ett givet intrång snabbt kan omsättas till pengar och vinst.

En reflektion är också att metoderna som statliga aktörer använder inte nämnvärt skiljer sig från de av cyberkriminella. Det är phishing som gäller, eller användande av stulna inloggningsuppgifter. Den stora skillnaden ligger väl snarare i att en statlig aktörer har tid på sig och ingenting emot att vänta. Kriminella vill snabbt omsätta sina intrång till pengar och gå vidare.

Ofiltrerade anteckningar

Nedan får du mina helt ofiltrerade anteckningar från rapporten.

Geografi Spridningen över Syd- och Nordamerika, Europa och Asien är ganska jämt fördelad, procentmässigt. Hur detta förhåller sig till antalet företag osv vore kanske intressant att undersöka?
Bransch Retail (18%) och finance (11%) är mest utsatta. Hur mycket “sample-bias” ligger i detta? Vilka är deras kunder? Det vet vi inte.
Bransch Utredningar av Utilities har ökat från 0% till 7%.
Bransch Cirka 39% av alla intrång påverkade branscherna retail, finance eller hospitality. 
Bransch/information Om du, i någon utsträckning, hanterar eller i övrigt behandlar kreditkort kommer du utsättas för angrepp. Det spelar ingen roll om du “skickar vidare” betalningen till PayPal eller någon annan leverantör. Om du har en sida där användaren kan ange uppgifter kommer en angripare också försöka manipulera denna för att användaren ska mata in sina uppgifter och sedan skickas vidare.
Metod Phishing användes i 46% av samtliga utredda incidenter.
Metod Överlag ganska lite e-post innehöll malware (6%). Av all malspam (malware spam) användes i 38% av fallen Excel eller Word-filer, huvudsakligen då genom makron.
Metod 53% av alla utredda incidenter för e-handel omfattas av kodinjektion.
Metod För intrång i företagsnätverk är det phishing/social engineering samt svaga lösenord som gäller. Dessa står tillsammans för mer än 60% av intrången. (Insiders utgör endast 3% av intrången…)
Data/underlag Nytt för det här året är att “cloud” har inkluderats i rapporten då flera intrång gjorts mot så kallade SaaS-leverantörer.
Mål En mycket vanlig uppgift som angriparna försöker komma åt är inloggningsuppgifter för “finance”-relaterade tjänster.
Sårbarheter Visst används sårbarheter, men endast när det finns möjlighet att “skala” upp användandet. Sårbarheter i WordPress är exempelvis eftertraktat eller för andra stora publika programvaror.
PCI-DSS Hjälper! Kollar vi t.ex. på användandet av TLS1.0 så ligger PCI-DSS “anslutna” företag mycket lägre än övriga vilket skulle antyda att kraven från PCI-DSS faktiskt får effekt. Sedan till vilken kostnad och reell riskreducering är en annan fråga…
Skadlig kod Point-of-sale, web shells, formjacking, ransomware, coin miners, RATS, android
Skadlig kod/Script Powershell och PHP representerar tillsammans 39% av den skadliga koden.
Skadlig kod / obfuskering Används förvånande nog inte av hela 33%. 21% använder enklare sträng-manipulation och 16% kör någon form av kryptering.
Skadlig kod / persistens Absolut vanligast är att registrera sig i registret med en autorun.  LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run and HKEY_CURRENT_USER\ Software\Microsoft\Windows\ CurrentVersion\Run
Skadlig kod / exfiltrering Är faktiskt inte så vanligt. Istället ansluter angripare till datorn för att hämta hem det som hittats.