Diese Woche fassen wir den Data Breach Investigation Report von Verizon für das Jahr 2022 und eine kritische Schwachstelle in Confluence zusammen, die derzeit in freier Wildbahn ausgenutzt wird.
Die wichtigsten Ergebnisse des Verizon Data Breach Investigation Report 2022
Seit 2008 führt Verizon den jährlichen Data Breach Investigations Report (DBIR) durch und veröffentlicht ihn. 2022 feiert der Bericht sein 15-jähriges Bestehen. In den vergangenen 15 Jahren hat Verizon fast neun Terabyte an Daten gesammelt, die auf fast 250.000 Sicherheitsverletzungen und fast 1.000.000 einzelne Sicherheitsvorfälle hinweisen. Der Anfang - "nichts ist sicher" - verweistauf die Ungewissheit der Sicherheitsbranche, indem er glaubwürdige Datenanalysen verwendet, darunter schräge Balkendiagramme, Punktdiagramme, Piktogramme und Spaghetti-Diagramme.
Verizon erklärt: "Es gibt vier Hauptwege, die zu Ihrem Anwesen führen : Berechtigungsnachweise, Phishing, Ausnutzung von Schwachstellen, und Botnetze. Alle vier sind in allen Bereichen des DBIR allgegenwärtig, und keine Organisation ist sicher, wenn sie nicht einen Plan hat, um mit jedem von ihnen umzugehen."
Ransomware
In diesem Jahr hat Ransomware seinen Aufwärtstrend mit einem Anstieg von fast 13 % fortgesetzt. Es ist wichtig, sich daran zu erinnern, dass Ransomware zwar allgegenwärtig und potenziell verheerend ist, aber lediglich eine Möglichkeit darstellt, den Zugang eines Unternehmens zu monetarisieren. Das Blockieren der vier oben genannten Schlüsselpfade hilft dabei, die üblichen Wege zu blockieren, die Ransomware nutzt, um in Ihr Netzwerk einzudringen.
Während die Ransomware-Bedrohung drastisch zugenommen hat, sind die wichtigsten Verbreitungsmethoden nach wie vor offensichtlich: Laut Daten von Verizon entfielen 40 % der Vorfälle auf Desktop-Sharing-Software und 35 % auf E-Mails. Diese wachsende Bedrohung mag überwältigend erscheinen, aber die wichtigsten Schritte, die Unternehmen gegen diese Angriffe unternehmen können, sind nach wie vor die Befolgung der Grundlagen: die Sensibilisierung der Endbenutzer für Phishing-Versuche und die Einhaltung bewährter Sicherheitsverfahren. Lesen Sie unsere Dokumentation für Ransomware-Angriff: Was es ist und wie man es verhindern kann.
Bedrohungen der Lieferkette
2021 zeigte, wie ein einziger Zwischenfall in der Lieferkette zu einer Vielzahl von Konsequenzen führen kann. Die Bedrohungsakteure konzentrieren sich stärker darauf, die richtigen Partner und Anbieter zu kompromittieren, was die Auswirkungen vervielfachen kann.
Einbrüche von Kaseya bis SolarWind - ganz zu schweigen von der Log4j-Schwachstelle - betontendie Tatsache, dass die Systeme von Anbietern genauso häufig als Angriffsvektor dienen wie unsere eigenen. Tatsächlich begannen 62 % der Cyberangriffe, die dem Muster des Eindringens in Systeme folgen, damit, dass die Bedrohungsakteure Schwachstellen in den Systemen eines Partners ausnutzten, heißt es in dem Bericht. Laut den Daten von Verizon machen Angriffe auf die Lieferkette zwar immer noch knapp 10 % aller Cybersecurity-Vorfälle aus, die Autoren der Studie weisen jedoch darauf hin, dass dieser Vektor weiterhin einen beträchtlichen Teil aller Vorfälle pro Jahr ausmacht. Das bedeutet, dass es für Unternehmen von entscheidender Bedeutung ist, sowohl ihre eigene Sicherheitslage als auch die ihrer Zulieferer im Auge zu behalten.
Das menschliche Element, Fehler und Fehlkonfigurationen
Das menschliche Element trägt weiterhin zu Sicherheitsverletzungen bei. Social Engineering wurde im vergangenen Jahr zu einem überwältigenden Problem, das den Anstieg wiederholter Cyberkriminalitätstaktiken verdeutlicht : "Das menschliche Element ist weiterhin ein Hauptgrund für 82 % der Sicherheitsverletzungen, und dieses Muster macht einen großen Teil dieser Verletzungen aus." Fehler und Fehlkonfigurationen sind ebenfalls ein großer Trend, der hauptsächlich durch falsch konfigurierten Cloudspeicher beeinflusst wird. Obwohl dieses Muster im zweiten Jahr in Folge leicht abflacht, sollte die Fehlbarkeit von Mitarbeitern nicht außer Acht gelassen werden.
Schließlich werden im DBIR die folgenden Bedrohungsmuster beschrieben, die für die meisten Sicherheitsvorfälle und Datenschutzverletzungen verantwortlich sind: Eindringen in Systeme, Social Engineering, Verweigerung von Diensten, verlorene und gestohlene Vermögenswerte, Missbrauch von Berechtigungen, verschiedene Fehler.
Entfernte Codeausführung in Confluence von Atlassian
Am 2. Juni 2022 veröffentlichte Atlassian einen Sicherheitshinweis für CVE-2022-26134, eine nicht authentifizierte, entfernte OGNL-Injektionsschwachstelle, die zur Codeausführung führt und die Produkte Confluence Server und Confluence Data Center betrifft. Diese Sicherheitslücke wird derzeit in freier Wildbahn ausgenutzt. Alle unterstützten Versionen von Confluence Server und Data Center sind betroffen.
Aufgrund der Art der Schwachstelle sind Confluence-Server, die mit dem Internet verbunden sind, einem sehr hohen Risiko ausgesetzt. Als die Schwachstelle am 2. Juni veröffentlicht wurde, war sie noch nicht gepatcht. Ab dem 3. Juni sind nun sowohl Patches als auch eine temporäre Umgehung verfügbar. Eine vollständige Liste der behobenen Versionen ist im Advisory zu finden. Eine temporäre Umgehung ist ebenfalls verfügbar - beachten Sie, dass die Umgehung manuell angewendet werden muss.
Kommentare