2017 Global Threat Intelligence Report

2017 Global Threat Intelligence Report
Huvudresultat
Huvudresultat
Globala resultat
Nätfiskeattacker låg bakom hela 73 procent av alla
skadliga program som distribuerades till företag och
organisationer.
Teckenförklaring
Fokus på användarens påverkan
Fokus på teknologins påverkan
Nästan 30 procent av alla attacker som upptäcktes i
världen riktades mot slutanvändarteknik som Adobes
produkter, Java och Microsoft Internet Explorer.
De tre teknologier som återfanns på slutanvändarnas
datorer och som flest attacker riktades mot under året
var Adobe Flash Player, Microsoft Internet Explorer och
Microsoft Silverlight.
Bara 13 procent av aktiviteter härledda till exploit kit som
upptäcktes under året inträffade under det tredje kvartalet
2016, vilket visar att sådana aktiviteter minskade stadigt
under året.
77 procent av all identifierad ransomware gällde fyra
branscher: företagstjänster och konsulter (28 procent),
myndigheter (19 procent), hälso- och sjukvård (15 procent)
samt detaljhandeln (15 procent).
Finansbranschen var den enda som fanns med bland
”de tre mest angripna branscherna” i samtliga sex
geografiska regioner som analyserades. Den näst
vanligaste angripna branschen var tillverkningsindustrin,
som fanns med bland de tre mest angripna i fem av de
sex regionerna. Ingen annan bransch var med bland de
tre mest utsatta fler än två gånger.
25 lösenord stod för nästan 33 procent av alla
autentiseringsförsök mot NTT Securitys honeypots.
Drygt 76 procent av alla inloggningsförsök inbegrep ett
lösenord man vet har implementerats i IoT-botnätet Mirai.
Globalt stod överbelastningsattacker (DDoS) för mindre än
sex procent av alla attacker, men DDoS-attacker stod för
över 16 procent av alla attacker från Asien och 23 procent
av alla attacker från Australien.
Resultat i EMEA
IP-källadresser i EMEA stod för 53 procent av världens
alla nätfiskeattacker. Enbart Nederländerna stod för över
38 procent av allt nätfiske som identifierats.
Copyright 2017 NTT Security
Fokus på generell påverkan
I EMEA stod tre branscher i centrum för 54 procent av alla
attacker: finansbranschen (20 procent), tillverkningsindustrin
(17 procent) samt detaljhandeln (17 procent).
Av alla attacker som riktades mot EMEA stod USA
(26 procent), Frankrike (11 procent) och Storbritannien
(10 procent) för de flesta.
45 procent av alla brute force-attacker som riktades mot
EMEA hade även sitt ursprung där.
NTT Security identifierade fler brute force-attacker
med ursprung i EMEA (45 procent) än från Nordoch Sydamerika (20 procent) och Asien (7 procent)
sammantaget.
Honeypots är system som fungerar som lockbeten.
De är specialbyggda för att dra till sig angripare och
samlar in information från cyberattacker som är riktade
mot honeypots.
Mirai är ett specifikt botnät som består av enheter från
sakernas internet (IoT). Ett botnät är ett nätverk med
system som fjärrstyrs. Mirai användes för att utföra vad
som på den tiden var de största DoS-attackerna någonsin.
En DoS-attack är en störtflod av meddelanden som är
avsedda att göra det utsatta systemet obrukbart.
P2P – Peer to peer-trafik innebär kommunikation direkt
mellan datorer utan någon central server eller hubb som
mellanhand. Tekniken används ofta för fildelning.
bash är en kommandotolk som används för att underlätta
datoradministration.
2
Huvudresultat
Drygt 67 procent av de skadliga program som
identifierades i EMEA var någon sorts trojan.
Resultat i Nord- och Sydamerika
Klienter i Nord- och Sydamerika stod för nästan 99 procent
av den utgående P2P-trafiken. Program som BitTorrent,
Hola VPN och Groove Virtual Office identifierades.
Resultat i Japan
I Japan var tre branscher offer för 83 procent av alla
attacker: tillverkningsindustrin (41 procent), media
(26 procent) samt finansbranschen (16 procent).
Japan var den enskilt största källan till botnätaktivitet och
stod för nästan 48 procent av all sådan aktivitet.
Efter USA (54 procent) bar Kina (17 procent) ansvaret för
fler attacker riktade mot klienter i Nord- och Sydamerika
än något annat land.
Knappt 44 procent av de skadliga program som
identifierades i Japan var någon sorts spyware eller
keylogger.
I Nord- och Sydamerika var tre branscher offer för
58 procent av alla attacker: tillverkningsindustrin
(23 procent), utbildningssektorn (20 procent) samt
finansbranschen (15 procent).
Skadliga program låg bakom 82 procent av alla kritiska
incidenter i Japan.
Skadliga program, som förekom i nästan 15 procent av
alla attacker, var den vanligaste formen av identifierade
attacker i Nord- och Sydamerika.
Resultat i Asien
I Asien stod två branscher i centrum för 78 procent
av alla attacker: finansbranschen (46 procent) och
tillverkningsindustrin (32 procent).
Skadliga program var den främsta attacktypen med Asien
både som källa (29 procent) och som mål (12 procent).
Omkring 60 procent av alla globala upptäckter av Mirai
hade IP-källadress i Asien.
Resultat i Australien
I Australien stod tre branscher i centrum för 81 procent av
alla attacker: finansbranschen (34 procent), detaljhandeln
(27 procent) samt företagstjänster och konsulter (20 procent).
Resultat från incidentåtgärder
Mer än 60 procent av alla incidentåtgärder hade med
nätfiskeattacker att göra.
Incidentåtgärder relaterade till ransomware var de enskilt
vanligaste (22 procent).
Hälften av alla incidenter inom hälso- och
sjukvårdsorganisationer var relaterade till ransomware.
59 procent av all alla incidentåtgärder gällde fyra
branscher: hälso- och sjukvården (17 procent),
finansbranschen (16 procent), företagstjänster och
konsulter (14 procent) samt detaljhandeln (12 procent).
32 procent av alla organisationer i världen hade en formell
incidenthanteringsplan. Detta är en ökning från tidigare
års genomsnitt på 23 procent.
56 procent av alla incidenter inom finansbranschen var
relaterade till skadliga program.
Drygt 93 procent av de skadliga program som
identifierades i Australien var någon sorts trojan.
Drygt 70 procent av alla applikationsattacker mot mål i
Australien bestod av försök att fjärrexekvera kod.
Över 50 procent av alla applikationsattacker i Australien
var riktade mot bash.
Copyright 2017 NTT Security
3
Globalt fokus
Främsta källor till
attacker:
Mest utsatta
sektorer:
Främsta
attackkategorier:
USA (63%)
Myndigheter (14%)
Attacker mot webbapplikationer (16%)
Storbritannien (4%)
Finansbranschen (14%)
Tjänstespecifika attacker (8%)
Kina (3%)
Tillverkningsindustrin (13%)
Applikationsspecifika attacker (6%)
Övriga länder (30%)
Övriga sektorer (59%)
DoS/DDoS (6%)
Övriga kategorier (64%)
Cyberhot påverkar nu de flesta företags och organisationers resultat. Utvecklingen börjar ta form,
och det är absolut nödvändigt att företagsledning och beslutsfattare är väl medvetna om att
1.Den explosiva tillväxten av endpointenheter, som mobiloptimerade applikationer, jämte sakernas
internet (IoT), operativ teknologi (OT) och adopteringen av molntjänster ökar komplexiteten och
medför ytterligare risker.
2. Fienden har gott om pengar och fortsätter att finslipa sina attackmetoder.
3. Nya dataskyddslagar och förordningar gäller oavsett geopolitiska gränser.
NTT Security har märkt att företagsledningar blivit mer proaktiva och tilldelar resurser utifrån specifika
affärsrisker. Företag och organisationer inrättar yttre försvarsverk, investerar i Threat Intelligence och
utökar sin kapacitet att hantera cyberhot. Ledningen är medveten om att det finns en möjlighet att
företagssystemet kan råka ut för dataintrång, och förbereder sig på det. VD:ar världen över börjar inse
att de måste ha en plan på plats. Genom att vara förberedd och ha en testad åtgärdsplan kan man, i
kombination med Threat Intelligence man kan agera på, begränsa effekten av ett dataintrång, och det
rättfärdigar även tydligt planen ur affärsperspektiv. Eventuella investeringar i Threat Intelligence måste
medföra relevant, korrekt, läglig, begriplig och användbar information om de ska vara väl använda.
Företagsledningen måste ställa sig denna fråga: Hur stärker denna plan företagets säkerhetsnivå?
Jun Sawada (VD för NTT Security)
Copyright 2017 NTT Security
4
Globalt fokus
Främsta källor bakom nätfiske:
41%
USA
5%
Frankrike
Främsta mål för nätfiske:
38%
Nederländerna
Främsta incidentåtgärder är relaterade till:
1
Myndigheter (65%)
1
Ransomware (22%)
2
Företagstjänster och konsulter (25%)
2
Dataintrångsutredningar (22%)
3
Skadliga program (18%)
Främsta sektorer med stöd för incidenthantering:
1
Hälso- och sjukvård (17%)
2
Finansbranschen (16%)
3
Företagstjänster (14%)
4
Detaljhandeln (12%)
Copyright 2017 NTT Security
32%
Andelen organisationer som har en incidenthanteringsplan:
5
Fokus på Europa, Mellanöstern
och Afrika (EMEA)
Främsta tjänster som används
vid attacker mot EMEA:
Främsta attackkategorier
med ursprung i EMEA:
Främsta attackkategorier
riktade mot EMEA:
Filresurser (45%)
Attacker mot webbapplikationer (22%)
Attacker mot webbapplikationer (19%)
Webbplatser (32%)
Applikationsspecifika attacker (17%)
Applikationsspecifika attacker (15%)
Fjärradministration (17%)
Brute force (11%)
DoS/DDoS (9%)
Övriga tjänster (6%)
Övriga kategorier (50%)
Övriga kategorier (57%)
För att kunna fatta specifika och strategiskt genomtänkta affärsbeslut hittar våra kunder sätt
att mäta sin säkerhetsnivå genom att göra IT-säkerheten mer synlig, mätbar och ansvarig.
Alla vet vi att ingen säkerhetsplan är bombsäker, och att det alltid kommer finnas en viss
exponeringsnivå, men det är viktigt att fastställa en acceptabel risknivå. Våra kunder börjar inse
att varje medarbetare ingår i organisationens säkerhetsteam, och företagen har nu begripit värdet
av utbildning i säkerhetsmedvetenhet. De vet att utbildning av slutanvändarna har ett direkt
samband med uppdraget: att säkra företaget. Att utöka utbildningen i säkerhetsfrågor och se
till att medarbetarna följer samma metoder, har samma praxis och inställning, är viktiga inslag.
Kunderna inser att organisationens sammantagna säkerhetsnivå bara kan öka om de hjälper och
coachar sina medarbetare (slutanvändare) om hur de ska använda teknologi på bästa sätt.
De flesta organisationers kontaktytor mot omvärlden har ökat genom användningen av mobiler,
fjärråtkomst, molntjänster, virtualisering och andra teknologiska framsteg. Dynamiken av att
låta användarna komma åt nätverken via en mängd olika typer av enheter och applikationer har
tvingat företagen att anpassa sin IT-säkerhetspraxis. Företagen måste veta vilka slutanvändarna
är, vilka roller de har och vad de bör ha tillgång till. De måste nu investera i robust autentisering,
rollbaserad åtkomst och så småningom skärpa auktoriseringsrutinerna.
Frank Brandenburg (operativ chef och regional VD för NTT Security)
Copyright 2017 NTT Security
6
Fokus på Europa, Mellanöstern
och Afrika (EMEA)
Främsta regioner som attackerar EMEA:
26%
USA
10%
11%
Storbritannien
Främsta tjänster som används vid attacker mot EMEA:
Frankrike
Främsta typer av skadlig programvara från EMEA:
1
Filresurser (45%)
1
Trojan/Dropper (67%)
2
Webbplatser (32%)
2
Virus/Mask (15%)
3
Fjärradministration (17%)
38%
53%
Copyright 2017 NTT Security
av globala nätfiskeattacker kommer
från Nederländerna.
av globala nätfiskeattacker kommer
från EMEA.
7
Fokus på Europa, Mellanöstern
och Afrika (EMEA)
2016 i korthet:
Nu när EU:s allmänna dataskyddsförordning har beslutats
(27 april 2016) och börjar gälla (25 maj 2018) måste alla
organisationer som tillhör EU-medborgare och som behandlar
data kunna visa att processerna är lagliga och att de använder
robusta informationssäkerhetsåtgärder. Med kraftiga böter
och allvarliga skador på ryktet i vågskålen måste företagen
omedelbart hantera sina risker på det här området.
Detta omfattar begränsningar som kunder inför i fråga om
”datahemvist” – principen att uppgifterna måste lagras och
hanteras där de samlas in och används. Detta har tvingat
tjänsteleverantörerna att utvecklas. Flexibiliteten med molnet
och globalt anlitade, managerade tjänsteleverantörer i
kombination med kundernas behov av att behålla datalagringen
och databehandlingen inom sina respektive nationsgränser
innebär att utvecklingen av innovativa säkerhetslösningar
är nödvändig för att stoppa både avsiktligt och oavsiktligt
dataläckage över nationsgränser.
26%
10%
Storbritannien
USA
Regelefterlevnad
och certifiering av internationella
erkända
Detta arbete har ökat medvetenheten om IT-säkerhet till den
grad att företag och organisationer vidtar omfattande åtgärder.
I december 2016 samarbetade Europol, amerikanska FBI och
den tyska polisen med många andra polismyndigheter för att
avbryta aktiviteterna som rörde Avalanche-kampanjen. Den
gemensamma insatsen ledde till en samordnad stängning av
fler än 800 000 skadliga webbplatser och domäner och hindrade
angriparna från att komma åt de skadliga systemen. Denna typ
av aktivt samarbete är nödvändig om vi vill att åtgärderna ska ha
långsiktig effekt på den globala IT-säkerheten.
Behovet av denna typ av samarbete är inte mer uppenbart
än det är att förhindra och hantera nätfiskeattacker. Även om
nätfiskeattacker berörde kunder i varje region utmärkte sig
EMEA genom att vara ursprunget till 53 procent av världens
nätfiskeattacker. Av dessa stod IP-adresser i Nederländerna för
38 procent av attackerna.
11%
Frankrike
organ såsom Internationella standardiseringsorganisationens
standard ISO 27001 och andra nationella normerande
säkerhetshanteringsorgan (som den brittiska regeringens
Cyber Essentials-system) har också visat sig förbli ett viktigt
fokusområde i EMEA under 2016.
Om NTT Security
NTT Security är NTT Groups specialiserade säkerhetsföretag. NTT Security levererar säkra och motståndskraftiga lösningar för
att möjliggöra våra kunders behov av digital transformation. NTT Security har tio Security Operations Centres, sju forsknings- och
utvecklingscenter, över 1 500 säkerhetsexperter och hanterar hundratusentals säkerhetsincidenter årligen på sex kontinenter.
NTT Security i Norden kombinerar lokala resurser med global leveranskapacitet och säkerställer att resurser används effektivt genom
att leverera rätt mix av konsulttjänster, managerade tjänster och teknologilösningar. NTT Security ingår i NTT Group (Nippon Telegraph
and Telephone Corporation), ett av världens största företag inom informations- och kommunikationsteknik (IKT). Besök nttsecurity.com
om du vill veta mer.
Copyright 2017 NTT Security
8