האַלב-יאָר איבערבליק: די שליסל זיכערהייט און העסקעם טשאַלאַנדזשיז פון 2024 ביז איצט

אין אפריל, די רעגירונג דערציילט אונדז אַז האַלב פון וק געשעפטן האָבן געליטן אַ בריטש אין די פריערדיקע 12 חדשים, רייזינג צו אפילו העכער פֿאַר מיטל (70%) און גרויס פירמס (74%). עס געפונען אַז יקערדיק סייבער-היגיענע, ריזיקירן און צושטעלן קייט פאַרוואַלטונג, און ינסידענט ענטפער זענען נאָך פעלנדיק אין אַ וועריינג גרויס טיילן פון די אָרגאַנאַזיישאַנז.

אָבער וואָס וועגן די לעצטע זעקס חדשים? מיר זענען בלויז האַלב פון די יאָר, אָבער עטלעכע באַטייטיק טעמעס האָבן שוין ימערדזשד וואָס וועט מסתּמא באַהערשן די זיכערהייט און העסקעם דערציילונג פון 2024. אונדזער שפּיץ פינף זענען:

די NVD איז אין קריזיס

עקספּלויטיישאַן פון וואַלנעראַביליטי איז צוריק אין וואָוג. מאַנדיאַנט קליימז 38% פון ינטרוזשאַנז אין 2023 אנגעהויבן ווי דאָס, אַ זעקס-פּראָצענט פונט יערלעך פאַרגרעסערן. דאָס איז שלעכט נייַעס פֿאַר נעץ דיפענדערז ווייַל, אַרגיואַבלי, די וועלט 'ס מערסט וויכטיק מקור פון וואַלנעראַביליטי אינפֿאָרמאַציע - NIST ס נאַשאַנאַל וואַלנעראַביליטי דאַטאַבאַסע (NVD) - איז געווען. יפעקטיוולי געליימט פֿאַר עטלעכע חדשים. ווי אַ סטאַנדערדייזד ריפּאַזאַטאָרי פון ענריטשט CVE דאַטן, עס איז געווארן אַ קריטיש קאָמפּאָנענט פון פילע פירמס אָטאַמייטיד לאַטע און וואַלנעראַביליטי פאַרוואַלטונג פּראַסעסאַז, ווי געזונט ווי זיכערהייט מכשירים. א פּלוצעמדיק סלאָודאַון אין די פּראַסעסינג פון CVEs זינט פעברואר האט לאָזן זיכערהייט טימז סקראַמבאַלינג פֿאַר אָלטערנאַטיוו סייכל קוואלן.

וועריזאָן קליימז אַז דיטעקשאַנז פון וואַלנעראַביליטי עקספּלויטיישאַן ווי אַן ערשט אַקסעס וועקטאָר פֿאַר דאַטן בריטשיז איז געוואקסן מיט 180% יאָר-צו-יאָר (YoY) אין 2023. עס איצט אַקאַונץ פֿאַר 14% פון אַלע בריטשיז - טייַטש אַז זיכערהייט טימז דאַרפֿן צו טראַכטן ערדזשאַנטלי וועגן נאָך קוואלן פון CVE אינפֿאָרמאַציע, ווי די CVE פּראָגראַם, צוזאמען מיט ימפּרוווד סאַקאָנע סייכל און אנדערע טאַקטיק.

ראַנסאָמוואַרע גייט פון שלעכט צו ערגער

צוריק אין יאנואר, די נאַשאַנאַל סייבער סעקוריטי צענטער (NCSC) געווארנט אַז ראַנסאָמוואַרע וואָלט "כּמעט זיכער פאַרגרעסערן די באַנד און פּראַל פון סייבער-אַטאַקס אין די ווייַטער צוויי יאָר". עס סינגגאַלד ראַנסאָמוואַרע פֿאַר ספּעציעל ופמערקזאַמקייט, קליימינג אַז אַי וועט צושטעלן אַ "דערהויבן" צו אַטאַקערז אין געזעלשאַפטלעך ינזשעניעריע און ריקאַנאַסאַנס. אין אנדערע ווערטער, אַי טעכנאָלאָגיע וועט זיין באַשטימט צו אַרבעטן צו שאַפֿן העכסט קאַנווינסינג פישינג אינהאַלט וואָס עס איז שווער צו געפֿינען, און סקאַנינג פֿאַר באַוווסט וואַלנעראַביליטיז אין טאַרגעטעד אָרגאַנאַזיישאַנז. די ISMS שטאַט פון אינפֿאָרמאַציע זיכערהייט באריכט 2024 גילוי אַז 29% פון אָרגאַנאַזיישאַנז האָבן געליטן אַ ראַנסאָמוואַרע באַפאַלן אין די לעצטע יאָר.

עס איז ומקלאָר צי אַי איז שוין געניצט אין דעם וועג. נאָך דעם יאָר, ראַנסאָמוואַרע גרופּעס האָבן שוין אויף די אַפענסיוו, טראָץ אפגעזונדערט ווינס פֿאַר געזעץ ענפאָרסמאַנט אין דיסראַפּטינג. לאָקקביטאון פאָרסינג BlackCat / ALPHV צו צעלאָזן. כעלטקער אָרגאַנאַזיישאַנז האָבן ווידער געווען אויף די ריסיווינג סוף. ערשטער, עס איז געווען יו. עס. פּראַוויידערז טוישן העאַלטהקאַרע און אַרופגאַנג- די ערשטע דערוואַרט צו בוך קאָס איבער $ 1 ביליאָן אין באַציונג צו די באַפאַלן. די NHS ענגלאַנד איז שווער שלאָגן נאָך די Qilin ראַנסאָמוואַרע שפּאַנונג גענומען אַ סאַפּלייער. עס טכילעס געצווונגען די קאַנסאַליישאַן פון איבער 800 פּלאַננעד אַפּעריישאַנז און 700 אַפּוינטמאַנט אַפּוינטמאַנץ.

געגעבן אַז ראַנסאָמוואַרע אַקטערז נאָך יוזשאַוואַלי דערגרייכן זייער ענדס דורך לעפיערעך סטרייטפאָרווערד באַפאַלן וועקטאָרס (RDP קאָמפּראָמיס, פישינג, וואַלנעראַביליטי עקספּלויטיישאַן), עס סימז ווי אָרגאַנאַזיישאַנז דאַרפֿן צו פאָרזעצן פאָוקיסינג אויף באַקומען די באַסיקס רעכט צו בלייבן זיכער.

עדזש דיווייסאַז נעמען אַ באַטערי

דער ברעג איז די נייַע גרענעץ אין שטאַט-באצאלטע סייבער-אַטאַקעס. די NCSC איז געווען איינער פון די ערשטע צו סיגנאַל אַ ווארענונג דעם יאָר, פאָדערן אַז סאַקאָנע אַקטערז ינקריסינג זייער טאַרגאַטינג פּערימעטער-באזירט פּראָדוקטן (ווי טעקע אַריבערפירן אַפּלאַקיישאַנז, פירעוואַללס, וופּן און מאַסע באַלאַנסערז) נאָך ימפּרווומאַנץ אין די פּלאַן פון קליענט ווייכווארג. זיי זענען אַ שליימעסדיק ציל, ווייַל קאָד איז ווייניקער מסתּמא צו זיין זיכער דורך פּלאַן ווי קליענט ווייכווארג, וואָס מאכט זשוק עקספּלויטיישאַן גרינגער, און עס איז אַ פעלן פון עפעקטיוו לאָגינג אויף ברעג דעוויסעס, די NCSC קליימד.

מיר האָבן געזען אַ צונאַמי פון ראַנסאָמוואַרע און סייבער-שפּיאָן אנפאלן אין די לעצטע זעקס חדשים ווי אַ רעזולטאַט, אַרייַנגערעכנט מאַסע עקספּלויטיישאַן פון Ivanti קאָננעקט זיכער און פּאָליטיק זיכער טויערן, פאָרטיגאַטע דעוויסעס, און אַ ירושה F5 BIG-IP אַפּפּליאַנסע. א פריש אַקשאַן 1 באַריכט אנטפלעקט אַ רעקאָרד עקספּלויטיישאַן קורס פֿאַר מאַסע באַלאַנסערז פון 2021-23, בשעת אן אנדער פאַרקויפער קליימד די נומער פון CVEs לינגקט צו ברעג באַדינונגס און ינפראַסטראַקטשער רויז 22% צווישן 2023 און YTD 2024.

די NCSC ערדזשיז אָרגאַנאַזיישאַנז צו באַשטימען פון לאָקאַל צו וואָלקן-כאָוסטיד פּערימעטער פּראָדוקטן און נוצן פירעוואַללס צו פאַרשפּאַרן קיין אַניוזד "ינערפייסיז, פּאָרטאַלס ​​​​אָדער באַדינונגס פון אינטערנעט-פייסינג ווייכווארג".

עפֿן מקור ריסקס שנייקויל

די ריסקס פון ניצן אָפֿן מקור ווייכווארג האָבן שוין פארשטאנען פֿאַר עטלעכע מאָל. סאַקאָנע אַקטערז ינקריסינגלי באַהאַלטן מאַלוואַרע אין דריט-פּאַרטיי קאַמפּאָונאַנץ און שטעלן עס אין באַאַמטער ריפּאַזאַטאָריז אין דער האָפענונג אַז אַ צייט-נעבעך דעוועלאָפּער דאַונלאָודז זיי. אָבער, אין אפריל, אַ אפילו מער סאַקאָנע סאַקאָנע איז אַנערטט נאָך אַ אַקסאַדענטאַל ופדעקונג: אַ סאַפיסטאַקייטיד יאָרן-לאַנג מי צו ינפילטרירן און ימפּלאַנט באַקדאָר מאַלוואַרע אין אַ פאָלקס אָפֿן מקור קאָמפּאָנענט באקאנט ווי xz Utils. די גרופּע הינטער די סכעמע איז געווען גרויס צו באַהאַלטן זייער בייזע טעטיקייט בשעת סאָושאַלי ינזשעניעריע דער אָריגינעל מאַינטערער, ​​Lasse Collin, צו ברענגען זייער דעוועלאָפּער פּערסאָנאַ אויף ברעט ווי אַ 'טראַסטיד' מיטארבעטער.

די שלעכט נייַעס פֿאַר זיכערהייט טימז איז אַז קייפל קאָפּיקאַט השתדלות זענען זינט דיסקאַווערד, פּאַטענטשאַלי כינטינג אויף אַ גראָוינג קריזיס פֿאַר אָפֿן מקור. עטלעכע 79% פון די ריספּאַנדאַנץ פון ISMS.online גערעדט צו זאָגן זייער געשעפט איז ימפּאַקטיד אין די לעצטע יאָר דורך אַ זיכערהייט אינצידענט געפֿירט דורך אַ דריט-פּאַרטיי פאַרקויפער אָדער צושטעלן קייט שוטעף. פאָרויס, גרויס דורכקוק פון ווייכווארג צושטעלן קייטן, אַרייַנגערעכנט ביללס פון מאַטעריאַלס (SBOMs), רעגולער וואַלנעראַביליטי סקאַנינג און מער שטרענג גאַווערנאַנס פּאַלאַסיז וועט זיין דארף.

קאָמפּליאַנסע טשאַלאַנדזשיז צעשפּרייטן

צו פאַלש ציטירן בנימין פרענקלין, גאָרנישט אין דער וועלט איז זיכער אַחוץ פֿאַר טויט, טאַקסיז און נייַ העסקעם מאַנדייץ. אַזוי 2024 האט פּראָווען, מיט די קאַטער פון די אי.יו. איי אקטצו נייַ IoT זיכערהייט אקט אין די וק, פּראַפּאָוזאַלז פֿאַר נייַ וק דאַטאַסענטער זיכערהייט כּללים, אַ EU סייבערסעקוריטי סערטאַפאַקיישאַן סכעמע, און מער דערצו. אָרגאַנאַזיישאַנז אויך געזען די העסקעם טערמין פֿאַר PCI DSS 4.0 פאָרן אין מאַרץ און זענען איצט פאַרנומען מיט פּריפּערינג פֿאַר 2 ני.

פילע זענען סטראַגאַלינג מיט די ווערקלאָוד. ISACA פאָרשונג קליימז אַז פּריוואַטקייט מגילה, ספּעציעל, זענען אַנדערפאַנדאַד און אַנדערסטאַפעד. לעגאַט מכשירים און פּראַסעסאַז זענען אויך נישט העלפּינג.

העסקעם מיט די בעסטער פּראַקטיסיז אין די ינדאַסטרי קענען בויען אַ שטאַרק יסוד פֿאַר דיליווערינג רעגולאַטאָרי העסקעם מגילה אין געביטן ווי אינפֿאָרמאַציע זיכערהייט (ISO 27001) און AI (ISO 42001). אבער בשעת ISMS.online געפינט אַז 59% פון אָרגאַנאַזיישאַנז פּלאַן צו פאַרגרעסערן ספּענדינג אויף אַזאַ מגילה אין די קומענדיק יאָר, קימאַט האַלב (46%) זאָגן עס נעמט 6-12 חדשים צו נאָכקומען מיט ISO 27001. נאָך 11% פאָדערן אַז עס נעמט 12 -18 חדשים. מיט די רעכט גאַנג פון ינטואַטיוו און פאַר-קאַנפיגיערד מכשירים, עס זאָל נישט זיין אַזוי שווער.