Ransomware, hot från leveranskedjan och hur organisationer och deras anställda är sin egen värsta fiende när det kommer till säkerhet är några av de viktigaste inslagen i Verizons årsrapport om de senaste 12 månaderna av cyberattacker.

Smakämnen 2022 Data Break Investigations Report (DBIR) publicerad i tisdags gav några skarpa nyheter för organisationer som strävar efter att säkra sig mot hot som kan resultera i systemkompromettering och förlust av data, resurser, pengar, tid och/eller allt ovanstående.

Forskarna bakom rapporten – Gabriel Bassett, C. David Hylender, Philippe Langlois, Alex Pinto och Suzanne Widup – observerade att de senaste åren har varit "överväldigande" för alla, utan att nämna de uppenbara faktorerna, det vill säga pandemin och starten av kriget i Ukraina precis i hälarna.

Men vad rapportens vårdnadshavare bryr sig mest om är data relaterade till förekomsten av säkerhetsincidenter och intrång – där den förra är en kompromiss av en informationstillgång, och den senare exponeringen av data för obehöriga parter. Och 2021 fann forskare att båda upplevde en aldrig tidigare skådad skjutning.

"Det senaste året har varit extraordinärt på flera sätt, men det var det verkligen
minnesvärd med avseende på cyberbrottslighetens grumliga värld”, skrev de i rapporten. "Från mycket uppmärksammade kritiska infrastrukturattacker till massiva intrång i försörjningskedjan, de ekonomiskt motiverade brottslingarna och smutsiga nationalstatsaktörerna har sällan, om aldrig, kommit ut på samma sätt som de gjorde under de senaste 12 månaderna."

Ransomware här för att stanna

Det fanns få överraskningar bland DBIR:s nyckelfynd för dem som observerade säkerhetslandskapet 2021. Faktum är att vissa resultat verkar överensstämma med vad rapporten har lyft fram sedan starten 2008, observerade en säkerhetsexpert.

"Den viktigaste forskningen av och för cybersäkerhetsbranschen är ute och det känns som filmen GroundHog Day, där vi vaknar upp till samma resultat år efter år sedan den första rapporten 2008," John Gunn, vd för säkerhetsföretaget Tecken, skrev i ett mejl till Threatpost.

Ett fynd som återspeglar ett hot som har ökat till framträdande plats bara de senaste åren, är att Ransomware fortsatte sin uppåtgående trend. Den här typen av cyberbrott – som låser företags data genom intrång och inte kommer att släppa den förrän organisationen betalar en rejäl utpressningssumma – hade en ökning med nästan 13 procent jämfört med föregående år 2021. Uppgången var lika stor som de senaste fem år tillsammans, där förekomsten av ransomware ökade med totalt 25 procent, noterade forskare.

"Ransomwares storhetstid fortsätter och är närvarande i nästan 70 procent av skadeprogramsintrången i år”, skrev de.

Men faktiskt ransomware -grupper ha komma och borta och federala myndigheter har tagit stora framsteg att slå ner På den här typen av cyberbrott är vinsten så lukrativ för brottslingar att den sannolikt kommer att stanna kvar ett tag, konstaterade säkerhetsexperter.

"Ransomware är det överlägset mest tillförlitliga sättet som cyberbrottslingar kan utnyttja på att kompromissa med sina offer", konstaterade Chris Clemens, vice vd för lösningsarkitektur för säkerhetsföretaget Cerberus Sentinel, i ett e-postmeddelande till Threatpost. "Inga andra åtgärder som angripare kan vidta kommer i närheten av den lätthet och omfattning som garanterar en utbetalning från deras verksamhet."

Supply Chain Under Fire

Betydande attacker på försörjningskedjan – där ett intrång inträffar i ett system eller mjukvara som lätt kan spridas över organisationer – som visade bestående återverkningar ökade också i framträdande och förekomst 2021, fann forskare.

"För alla som sysslar med försörjningskedjor, tredje parter och partners har detta varit ett år att minnas", skrev de.

Utan att nämna det vid namn, nämnde Verizon-teamet som ett exempel den nu ökända SolarWinds supply-chain attack som inträffade i slutet av 2020 och fortfarande hade företag som försökte reagera på nedfallet långt in på 2021.

Faktum är att "försörjningskedjan var ansvarig för 62 procent av systemintrångsincidenterna i år", rapporterade forskare. Dessutom, till skillnad från en ekonomiskt motiverad hotaktör, är förövarna av dessa brott ofta statligt sponsrade aktörer som föredrar att "hoppa över intrånget och behålla tillgången", och bibehålla uthållighet på organisationens nätverk under en tid, sa forskare.

Dessa attacker är så farliga eftersom, eftersom attacken kan börja med ett företag men snabbt resa till sina kunder och partners, kan det vara så många offer inblandade, forskare.

Vidare upptäcks ofta intrång som går ner i försörjningskedjan inte förrän långt efter att angripare redan har fått tillgång till en organisations system, vilket gör risken för dataintrång och stöld på lång sikt mer sannolikt.

Fel, mänskligt och annat

Ytterligare två nyckelfynd i rapporten är relaterade till var det yttersta ansvaret ligger – någon inom eller utanför en organisation som gör ett misstag. Faktum är att mänskliga fel fortsätter att vara en dominerande trend för hur och varför intrång uppstår, fann forskare.

"Fel fortsätter att vara en dominerande trend och är ansvarig för 13 procent av överträdelserna", konstaterade forskare. Detta fynd beror främst på felkonfigurerad molnlagring, vilket naturligtvis vanligtvis är den eller de personer som ansvarar för att sätta upp systemets ansvar, sa de.

Faktum är att 82 procent av överträdelserna som analyserades i DBIR 2021 involverade vad forskare kallar "det mänskliga elementet, vilket kan vara hur många saker som helst, sa de.

"Oavsett om det är användningen av stulna referenser, nätfiske, missbruk eller helt enkelt ett fel, fortsätter människor att spela en mycket stor roll i både incidenter och intrång", skrev forskare.

Äldsta risken i boken

Säkerhetsexperter uttryckte föga förvåning över upptäckten av "mänskliga element", vilket är ett som har plågat den tekniska industrin sedan även innan säkerhet och hela branschen runt det var en grej, noterade en säkerhetsexpert.

"Det har varit så sedan början av datorer och kommer sannolikt att vara så i årtionden framöver", konstaterade Roger Grimes, datadriven försvarsevangelist för säkerhetsföretaget KnowBe4, i ett mejl till Threatpost.

Många av de fel som uppstår idag är resultatet av smart social ingenjörskonst från angriparnas sida, särskilt i nätfiskeattacker som lurar människor att klicka på skadliga filer eller länkar som tillåter datoråtkomst eller ger personliga referenser som kan användas för att äventyra företagssystem , han sa.

Det enda sättet att lösa säkerhetsproblem som skapats av mänskliga fel är genom utbildning, oavsett om det handlar om felkonfigurationsfel, vikten av lappning, stulna autentiseringsuppgifter och eller bara "vanliga fel, som när en användare av misstag skickar e-post till fel persondata", sa Grimes.

"Människor har alltid varit en stor del av datorbilden, men av någon anledning har vi alltid trott att bara tekniska lösningar ensamma kan fixa eller förhindra problem", konstaterade han. "Tre decennier av försök att fixa cybersäkerhetsproblem genom att fokusera på allt utom det mänskliga elementet har visat att det inte är en fungerande strategi.