Szinte minden biztonsági cég ad ki negyedéves-éves jelentéseket a kiberbiztonsági tendenciákról. Ezek azonban értelemszerűen nem lehetnek reprezentatívak, hiszen jellemzőn a saját ügyfélkörből (eltérő cégméret, ágazat, terméktípusok stb.) származó adatokra támaszkodnak. Ennek ellenére a főbb tendenciák többé-kevésbé egybeesnek az egyes kutatásoknál. Ez a Sophos 2022-re vonatkozó összesített jelentésére is igaz.

Az elemzés szerint a kibertámadások többségét, közel 70 százalékát továbbra is zsarolóvírussal hajtják végre, míg a maradék zömét a hálózatoki törések (több mint 18 százalék) adják. Az összes többi támadástípus csupán néhány százalékos súllyal szerepel a Sophos statisztikájában.

Ebben nincs különösebben meglepő. A zsarolók jól számítanak, hiszen a megzsarolt szervezetek többsége fizet. Van azonban az elemzésnek egy nagyon érdekes aspektusa: tudniillik hogy miért sikeresek a támadások.

A támadások két leggyakoribb kiváltó oka a kijavítatlan sebezhetőségek és a kompromittálódott hitelesítő adatok voltak. A kiinduló hozzáférést az incidensek 37 százalékában okozta valamilyen foltozatlan sebezhetőség. Ez ugyan 2021-hez képest jobb eredmény (akkor 47 százalékot mértek a kutatók), de lényegében egybeesik az utóbbi három év átlagával (35 százalék): azaz e téren nem sok minden változott.

A támadások közül sokat már azzal is meg lehetett volna előzni, ha időben (azonnal) telepítik a rendelkezésre álló javításokat, írja az elemzés. Volt olyan támadástípus 2022-ben, ahol az incidensek 55 százalékában két olyan sebezhetőséget használtak ki a támadók, amikhez már 2021 áprilisában, illetve az év decemberében elkészült a javítás. Ezek ráadásul nulladik napi sérülékenységeket javítottak, melyek jellemzően nagyobb hírverést is kapnak, mint a menetrendszerűen érkező patch-ek.

Szivárognak a hitelesítési adatok

Szintén gyakori ok a hitelesítő adatok kompromittálása. Ezt használták ki az incidensek 30 százalékában. A probléma összetett, tökéletes védelem erre sincs. Mivel azonban az ilyen támadás például a távoli szolgáltatásnál jellemzően egy érvényes felhasználói fiókkal történő sikeres bejelentkezéssel indul, sokat segít, ha a bejelentkezést többtényezős hitelesítéssel (MFA – multi-factor authentication) védik. Persze nem mindenhol alkalmazható MFA, és a kutatók azt is elismerik, hogy sok esetben nagyon nehéz időben azonosítani, hogy a jogosult felhasználó tevékenységéről vagy IAB-ok (initial access broker) tevékenységéről van-e szó.

Bár csak 17 százalék azoknak a támadásoknak az aránya, melyek okát nem sikerül feltárni, a Sophos kutatói hangsúlyozzák: ezekre kiemelten oda kell figyelni. Ilyenkor ugyanis jellemzően az történik, hogy a forensic vizsgálathoz szükséges bizonyítékok olyan mértékben sérülnek, hogy nem lehet visszakövetni az eseményeket a kiberbűnözők első behatolásáig. És ha az ok ismeretlen, a helyreállítás sem lehet teljes. A szervezet ugyanis nem tudja felderíteni, hogyan jutnak be a támadók, tehát azt sem tudja, hogy mit kell kijavítani, hogy kivédhesse a támadások következő hullámát.