2022年Verizon DBIRによる主要なサイバーターゲット
Verizon 2022データ侵害調査レポート(DBIR)によると、多くの人が言うこととは逆に、侵害の75%は外部からの攻撃によるものです。個人識別情報(PII)や認証情報は最も狙われるデータソースであり、組織が機密性の高いデジタル通信を送信、共有、受信する際にしばしば悪用されます。
また、レポートは、多くの攻撃において、コンプライアンス規制によって管理されることが多いプライベートデータが悪意のある攻撃者の標的であることを発見しました。さらに、報告された侵害の82%は、盗まれた認証情報、フィッシング、悪用、または単純なエラーに起因することが明らかになっています。
以下の議論では、これらの要素と機密コンテンツ通信との関連性について掘り下げます。
レポートにおけるデータインシデントと侵害の発見の概要
過去1年はサイバー攻撃に関して多くの面で特異な年であり、被害者(攻撃を受けた者)や悪意のある攻撃者(攻撃を行った者)に関する広く報道された話題で満ちていました。金融、医療、エネルギー、公共事業、政府、製造業、ライフサイエンスなど、さまざまな業界の組織がランサムウェアやサプライチェーン、その他の攻撃の影響を受けました。サプライチェーンはサイバー犯罪者や悪意のある国家の標的となり続けており、その理由は明白です。悪意のある攻撃者がハッキングされた組織のネットワーク、アプリケーション、コンテンツだけでなく、その下流のサプライチェーンパートナーにもアクセスできると、成功した侵害は10倍、100倍、さらには1,000倍にも増加します。
Verizonの調査によれば、インシデントと侵害に関連する4つの経路は、認証情報、フィッシング、脆弱性の悪用、ボットネットです。どの組織もこれら4つを避けることはできず、セキュリティリスク管理計画にはこれら4つの領域を含める必要があります。認証情報は、全体のインシデントと侵害の約50%を占め、フィッシングが20%弱、脆弱性の悪用が10%未満、ボットネットが1%未満です。
攻撃ベクトルに関しては、Verizonのランサムウェアは2022年に深刻な問題であり、過去5年間の合計と同じくらいの増加(現在25%の増加)を示し、ほぼ13%の上昇傾向にあります。マルウェアはVerizon DBIRの創設以来の主力であり、2022年も例外ではなく、データ侵害の30%以上がマルウェアによって引き起こされました。
ランサムウェア攻撃の種類に関しては、盗まれた認証情報とマルウェアが最大の懸念事項でした。サイバー攻撃者がランサムウェアを好む理由の一つは、特定のデータタイプや特定の価値を持つデータを探す必要がなく、関連するデータを暗号化することで重要な組織機能を無効化するだけで済むからです。ランサムウェアが標的とするアプリケーションの種類については、40%がデスクトップ共有ソフトウェアに関与し、35%がメールに関与していました。
過去1年のニュースを考慮すると、外部からの侵害の4分の3は、攻撃者がサプライチェーンのリンクを悪用したために発生しました。同時に、システム侵入に関与するインシデントの62%がサプライチェーンに関連していました。最後に、サイバー犯罪者はしばしば金銭を動機としていますが、国家の脅威アクターは多くの場合、身代金要求をスキップし、単にアクセスを維持することを目的としています。
悪意のある攻撃者が狙うもの—メールサーバー、Webアプリケーション、コンテンツタイプ
サイバー犯罪者や悪意のある国家が最も頻繁に狙うデータの種類は、認証情報と個人データです。認証情報は、システムやアプリケーション上で正当なユーザーとして振る舞うために使用できるため、悪意のある攻撃者にとって好ましいデータターゲットです。また、彼らにステルス性を提供し、攻撃するまで検出されません。認証情報の窃盗は長期的な影響を持ち、ハッキングされた認証情報は長期間ダークネットに残り続けます。つまり、「与え続ける贈り物」となります。
個人データ、または個人識別情報(PII)は、外部の悪意のある攻撃者だけでなく、悪意のある内部者のターゲットでもあります。後者の場合、医療データが22%のケースで盗まれました。そして、医療業界がデータ侵害において他のすべての業界を上回っていることを考えると、この統計は納得がいきます。
脆弱性とデータ侵害を発見するのに必要な時間
DBIRはまた、データを成功裏に悪用するまでにかかる攻撃の平均時間を調査しました。多くの侵害がほんの数ステップで行われたことを発見したのは少し驚きでした。フィッシング、ダウンローダー、ランサムウェアが最も頻繁な攻撃手法であり、5つ以上の異なる戦術が使用されることはまれでした。ここで、攻撃者は自分が最も得意とする戦術に引き寄せられ、それに固執するようです。さらに、Verizonは、攻撃者が多くのアクションを取るほど、防御者が対応し、検出し、データが流出する前に侵害を修正する機会が増えることを発見しました。しかし、同時にVerizonは、脆弱性の潜在的なポイントが増えるため、リスクが高まることを指摘しています。これに対応して、サイバーリスク管理は、機密情報を維持し、脆弱性が悪用されるのを防ぐために、すべての組織のセキュリティ戦略の最前線にあるべきです。
Webアプリケーションとメールサーバー
Webアプリケーションはサイバー攻撃者にとって主要なターゲットであり、セキュリティインシデントの約70%を占めています。盗まれた認証情報はそれらにアクセスするための主要な手段であり(80%以上)、Webアプリケーション攻撃のうち、PIIと個人健康情報(PHI)が中心にありました。データ侵害の69%がPIIを含み、医療データ(PHIを含む)は15%のケースで含まれていました。
次にターゲットとなる資産はメールサーバー(約20%)です。ターゲットにされた場合、80%が盗まれた認証情報で侵害され、30%が何らかの形での悪用を使用して侵害されました。この30%は非常に高い数字ではないように思えるかもしれませんが、悪用を使用したメールサーバーのターゲットは昨年の3%から劇的に増加しました。
多くの人は、これらのタイプの攻撃が主にインターネットをスキャンして弱い認証情報を探す起業家精神に富んだ犯罪者の仕業だと考えるかもしれません。しかし、悪意のある国家も同じアプローチを使用します。これは低コストで高い利益をもたらし、データ侵害の20%がスパイ活動に起因しています。
設定ミスのエラー: PIIが最前線に
設定ミスはデータ侵害の約10%を占めており、従業員が主な原因です。クラウドデータは脆弱性の最前線にあります。これは驚くべきことではなく、クラウドの導入はしばしば適切なアクセス制御がないまま行われるためです。プライベートデータの誤配信も要因であり、多くの場合、メールが誤った受信者に送信されます。最後に、顧客に属するPIIがこれらのデータインシデントと侵害に最も頻繁に関与しています。
セキュリティインシデントがデータ侵害を引き起こしたかどうかを判断することは、実際には90%のケースで困難です。これは、データがどこで侵害されたかを判断するのが難しいためです。DBIRの発見の中で、医療業界はデータ侵害を持つ組織の大部分を占めています。Verizonの調査チームは、PHIの取り扱いに関するより厳しいコンプライアンス規制が、組織がそのようなインシデントを報告する可能性を高めていると推測しています。
データ侵害を軽減するためのガバナンスコントロールとセキュリティの重要性
サードパーティリスク管理は、組織が特に注意を払う必要がある分野です。DBIRのトップアクションベクトルを見てみると、サードパーティ(パートナー)がリストのトップに立っています。ここでのセキュリティとコンプライアンスのための適切なガバナンスの導入が重要です。PII、PHI、財務記録、機密企業情報を含む機密コンテンツには、適切なガバナンストラッキングとコントロールが必要です。
それを念頭に置いて、組織は誰が情報にアクセスできるか、誰がそれを共同作業し変更できるか、誰に送信できるか、どの通信チャネルとデバイスを介して送信されるかを制御する必要があります。これを怠ると、サプライチェーン全体に影響を及ぼす重大なサードパーティリスクを生む可能性があります。この点で、サプライチェーン侵害が発生した場合、二次的な侵害被害者は急速に増加し、数百または数千の組織と数十万または数百万の個人に影響を与える可能性があります。
Kiteworksプラットフォームを使用すると、組織はプライベートコンテンツネットワークを作成し、プライベート情報のデジタル共有、送信、受信のためのセキュリティとコンプライアンスポリシーを中央で定義および管理できます。ガバナンスコントロールには、誰がその情報にアクセスできるか、誰がそれを変更できるか、誰に送信できるかなどが含まれます。そして、深層防御セキュリティアプローチとコンテンツ定義ゼロトラストを採用し、Kiteworksは強化されたセキュリティと鍵暗号化を使用して、使用される通信チャネルに関係なく、デジタル交換されるプライベートコンテンツへのアクセスをロックします—メール、ファイル共有、マネージドファイル転送、ウェブフォーム、またはアプリケーションプログラミングインターフェース(API)。