Analysteamet Unit 42 på Palo Alto Networks har släppt en ny rapport som genomlyser dagens hotbild kring attackytan. I nya Attack Surface Threat Report beskrivs molnplattformarnas utveckling och hur detta leder till sårbarheter som ger hotaktörer möjlighet att agera extremt snabbt.
En nyupptäckt sårbarhet kan nu utnyttjas för attacker inom bara några timmar. Följden är att företag och myndigheter får en allt svårare uppgift med att övervaka sina attackytor, tillräckligt snabbt och i den skala som krävs för att möta hotaktörerna i tid. För varje ändring av konfiguration, ny process i molnet eller avslöjad sårbarhet börjar en ny kapplöpning mot angriparna.
De flesta organisationer har i dag problem med att hantera sin attackyta, men vet ofta inte ens om det eftersom de saknar överblick över sina IT-resurser och dess ägare. Några av de allvarligaste luckorna som pekas ut av Unit42 finns i tjänsterna för fjärruppkoppling, vilka förekommer i vart femte av alla de fall på nätet som studerats.
Några viktiga slutsatser i rapporten:
Angriparna agerar allt snabbare
- För dagens angripare tar det bara några minuter att söka genom alla Internetadresser (hela IPv4-adressutrymmet) och leta efter sårbara mål.
- Av de 30 vanligt förekommande sårbarheter som analyserades utnyttjades tre för attacker inom några timmar efter att de blivit kända. 63 procent utnyttjades inom 12 veckor efter avslöjandet.
- Av de 15 sårbarheter för fjärrexekverad kod (RCE) som analyserades av Unit42 blev 20 procent utsatta av ransomware-grupper inom några timmar, och 40% av sårbarheterna utnyttjades inom åtta veckor efter att de blivit kända.
Den största delen av attackytan finns i dag i molnet
- 80 procent av sårbarheterna finns nu i molnmiljöer jämfört med 19% i system med intern IT-drift.
- Nästan 50 procent av allvarliga sårbarheter i molnbaserade system orsakas av ständiga förändringar, där nya molnbaserade tjänster tillkommer och gamla tjänster byts ut i hög takt.
- Över 75 procent av sårbarheterna inom infrastruktur för mjukvaruutveckling återfanns i molnet, vilket gör sådana tjänster och verktyg till särskilt lockande mål för angripare.
Fjärruppkoppling medför omfattande sårbarheter
- I mer än 85 procent av de undersökta organisationerna fanns Remote Desktop Protocol tillgängligt via Internet under minst 25 procent av tiden, vilket gör dem öppna för ransomware-attacker eller obehöriga inloggningsförsök.
- I åtta av de nio branscher som Unit 42 har studerat var RDP-protokollet för fjärruppkoppling känsligt för attacker under minst 25 procent av tiden under en månad.