Cyber security threats are growing in frequency, diversity and complexity. Få en snabb och aktuell genomgång av 21 cybersäkerhetshot och hur du får den information du behöver för att förhindra dataintrång och stärka din informationssäkerhet.
I det här inlägget får du veta:
- Vad är cybersäkerhetshot
- 21 cyberhot: DDoS, MitM, social ingenjörskonst med mera
- Gemensamma källor till cybersäkerhetshot
- Trender och utmaningar inom cybersäkerhet
- Hur man prioriterar hot: OWASP:s hotmodell
- Användning av hotinformation för att förebygga hot
- Vad är cybersäkerhetshot?
- Vad är de viktigaste typerna av cybersäkerhetshot?
- Distributed denial of service (DDoS)
- Man-in-the-middle-attack (MitM)
- Sociala ingenjörsattacker
- Malware- och spionprogramsattacker
- Lösenordsattacker
- Advanced persistent threats (APT)
- Källor till cyberhot
- De viktigaste cybersäkerhetsfrågorna och -trenderna
- Topputmaningar inom cybersäkerhet
- Prioritering av cyberhot: OWASP:s hotmodell
- Användning av hotinformation för att förebygga hot
- Lär dig mer om hot mot cybersäkerheten
- Se våra ytterligare guider om informationssäkerhet
- SIEM-säkerhetsguide
- User and entity behavior analytics Guide
- Security Operations Centers Guide
- DLP Guide
- Guide för incidenthantering
Vad är cybersäkerhetshot?
Cybersäkerhetshot återspeglar risken för att drabbas av en cyberattack. En cyberattack är ett avsiktligt och illvilligt försök av en organisation eller en individ att bryta sig in i en annan organisations eller individs system. Angriparens motiv kan vara informationsstöld, ekonomisk vinning, spionage eller sabotage.
Vad är de viktigaste typerna av cybersäkerhetshot?
De viktigaste typerna av cyberhot är:
- Distributed denial of service (DDoS)
- Man in the middle (MitM)
- Social engineering
- Malware och spionprogram
- Passordsattacker
- Advanced persistent threats (APT)
Vi tar upp vart och ett av dessa hot mer ingående nedan.
Distributed denial of service (DDoS)
Syftet med en DoS-attack (Denial of Service) är att överväldiga resurserna i ett målsystem och få det att sluta fungera, vilket innebär att användarna nekas tillgång till systemet. Distributed denial of service (DDoS) är en variant av DoS där angriparna äventyrar ett stort antal datorer eller andra enheter och använder dem i en samordnad attack mot målsystemet.
DDoS attacker används ofta i kombination med andra cyberhot. Dessa attacker kan starta en överbelastningsattack för att fånga säkerhetspersonalens uppmärksamhet och skapa förvirring, samtidigt som de utför mer subtila attacker som syftar till att stjäla data eller orsaka annan skada.
Metoder för DDoS-attacker är bland annat:
- Botnät-system som står under hackarkontroll och som har infekterats med skadlig kod. Angriparna använder dessa botnätverk för att utföra DDoS-attacker. Stora botnät kan omfatta miljontals enheter och kan genomföra attacker i förödande skala.
- Smurf-attack – skickar ICMP-förfrågningar (Internet Control Message Protocol) till offrets IP-adress. ICMP-förfrågningarna genereras från ”spoofade” IP-adresser. Angriparna automatiserar denna process och utför den i stor skala för att överväldiga ett målsystem.
- TCP SYN flood-attack – angriparna översvämmar målsystemet med anslutningsförfrågningar. När målsystemet försöker slutföra anslutningen svarar inte angriparens enhet, vilket tvingar målsystemet att ta timeout. Detta fyller snabbt anslutningskön och hindrar legitima användare från att ansluta sig.
De följande två attackerna är mindre vanliga idag, eftersom de bygger på sårbarheter i internetprotokollet (IP) som har åtgärdats på de flesta servrar och nätverk.
- Teardrop-attack – orsakar att fälten för längd- och fragmenteringsoffset i IP-paket överlappar varandra. Målsystemet försöker rekonstruera paketen men misslyckas, vilket kan leda till att det kraschar.
- Ping of death-attack – skickar ett målsystem med hjälp av missbildade eller överdimensionerade IP-paket, vilket leder till att målsystemet kraschar eller fryser.
Man-in-the-middle-attack (MitM)
När användare eller enheter får åtkomst till ett fjärrsystem via internet, antar de att de kommunicerar direkt med målsystemets server. I en MitM-attack bryter angriparna detta antagande och placerar sig mellan användaren och målservern.
När angriparen har avlyssnat kommunikationen kan han eller hon äventyra en användares autentiseringsuppgifter, stjäla känsliga data och returnera olika svar till användaren.
MitM-attacker inkluderar:
- Sessionskapning – en angripare kapar en session mellan en nätverksserver och en klient. Den angripande datorn byter ut sin IP-adress mot klientens IP-adress. Servern tror att den korresponderar med klienten och fortsätter sessionen.
- Replay-attack – en cyberkriminell tjuvlyssnar på nätverkskommunikation och spelar upp meddelanden vid en senare tidpunkt och låtsas vara användaren. Replay-attacker har till stor del mildrats genom att tidsstämplar läggs till nätverkskommunikationen.
- IP-spoofing – en angripare övertygar ett system om att det korresponderar med en betrodd, känd enhet. Systemet ger därmed angriparen tillträde. Angriparen förfalskar sitt paket med en betrodd värds IP-källadress i stället för sin egen IP-adress.
- Avlyssningsattack – angripare utnyttjar osäker nätverkskommunikation för att få tillgång till information som överförs mellan klient och server. Dessa attacker är svåra att upptäcka eftersom nätverksöverföringar verkar fungera normalt.
Sociala ingenjörsattacker
Sociala ingenjörsattacker fungerar genom att psykologiskt manipulera användare så att de utför åtgärder som är önskvärda för en angripare, eller avslöjar känslig information.
Sociala ingenjörsattacker inkluderar:
- Phishing-attackerare skickar bedräglig korrespondens som ser ut att komma från legitima källor, vanligtvis via e-post. E-postmeddelandet kan uppmana användaren att utföra en viktig åtgärd eller klicka på en länk till en skadlig webbplats, vilket leder till att användaren överlämnar känslig information till angriparen eller utsätter sig för skadliga nedladdningar. Phishingmejl kan innehålla en e-postbilaga som är infekterad med skadlig kod.
- Spear phishing – en variant av phishing där angriparna särskilt riktar in sig på personer med säkerhetsrättigheter eller inflytande, t.ex. systemadministratörer eller högre chefer.
- Homografiska attacker – angriparna skapar falska webbplatser med mycket likartade webbadresser som en legitim webbplats. Användarna går in på dessa falska webbplatser utan att märka den lilla skillnaden i webbadress och kan lämna sina inloggningsuppgifter eller annan känslig information till en angripare.
Malware- och spionprogramsattacker
Anfallare använder många metoder för att få in skadlig kod i en användares enhet. Användarna kan bli ombedda att vidta en åtgärd, t.ex. klicka på en länk eller öppna en bilaga. I andra fall använder skadlig kod sårbarheter i webbläsare eller operativsystem för att installera sig utan användarens vetskap eller samtycke.
När skadlig kod väl är installerad kan den övervaka användarens aktiviteter, skicka konfidentiella uppgifter till angriparen, hjälpa angriparen att tränga in i andra mål i nätverket och till och med få användarens enhet att delta i ett botnät som angriparen utnyttjar i illvilligt syfte.
Sociala ingenjörsattacker inkluderar:
- Trojanskt virus – lurar en användare att tro att det är en ofarlig fil. En trojan kan inleda ett angrepp på ett system och skapa en bakdörr som angriparna kan använda.
- Ransomware – förhindrar tillgång till offrets data och hotar att radera eller publicera dem om inte en lösensumma betalas.
- Malvertising – online-reklam som styrs av hackare och som innehåller skadlig kod som infekterar användarens dator när denne klickar på, eller till och med bara tittar på annonsen. Malvertising har hittats på många ledande nätpublikationer.
- Wiper malware – syftar till att förstöra data eller system genom att skriva över målinriktade filer eller förstöra ett helt filsystem. Wipers är vanligtvis avsedda att sända ett politiskt budskap eller dölja hackaraktiviteter efter dataexfiltration.
- Drive-by downloads – angripare kan hacka webbplatser och infoga skadliga skript i PHP- eller HTTP-koden på en sida. När användarna besöker sidan installeras skadlig kod direkt på deras dator, eller så omdirigerar angriparens skript användarna till en skadlig webbplats som utför nedladdningen. Drive-by downloads förlitar sig på sårbarheter i webbläsare eller operativsystem.
- Falska säkerhetsprogram – låtsas söka efter skadlig kod och visar sedan regelbundet användaren falska varningar och upptäckter. Angriparna kan be användaren att betala för att ta bort de falska hoten från datorn eller för att registrera programvaran. Användare som följer reglerna överför sina ekonomiska uppgifter till en angripare.
Lösenordsattacker
En hackare kan få tillgång till en persons lösenordsinformation genom att ”sniffa” anslutningen till nätverket, använda social ingenjörskonst, gissa sig till eller få tillgång till en lösenordsdatabas. En angripare kan ”gissa” ett lösenord på ett slumpmässigt eller systematiskt sätt.
Angrepp på lösenord inkluderar:
- Brute-force password guessing – en angripare använder programvara för att prova många olika lösenord i hopp om att gissa det rätta. Programvaran kan använda en viss logik för att prova lösenord som är relaterade till personens namn, arbete, familj osv.
- Ordboksattack – en ordbok med vanliga lösenord används för att få tillgång till offrets dator och nätverk. En metod är att kopiera en krypterad fil som innehåller lösenord, tillämpa samma kryptering på en ordbok med vanliga lösenord och jämföra resultaten.
Advanced persistent threats (APT)
När en individ eller grupp får obehörig åtkomst till ett nätverk och förblir oupptäckt under en längre tid kan angriparna exfiltrera känsliga data och medvetet undvika att upptäckas av organisationens säkerhetspersonal. APT kräver sofistikerade angripare och innebär stora insatser, så de lanseras vanligtvis mot nationalstater, stora företag eller andra mycket värdefulla mål.
Källor till cyberhot
När du identifierar ett cyberhot är det viktigt att förstå vem som är hotbildaren, liksom deras taktik, teknik och förfaranden (TTP). Vanliga källor till cyberhot är:
-
- Statsfinansierade cyberattacker – cyberattacker som utförs av länder kan störa kommunikationer, militär verksamhet eller andra tjänster som medborgarna använder dagligen.
- Terrorister – terrorister kan angripa statliga eller militära mål, men ibland kan de också rikta in sig på civila webbplatser för att störa och orsaka bestående skador.
- Industrispioner – organiserad brottslighet och internationella företagsspioner utför industrispionage och penningstölder. Deras främsta motiv är ekonomiskt.
- Grupper av organiserad brottslighet – kriminella grupper infiltrerar system för att vinna pengar. Organiserade kriminella grupper använder nätfiske, skräppost och skadlig kod för att utföra identitetsstölder och bedrägerier på nätet.
- Hackare – det finns en stor global population av hackare, som sträcker sig från nybörjare som använder sig av färdiga verktygslådor för hot, till sofistikerade operatörer som kan utveckla nya typer av hot och kringgå organisatoriska försvarssystem.
- Hacktivister-hacktivister är hackare som penetrerar eller stör system av politiska eller ideologiska skäl snarare än av ekonomiska skäl.
- Illvilliga insiders-insiders utgör ett mycket allvarligt hot, eftersom de har befintlig tillgång till företagets system och kunskap om målsystem och känsliga uppgifter. Insiderhot kan vara förödande och mycket svåra att upptäcka.
- Cyberspionage – är en form av cyberattack som stjäl sekretessbelagda eller känsliga intellektuella data för att få en fördel gentemot ett konkurrerande företag eller en statlig enhet.
De viktigaste cybersäkerhetsfrågorna och -trenderna
I takt med att tekniken utvecklas, ökar också hoten och frågorna som säkerhetsteam ställs inför. Nedan följer några av de viktigaste trenderna och problemen inom cybersäkerhet idag.
Den ökande rollen för artificiell intelligens (AI)
AI är ett tveeggat svärd; det förbättrar säkerhetslösningarna samtidigt som angriparna utnyttjar det för att kringgå dessa lösningar. En del av orsaken till detta är den ökande tillgängligheten till artificiell intelligens. Tidigare var det bara möjligt att utveckla modeller för maskininlärning om man hade tillgång till betydande budgetar och resurser. Nu kan dock modeller utvecklas på personliga bärbara datorer.
Denna tillgänglighet gör AI till ett verktyg som har expanderat från stora digitala kapprustningar till vardagliga attacker. Medan säkerhetsteam använder AI för att försöka upptäcka misstänkt beteende, använder brottslingar det för att skapa robotar som går för mänskliga användare och för att dynamiskt ändra egenskaper och beteenden hos skadlig kod.
Kompetensgapet inom cybersäkerhet fortsätter att växa
Sedan 2018 har det funnits en växande oro över kompetensgapet inom cybersäkerhet. Det finns helt enkelt inte tillräckligt många cybersäkerhetsexperter för att fylla alla tjänster som behövs. I takt med att fler företag skapas och andra uppdaterar sina befintliga säkerhetsstrategier ökar detta antal.
Moderna hot, från klonade identiteter till djupa falska kampanjer, blir allt svårare att upptäcka och stoppa. De säkerhetskunskaper som krävs för att bekämpa dessa hot går långt utöver att bara förstå hur man implementerar verktyg eller konfigurerar krypteringar. Dessa hot kräver mångsidig kunskap om ett stort antal olika tekniker, konfigurationer och miljöer. För att få dessa färdigheter måste organisationer rekrytera experter på hög nivå eller avsätta resurser för att utbilda sina egna.
Hot mot fordonshackning och IoT-hot (Internet of Things) ökar
Mängden data som finns i ett modernt fordon är enorm. Även bilar som inte är autonoma är laddade med en mängd olika smarta sensorer. Detta inkluderar GPS-enheter, inbyggda kommunikationsplattformar, kameror och AI-kontroller. Många människors hem, arbetsplatser och samhällen är fulla av liknande smarta enheter. Till exempel är personliga assistenter som är inbyggda i högtalare smarta enheter.
Data på dessa enheter kan ge brottslingar känslig information. Denna information omfattar privata samtal, känsliga bilder, spårningsinformation och tillgång till alla konton som används med enheterna. Dessa enheter kan lätt utnyttjas av angripare för utpressning eller personlig vinning. Till exempel missbruk av finansiell information eller försäljning av information på den svarta marknaden.
Med fordon i synnerhet är hotet om personlig skada också mycket reellt. När fordon helt eller delvis styrs av datorer har angripare möjlighet att hacka fordon precis som vilken annan enhet som helst. Detta skulle kunna göra det möjligt för dem att använda fordon som vapen mot andra eller som ett sätt att skada föraren eller passagerarna.
Topputmaningar inom cybersäkerhet
Förutom de mer specifika frågor som behandlas ovan finns det också bredare utmaningar som många cybersäkerhetsteam ställs inför. Nedan följer några av de vanligaste aktuella utmaningarna.
Mobila enheter är svåra att hantera och säkra
Även om människor inte har anammat smart teknik fullt ut har nästan alla en mobil enhet av något slag. Smartphones, bärbara datorer och surfplattor är vanliga. Dessa enheter är ofta multifunktionella och används både för arbete och personliga aktiviteter, och användarna kan ansluta enheterna till flera nätverk under dagen.
Detta överflöd och den utbredda användningen gör mobila enheter till ett attraktivt mål för angripare. Att rikta in sig på mål är inget nytt, men den verkliga utmaningen kommer från säkerhetsteam som inte har full kontroll över enheterna. BYOD-policyer (Bring your own device) är vanliga, men dessa policyer omfattar ofta inte intern kontroll eller hantering.
Ofta kan säkerhetsteam endast kontrollera vad som händer med dessa enheter inom nätverksperimetern. Enheterna kan vara föråldrade, redan infekterade med skadlig kod eller ha otillräckliga skydd. Det enda sätt som säkerhetsteam kan ha för att blockera dessa hot är att vägra anslutning, vilket inte är praktiskt genomförbart.
Molnmiljöns komplexitet
Med företag som dagligen flyttar till molnresurser blir många miljöer mer komplexa. Detta gäller särskilt när det gäller hybrid- och flermolnsmiljöer, som kräver omfattande övervakning och integration.
Med varje molntjänst och resurs som ingår i en miljö ökar antalet slutpunkter och risken för felkonfigurering. Eftersom resurserna finns i molnet är de flesta, om inte alla, slutpunkter dessutom Internet-orienterade, vilket ger tillgång till angripare i global skala.
För att säkra dessa miljöer behöver cybersäkerhetsteam avancerade, centraliserade verktyg och ofta mer resurser. Detta inkluderar resurser för skydd och övervakning dygnet runt eftersom resurserna är igång och potentiellt sårbara även när arbetsdagen är slut.
Sofistikerade phishing-exploits
Phishing är en gammal men fortfarande vanlig taktik som används av angripare för att få tag på känsliga data, inklusive inloggningsuppgifter och finansiell information. Tidigare var phishingmejl vaga och utgav sig ofta för att vara myndighetsfigurer med breda användarbaser. Till exempel Facebook eller Netflix. Nu använder sig phishing dock ofta av social ingenjörskonst.
Många människor gör frivilligt stora mängder information om sig själva offentlig, inklusive var de bor och arbetar, deras hobbies och deras varumärkeslojalitet. Angripare kan använda denna information för att skicka riktade meddelanden, vilket ökar sannolikheten för att användarna faller för deras trick.
Statssponsrade attacker
I takt med att en större del av världen övergår till den digitala världen ökar antalet storskaliga och statssponsrade attacker. Nätverk av hackare kan nu utnyttjas och köpas av motsatta nationalstater och intressegrupper för att lamslå statliga och organisatoriska system.
För vissa av dessa attacker är resultaten lätt synliga. Till exempel har många attacker identifierats som inneburit manipulering av val. Andra kan dock gå obemärkt förbi och samlar i tysthet in känslig information, t.ex. militära strategier eller affärsinformation. I båda fallen gör de resurser som finansierar dessa attacker det möjligt för brottslingar att använda avancerade och distribuerade strategier som är svåra att upptäcka och förhindra
Prioritering av cyberhot: OWASP:s hotmodell
Antalet cyberhot ökar snabbt och det är omöjligt för organisationer att förbereda sig för alla. För att hjälpa till att prioritera cybersäkerhetsinsatser har OWASP utvecklat en modell för att utvärdera cyberhot, som sammanfattas enligt följande:
Risk = Likelihood + Impact
Konsultera sannolikheten för ett cyberhot – hur lätt är det för angriparna att genomföra en attack? Finns det några angripare där ute med relevanta färdigheter? Hur sannolikt är det att ni kan upptäcka och minska hotet?
Hänsyn bör dessutom tas till hotets konsekvenser – hur känsliga är de system som sannolikt kommer att påverkas, hur värdefulla och känsliga är de uppgifter som kan gå förlorade, och i allmänhet vad skulle de ekonomiska konsekvenserna eller konsekvenserna för anseendet av en attack vara?
Genom att kombinera sannolikheten med konsekvenserna kan du identifiera hot som är betydande för din organisation och se till att du är skyddad.
Användning av hotinformation för att förebygga hot
Threat intelligence är organiserad, föranalyserad information om attacker som kan hota en organisation. Hotinformation hjälper organisationer att förstå potentiella eller aktuella cyberhot. Ju mer information säkerhetspersonalen har om hotaktörer, deras kapacitet, infrastruktur och motiv, desto bättre kan de försvara sin organisation.
Threat intelligence-system används vanligen i kombination med andra säkerhetsverktyg. När ett säkerhetssystem identifierar ett hot kan det korsrefereras med uppgifter om hotinformation för att omedelbart förstå hotets art, dess allvarlighetsgrad och kända metoder för att mildra eller begränsa hotet. I många fall kan hotinformation hjälpa till att automatiskt blockera hot – till exempel kan kända dåliga IP-adresser matas in i en brandvägg för att automatiskt blockera trafik från komprometterade servrar.
Hotinformation tillhandahålls vanligtvis i form av flöden. Det finns gratis flöden av hotinformation och andra som tillhandahålls av kommersiella säkerhetsforskningsorgan. Flera leverantörer tillhandahåller plattformar för hotinformation som levereras med många hotinformationsflöden och hjälper till att hantera hotdata och integrera dem med andra säkerhetssystem.
Lär dig mer om hot mot cybersäkerheten
Hot mot informationssäkerheten och verktyg för att hantera dem
Värdet av information i dag gör den till en åtråvärd handelsvara och till ett frestande mål för stöld och sabotage, vilket gör att de som skapar och använder den riskerar att bli attackerade. Kriminella hittar ständigt nya sätt att kringgå säkerhetsverktyg och säkerhetsutvecklare arbetar för att ligga steget före genom att bygga mer intelligenta lösningar.
Förlust av information kan orsaka stor skada för ett företag, men genom att vidta rätt försiktighetsåtgärder och använda lämpliga verktyg kan risken minimeras avsevärt. Läs vidare för att ta reda på vilka typer av informationssäkerhetshot du måste ta hänsyn till, inklusive exempel på vanliga hot, och hur du kan minska dina risker.
Läs mer: Informationssäkerhetshot och verktyg för att hantera dem
Drive By Downloads: Vad de är och hur man undviker dem
De flesta människor tänker inte två gånger på de webbplatser de besöker, utan klickar snabbt vidare utan att bry sig om huruvida en länk kommer att omdirigera dem eller om ett säkert protokoll används. Ofta är detta inget problem, men om du råkar besöka en webbplats som har äventyrats kan ditt system snabbt infekteras av en drive by download.
Här tittar vi på vad en drive by download är, vilken typ av skada den kan orsaka och tar upp några strategier som ditt säkerhetsoperationscenter kan använda för att minimera din risk.
Läs mer: Drive By Downloads: Vad de är och hur man undviker dem
Cyberbrott: Typer, exempel och vad ditt företag kan göra
Cyberkriminalitet är den andra sidan av cybersäkerhet – ett stort spektrum av skadlig och olaglig verksamhet som utförs med hjälp av datorer och Internet. Den här artikeln hjälper dig att förstå cyberbrottslighet och hur du kan försvara din organisation mot den.
Läs mer: Läs mer: Cyberbrottslighet: Typer, exempel och vad ditt företag kan göra
Vad är MITRE ATT&CK: En förklaring
MITRE ATT&CK är en globalt tillgänglig kunskapsbas om motståndarens taktik och teknik som bygger på verkliga observationer av cyberattacker. De visas i matriser som är ordnade efter angreppsstadier, från inledande systemåtkomst till datastöld eller maskinkontroll. Det finns matriser för vanliga skrivbordsplattformar – Linux, macOS och Windows – samt för mobila plattformar.
Läs mer: Vad är MITRE ATT&CK: En förklaring
Vad är MITRE ATT&CK: En förklaring
MITRE ATT&CK:s ramverk, modell och taxonomi ger en kategoriserad och strukturerad katalog över taktik (varför en attack genomförs) och teknik (hur och ibland vad en attack genomförs). Förhållandet mellan taktik och teknik organiseras och presenteras som ATT&CK-matrisen. Filosofin bakom ATT&CK-modellen är att genom att fokusera på och prioritera ditt försvar mot dokumenterade hotbeteenden kan du förstå, förebygga och mildra dessa hot och attacker.
Läs mer: Mitigating Security Threats with MITRE ATT&CK
Försvar mot Ransomware: Förebyggande, skydd, borttagning
En Ransomware-attack kan vara förlamande för en organisation. Under en attack blockerar cyberbrottslingar tillgången till dina filer eller ditt nätverk och hävdar att om du betalar en lösensumma kommer din tillgång att återställas. En effektiv försvarsstrategi för utpressningstrojaner är nödvändig för att förhindra omfattande skador och måste omfatta tre pelare: förebyggande, skydd och snabb borttagning.
Läs mer: Defending Against Ransomware: Förhindra, skydda och ta bort
Top 5 Social Engineering Techniques and How to Prevent Them
Social Engineering utnyttjar den svagaste länken i vår säkerhetskedja – vår mänskliga arbetskraft – för att få tillgång till företagsnätverk. Angriparna använder alltmer sofistikerade knep och känslomässig manipulation för att få anställda, även högre tjänstemän, att lämna ifrån sig känslig information. Lär dig mer om stegen i en social ingenjörsattack, vilka som är de främsta hoten från social ingenjörskonst enligt InfoSec Institute och bästa metoder för att försvara sig mot dem.
Läs mer: Läs mer: Topp 5 tekniker för social ingenjörskonst och hur man förhindrar dem
Detektering av privilegieeskalering: Nyckeln till att förhindra avancerade attacker
Anfallare blir alltmer sofistikerade, och organiserade grupper av hackare utför avancerade attacker mot attraktiva mål. En nyckelkomponent i nästan alla avancerade attacker är privilegieeskalering – ett försök att kompromettera ett konto och sedan utöka angriparens privilegier, antingen genom att få kontroll över fler konton eller genom att öka privilegienivån för det komprometterade kontot.
Läs vidare för att förstå hur privilegieeskalering fungerar, hur du upptäcker den i din organisation och hur du skyddar dina system och stoppar avancerade attacker innan de når dina känsligaste tillgångar.
Läs mer: Läs mer: ”Upptäckt av privilegieeskalering”: Mer information om hur du kan läsa mer om detta och hur du kan läsa mer om detta: Nyckeln till att förhindra avancerade attacker
SIEM-koncept: Säkerhetsincidenter
Säkerhetsincidenter visar på misslyckade säkerhetsåtgärder eller intrång i organisationers system eller data. Detta omfattar alla händelser som hotar informationens integritet, tillgänglighet eller konfidentialitet. Orsaker till säkerhetsincidenter är bland annat perimeterbrott, cyberattacker och insiderhot.
Incidenter kräver vanligtvis att en IT-administratör vidtar åtgärder. Incident Response (IR) är en organiserad process genom vilken organisationer försvarar sig mot säkerhetsincidenter.
Läs mer: Läs mer: SIEM-koncept: Läs mer: Säkerhetsincidenter
Se våra ytterligare guider om informationssäkerhet
För mer djupgående guider om ytterligare informationssäkerhetsämnen, t.ex. dataintrång, se nedan:
SIEM-säkerhetsguide
SIEM-säkerhet hänvisar till integrationen av SIEM med säkerhetsverktyg, nätverksövervakningsverktyg, verktyg för prestandamonitorering, kritiska servrar och slutpunkter och andra IT-system.
Se de bästa artiklarna i vår siem säkerhetsguide
- 7 SIEMs med öppen källkod: Funktioner och begränsningar
- SIEM-lösningar: Hur de fungerar och varför du behöver dem
- Bekämpa cyberattacker med SOAR
User and entity behavior analytics Guide
UEBA står för User and Entity Behavior Analytics vilket är en kategori av cybersäkerhetsverktyg som analyserar användares beteende och tillämpar avancerad analys för att upptäcka anomalier.
Se de bästa artiklarna i vår guide User and Entity Behavior Analytics
- Vad är UEBA och varför det bör vara en viktig del av din incidenthantering
- User Behavior Analytics (UBA/UEBA): Nyckeln till att avslöja insiders och okända säkerhetshot
- Beteendeprofilering: Insider Threat Guide
En insider hot är en skadlig aktivitet mot en organisation som kommer från användare med legitim tillgång till organisationens nätverk, applikationer eller databaser.
Se de bästa artiklarna i vår insider hot guide
- Fighting Insider Threats with Data Science
- Insider Threat Indicators: Hitta fienden inom dig
- Hur man hittar illasinnade insiders: Att ta itu med insiderhot med hjälp av beteendeindikatorer
Security Operations Centers Guide
En Security Operations Center (SOC) är traditionellt sett en fysisk anläggning inom en organisation som inrymmer ett informationssäkerhetsteam.
Se de bästa artiklarna i vår guide för säkerhetsoperationscenter
- Hur man bygger upp ett säkerhetsoperationscenter för små företag
- Security Operations Center Roles and Responsibilities
- SecOps: 7 Steps to : Taking DevOps One Step Further
- Data Breach Guide
DLP Guide
DLP är en metod som syftar till att skydda företagsinformation. Den hindrar slutanvändare från att flytta viktig information utanför nätverket.
Se de bästa artiklarna i vår DLP-guide
- Mall för policy för förebyggande av dataförluster
- Verktyg för förebyggande av dataförluster
- Säkerhetsöverträdelser: Vad du behöver veta
Guide för incidenthantering
Incidenthantering är ett tillvägagångssätt för att hantera säkerhetsöverträdelser.
Se de bästa artiklarna i vår guide för incidenthantering
- The Complete Guide to CSIRT Organization: Hur man bygger upp ett incident Response Team
- Hur man snabbt implementerar en effektiv incident Response Policy
- Incident Response Plan 101: Hur man bygger upp en, mallar och exempel
Lämna ett svar