Vad är en cybersäkerhetsincident?

En cybersäkerhetsincident är en specifik typ av säkerhetsincident som involverar ett intrång eller en kompromettering av digitala tillgångar, datorsystem, nätverk eller data. Det omfattar incidenter som rör avsiktlig utnyttjande av digitala sårbarheter, såsom skadlig kod, hackningsattacker, dataläckor eller DoS-attacker. Cybersäkerhetsincidenter kan variera avsevärt när det gäller omfattning, påverkan och allvarlighetsgrad. De kräver omedelbar uppmärksamhet och åtgärd för att begränsa potentiell skada.

Hur är cybersäkerhetsincidenter relaterade till säkerhetshändelser och säkerhetsincidenter?

Sammanfattningsvis är en cybersäkerhetsincident en undergrupp av säkerhetsincidenter, som innebär bekräftade intrång eller kompromettering av digital säkerhet som leder till obehörig åtkomst eller potentiell skada. Det innebär en betydande överträdelse av säkerhetspolicyn. Säkerhetshändelser är däremot tidiga indikatorer på potentiella hot och visar på ovanliga aktiviteter i IT-miljöer. Medan säkerhetshändelser är potentiella föregångare till incidenter, är en cybersäkerhetshändelse en bredare term som täcker både mindre säkerhetshändelser och större säkerhetsincidenter. Säkerhetsincidenter är alla aktiviteter som utgör ett verkligt tidsmässigt hot mot integriteten hos en organisations nätverk. Organisationer måste noggrant övervaka och reagera på cybersäkerhetshändelser för att förbättra sin cybersäkerhetsställning och skydda mot säkerhetsincidenter.

Ett verkligt exempel på en cybersäkerhetsincident involverade ChatGPT i mars 2023. OpenAI medgav intrånget genom att i ett uttalande erkänna att kreditkortsinformation, e-post-ID, medlemsnummer, namn och adresser för vissa användare var synliga för andra användare. Denna information var tillgänglig under nio timmar, och användare som var aktiva under denna tid riskerade att få sina uppgifter exponerade för andra användare. Detta intrång tillskrivs en bugg i den öppna källkod AI som användes av ChatGPT.

Den ökande betydelsen av cybersäkerhet

Risker kopplade till cyberbrott ökar i och med att den digitala tidsåldern fortsätter att utvecklas. CyberCrime Magazine förutspår att cyberbrottslighet kommer att kosta världen över 10 biljoner USD årligen fram till 2025. Det är svårt att beräkna avkastningen på investeringar när man budgeterar för en organisations cybersäkerhetsutgifter, men det är ändå av största vikt. För att understryka vikten av cybersäkerhet, sa Bank of Americas VD Brian Moynihan en gång att de hade en obegränsad budget för cybersäkerhet.

Det är viktigt att förstå hur cybersäkerhetsincidenter fungerar och att skilja dem från säkerhetshändelser och andra incidenter.

Skillnaden mellan en säkerhetshändelse och en säkerhetsincident

Det är viktigt att förstå skillnaden mellan en säkerhetshändelse och en säkerhetsincident. En säkerhetshändelse är en förekomst i nätverket som kan leda till ett säkerhetsintrång. Om en säkerhetshändelse bekräftas ha lett till ett intrång, benämns händelsen som en säkerhetsincident. En säkerhetsincident resulterar i risk eller skada på ett företags resurser och tillgångar. Baserat på det upptäckta intrånget måste tillräckliga åtgärder vidtas för att begränsa skadan och förhindra att incidenten förvärras.

Säkerhetshändelser

Säkerhetshändelser är det första steget för att identifiera ett hot eller en fullständig attack. Ett företag kan råka ut för tusentals säkerhetshändelser per dag. Det innebär dock inte att alla säkerhetshändelser en cyberattack. Om en användare till exempel får ett skräppostmeddelande utlöses en säkerhetshändelse. Sådana händelser måste övervakas med hjälp av en SIEM-lösning för att upptäcka om en säkerhetshändelse leder till en säkerhetsincident.

Nedan beskrivs några av de vanligaste källorna till säkerhetshändelser som bör analyseras i ett nätverk.

Brandväggar

En brandvägg kontrollerar trafiken till och från nätverket. Brandväggsloggar ger de första bevisen på ett intrång av angripare. Därför måste säkerhetshändelser som upptäcks i brandväggsloggar noggrant övervakas. Nedan följer några av de vanligaste säkerhetshändelserna och incidenterna som du bör övervaka från brandväggsloggar.

• Kraftig ökning av inkommande eller utgående trafik: En kraftig ökning av inkommande eller utgående trafik är en kritisk säkerhetshändelse. Om du vid en närmare granskning av brandväggsloggarna ser att flera paket tas emot från IP-adresser som inte är kända för din organisation, är detta en säkerhetsincident, då det indikerar en potentiell DDoS-attack.
• Konfigurationsändringar av brandväggsprinciper: Ändringar i brandväggskonfigurationer är säkerhetshändelser, inte incidenter. Men om en användare vars privilegier nyligen har höjts försöker ändra brandväggskonfigurationerna, benämns händelsen som en säkerhetsincident.
• Modifiering av brandväggsinställningar: Ändringar som görs i brandväggsregler kan vara normala händelser, såvida de inte tillåter trafik från eller till en skadlig C2C-server eller någon annan skadlig källa för dataexfiltrering. I sådana fall blir ändringen en säkerhetsincident. Därför är det nödvändigt att noggrant övervaka dessa ändringar.

Kritiska servrar

Kritiska servrar, såsom filservrar, webbservrar och domänkontrollanter, är mycket sårbara för attacker, eftersom kompromettering av dessa system innebär att man i stor utsträckning får kontroll över nätverket eller data. Det är avgörande att övervaka alla användaraktiviteter och ändringar av konfigurationer i dessa servrar. Några av de vanligaste säkerhetshändelserna som du bör övervaka på kritiska servrar är:

• Användarinloggningar.
• Ändring av användarbehörighet för åtkomst till servrarna.
• Ändringar av systeminställningar.
• Ändringar av säkerhetskonfigurationer.

När de ovan nämnda händelserna, vid undersökning, visar sig komma från en misstänkt källa eller indikerar ovanligt användarbeteende, då är de säkerhetsincidenter.

Detta är några vanliga händelser som du bör övervaka. Beroende på servrarnas funktionalitet kan du lägga till andra händelser för övervakning. I en webbserver är det t.ex. viktigt att övervaka loggarna för injektionsförsök.

Databaser

Databaser är ett av de vanligaste målen för angripare, eftersom de lagrar anställdas uppgifter, konfidentiell affärsinformation och mer. Några av de vanligaste säkerhetshändelserna i databaser är:

• Ändringar i databastabeller: Ändringar i tabellerna i en databas av användare med privilegierade konton är säkerhetshändelser. Om en sådan användare fortsätter att manipulera flera tabeller är det en säkerhetsincident.
• Ändringar av användarprivilegier: När en användares privilegier höjs för att få åtkomst till databasresurser , är det en säkerhetshändelse. Det blir en säkerhetsincident om användaren med nyligen höjda privilegier försöker ändra andra användares privilegier genom att lägga till eller ta bort medlemmar i säkerhetsgruppen för databasadministratörer.
• Åtkomst till eller extrahering av känsliga data: Anställdas biometriska information, kundregister och transaktionsdetaljer är exempel på känslig företagsinformation. Om en användare försöker extrahera sådan information från databasen, är det en säkerhetsincident.

Slutpunkter

Slutpunkter som bärbara och stationära datorer genererar en stor mängd säkerhetshändelser under en enda dag. Några av de vanligaste säkerhetshändelserna som du behöver övervaka från slutpunkter är:

• Misslyckade inloggningsförsök: Om en användare loggar in på sin enhet efter upprepade misslyckade försök, är det en säkerhetshändelse. Om en sådan händelse följs av att användaren försöker höja sina privilegier, är det en säkerhetsincident.
• Obehörig installation av programvara: Nedladdning och installation av obehörig programvara på en enhet är en säkerhetshändelse. Om en sådan applikation påverkar funktionen hos andra applikationer och orsakar funktionsstörningar i enheten kallas det för en säkerhetsincident.

Säkerhetsincidenter

En säkerhetsincident är en säkerhetshändelse som skadar nätverksresurser eller data som en del av ett angrepp eller ett säkerhetshot. En incident orsakar inte alltid direkt skada, men den utsätter ändå företagets säkerhet för risk. Om en användare till exempel klickar på en länk i ett skräppostmeddelande är det en säkerhetsincident. Denna incident orsakar inte direkt någon skada, men den kan installera skadlig kod som leder till en utpressningstrojanattack.

Några av de säkerhetsincidenter som du bör övervaka i ditt nätverk inkluderar:

• Trafik från kända skadliga IP-adresser: Flera IP-adresser identifieras som skadliga på grund av misstänkta ökända aktiviteter som utförs via dem. Informationen om skadliga IP-adresser kallas hotinformation eller ett hotflöde. För att spåra trafik från skadliga källor bör du konfigurera din säkerhetslösning, såsom ett SIEM-verktyg, för att korrelera data mellan dessa dynamiskt uppdaterade hotflöden och din nätverkstrafikinformation. Om en sådan IP-adress försöker komma åt nätverket kan din SIEM-lösning upptäcka försöket och omedelbart vidta motåtgärder.
• Misstänkta installationer av skadlig kod på slutpunkter: Miljontals skadliga e-postmeddelanden med bilagor som ser äkta ut skickas till människor varje dag. Om en sådan bifogad fil öppnas av en intet ont anande användare kan det leda till att skadlig kod installeras på enheten. Angriparen kan extrahera känslig information som är lagrad på användarens enhet genom den skadliga koden eller få tillgång till företagets nätverksresurser, vilket i båda fallen gör detta till en säkerhetsincident.
• Okända inloggningsförsök: Företag använder VPN-tjänster för att hjälpa fjärranvändare att ansluta till organisationens nätverk. Om en hackare lyckas knäcka en fjärranvändares inloggningsuppgifter kan de komma in i nätverket och starta en fullskalig cyberattack. Om en användare rapporterar att deras inloggningsuppgifter har blivit komprometterade och att de inte har loggat in på nätverket nyligen, är detta en allvarlig säkerhetsincident som kräver snabb åtgärd från IT-administratören.
• Höjda privilegier: När en angripare har fått tillgång till företagets nätverk kan de endast orsaka begränsad skada genom att utge sig för att vara den användare de imiterar. Deras nästa steg är därför ofta eskalering av privilegier. Genom att höja privilegierna kan angriparen få mer åtkomst och därmed bättre kontroll över nätverket.
• Obehöriga ändringar av konfigurationer av kritiska enheter: Ett obehörigt försök att göra ändringar på kritiska tjänster som brandväggar indikerar ett potentiellt angrepp på nätverket, och det loggas som en säkerhetsincident.
• Infektion av skadlig kod via flyttbara media: Att ansluta flyttbara medier, som USB-enheter och externa hårddiskar, till en arbetsstation kan vara skadligt om den externa enheten innehåller skadlig kod. Om ett antivirusprogram upptäcker att en extern enhet innehåller skadlig kod, loggas en säkerhetsincident.
• Datamanipulation i databaser: Om data som finns i ett företags databaser raderas eller ändras av en obehörig användare, benämns det som ett säkerhetsintrång, och IT-administratören måste vidta omedelbara åtgärder för att förhindra ytterligare skador på företagets nätverk.

Organisationer måste vara noggranna med att övervaka och reagera på cybersäkerhetshändelser för att stärka sin cybersäkerhetsställning och bygga sina cyberförsvar mot potentiella hot. Implementering av en Säkerhetsinformation och händelsehantering (SIEM)-lösning kan vara avgörande för att upptäcka, hantera och mildra sådana incidenter, och erbjuder ett proaktivt tillvägagångssätt för att skydda ditt nätverk.