På trods af rekordstore udgifter til cybersikkerhed – ifølge Gartner forventes beløbet at nå 212 milliarder dollars globalt i 2025 – er mange organisationer fortsat alarmerende sårbare over for angreb. Hvorfor? Cybersikkerhedsprogrammer er i de fleste tilfælde stadig for alt for fokuserede på compliance, og det betyder, at modstandsdygtigheden sættes i anden række
En ny rapport fra Horizon3.ai fremhæver denne voksende udfordring. Efter at have analyseret data både fra deres automatiserede penetrationstestplatform og en undersøgelse af 800 sikkerhedsprofessionelle i USA, Storbritannien og EU, fandt forskerne ud af, at organisationer fortsat prioriterer ”check-in-the-boks-sikkerhed” frem for et aktivt, praktisk og proaktivt forsvar. #nobigsurprice.
Compliance frem for sikkerhed: En dyr fejl
Mange organisationer ved godt, hvad der betyder noget i forhold til et øget cybersikkerhedsforsvar – fx at reducere Mean Time to Remediate (MTTR) – men de undlader ofte at handle på det. For eksempel anerkender 61 % af beslutningstagerne MTTR’s værdi som målepunkt, men 16 % indrømmer, at de har nedprioriteret det helt. Endnu mere bekymrende viste analysen, at 84 % af de adspurgte organisationer havde oplevet et brud, og 22 % nævnte upatchede sårbarheder, som deres egen største trussel.
Hvorfor udskyder over halvdelen af hands-on sikkerhedspecialister og mere end en tredjedel af CISO’erne stadig at patche deres kendte sårbarheder, indtil det er bekvemt for dem at udføre arbejdet?
Deres prioritering er skidt, for den passive håndtering af cybersikkerhed, efterlader organisationen åben for angreb.
Når sårbarhedsstyring ikke virker
Sårbarhedsstyringsprocesserne vakler på grund af for meget støj. Næsten alle respondenter i analysen anvendte sårbarhedsscannere, men 36 % sagde, at deres værktøjer producerede for mange falske positiver, hvilket gør det svært at prioritere reelle trusler. Og kun 34 % fandt deres værktøjer effektive. Og i en verden med en travl hverdag og overvældende mange informationer ender sårbarhedsscanere som en falsk sikkerhed, der spytter alarmer ud i et væk uden at nogen tager sig af dem.
Analysen viser også at eksterne penetrationstests ikke klarede sig meget bedre. 40 % af organisationerne modtog kun lidt handlingsorienteret indsigt fra deres tests, fordi deres miljø allerede havde ændret sig, da de modtog rapporten med mitigerende aktiviteter. Andre nævnte problemer med falske positiver, manglende kontekst eller manglende afhjælpningsvejledning fra deres pen-testere.
Cloud-sikkerhed er endnu en blind vinkel – her fortalte 40 % af de adspurgte, at de ikke regelmæssigt tester deres cloud-miljøer, hvilket efterlader fejlkonfigurationer, der kan udnyttes af udefrakommende.
Den menneskelige flaskehals
Den største barriere for hurtigere hændelsesrespons og bedre synlighed er menneskelige ressourcer. Der er simpelthen hverken nok kvalificeret arbejdskraft eller tilstrækkelige budgetter. Overbelastede og underprioriterede it-teams jonglerer med alt for mange opgaver. Det ved ondsindede godt, og derfor slår de ofte til gennem huller, som menneskelige handlinger lader stå åbne.
Hvad skal organisationer gøre anderledes?
Analysen understreger, hvad vi også ser hos vores kunder i Conscia: Cyberrobusthed kræver et skift i tankegang – ikke indkøb af nyt, nyt, nyt:
- Det er ikke nok at scanne – du har brug for kontekstualiseret, kontinuerlig synlighed i trusler fra den virkelige verden – og du har brug for nogen, der tjekker og handler på dine alarmer, sorterer støjen fra osv.
- Det er ikke nok at patche, MEN du skal patche – og så skal du forstå interne afhængigheder, og hvilke sårbarheder der kan udnyttes i dit miljø lige nu.
- Det er ikke nok at køre en pentest om året – angribere venter ikke på din tidsplan.
- At sætte et flueben i en boks og overholde compliance, er ikke det samme som at være sikret, du har brug for en handlingsbaseret risikoanalyse, som guider dig, til den korrekte prioritering af dit cyberforsvar.
