Halbjahresrückblick: Die wichtigsten Sicherheits- und Compliance-Herausforderungen des Jahres 2024 bisher

Von Phil Muncaster • 2 Juli 2024

Im April wurde die Regierung sagte uns dass die Hälfte der britischen Unternehmen in den letzten 12 Monaten Opfer eines Sicherheitsverstoßes geworden war, bei mittleren (70 %) und großen Unternehmen (74 %) sogar noch mehr. Es stellte sich heraus, dass es bei einem beunruhigend großen Anteil dieser Unternehmen noch immer an grundlegender Cyberhygiene, Risiko- und Lieferkettenmanagement sowie Incident Response mangelt.

Aber was ist mit den letzten sechs Monaten? Wir haben zwar erst die Hälfte des Jahres hinter uns, aber es haben sich bereits einige wichtige Themen herauskristallisiert, die wahrscheinlich die Sicherheits- und Compliance-Geschichte des Jahres 2024 dominieren werden. Unsere Top XNUMX sind:

Die NVD steckt in der Krise

Die Ausnutzung von Schwachstellen ist wieder in Mode. Mandiant aus aller Welt 38 % der Einbrüche im Jahr 2023 begannen auf diese Weise, ein jährlicher Anstieg von sechs Prozentpunkten. Das sind schlechte Nachrichten für Netzwerkverteidiger, denn die wohl wichtigste Informationsquelle der Welt zu Schwachstellen – die National Vulnerability Database (NVD) des NIST – wurde effektiv gelähmt seit mehreren Monaten. Als standardisiertes Repository für angereicherte CVE-Daten ist es zu einem entscheidenden Bestandteil der automatisierten Patch- und Schwachstellenmanagementprozesse vieler Unternehmen sowie der Sicherheitstools geworden. Ein plötzliche Verlangsamung in Die Verarbeitung von CVEs seit Februar hat dazu geführt, dass Sicherheitsteams verzweifelt nach alternativen Geheimdienstquellen suchen.

Ansprüche von Verizon dass die Entdeckung der Ausnutzung von Schwachstellen als erster Zugriffsvektor für Datenverletzungen im Jahr 180 im Vergleich zum Vorjahr um 2023 % gestiegen ist. Sie macht nun 14 % aller Verstöße aus – was bedeutet, dass Sicherheitsteams dringend über zusätzliche Quellen für CVE-Informationen nachdenken müssen, wie z. B. die CVE-Programm, neben verbesserter Bedrohungsaufklärung und anderen Taktiken.

Ransomware wird immer schlimmer

Bereits im Januar hatte das National Cyber Security Centre (NCSC) davor gewarnt Ransomware werde „mit ziemlicher Sicherheit das Volumen und die Auswirkungen von Cyberangriffen in den nächsten zwei Jahren erhöhen“. Besondere Aufmerksamkeit wurde Ransomware gewidmet, da KI Angreifern beim Social Engineering und bei der Aufklärung einen „Auftrieb“ verschaffen werde. Mit anderen Worten: KI-Technologie wird eingesetzt, um äußerst überzeugende Phishing-Inhalte zu erstellen, die schwer zu erkennen sind, und um in den Zielorganisationen nach bekannten Schwachstellen zu suchen. Die ISMS-Zustand des Informationssicherheitsberichts 2024 enthüllt dass 29 % der Organisationen im vergangenen Jahr Opfer eines Ransomware-Angriffs geworden sind.

Es ist unklar, ob KI bereits auf diese Weise eingesetzt wird. Dennoch waren Ransomware-Gruppen in diesem Jahr bisher in der Offensive, trotz vereinzelter Erfolge der Strafverfolgungsbehörden bei der Störung LockBitund erzwingt BlackCat/ALPHV auflösen. Gesundheitsorganisationen waren wieder einmal die Leidtragenden. Zunächst waren es US-Anbieter Ändern Sie das Gesundheitswesen und Aufstieg– Ersteres rechnet im Zusammenhang mit dem Angriff mit Kosten von über 1 Milliarde Dollar. Der NHS England wurde schwer getroffen, nachdem der Qilin-Ransomware-Stamm einen Lieferanten lahmlegte. Es zwang zunächst die Absage von über 800 geplanten Operationen und 700 ambulanten Terminen.

Angesichts der Tatsache, dass Ransomware-Akteure ihre Ziele in der Regel immer noch über relativ unkomplizierte Angriffsmethoden erreichen (RDP-Kompromiss, Phishing, Ausnutzen von Schwachstellen), müssen sich Unternehmen offenbar weiterhin auf die richtigen Grundlagen konzentrieren, um ihre Sicherheit zu gewährleisten.

Edge-Geräte sind stark betroffen

Die Edge scheint die neue Grenze staatlich geförderter Cyberangriffe zu sein. Das NCSC war eines der ersten Länder, das in diesem Jahr eine Warnung aussprach. behauptet, dass Bedrohungsakteure zielen zunehmend auf perimeterbasierte Produkte (wie Dateiübertragungsanwendungen, Firewalls, VPNs und Lastverteiler) ab, nachdem das Design der Client-Software verbessert wurde. Sie sind ein perfektes Ziel, da Code weniger sicher konzipiert ist als Client-Software, was die Ausnutzung von Fehlern erleichtert, und es an einer effektiven Protokollierung auf Edge-Geräten mangelt, so das NCSC.

Als Folge davon haben wir in den letzten sechs Monaten eine Flut von Ransomware- und Cyber-Spionage-Angriffen erlebt, darunter auch die massive Ausnutzung von Ivanti Sichere Verbindung und sichere Richtlinien Gateways, FortiGate-Geräteund ein Vermächtnis F5 BIG-IP-GerätEin aktueller Action1-Bericht offenbart a Rekordauslastungsrate für Load Balancer von 2021-23, während ein anderer Anbieter behauptet Die Anzahl der mit Edge-Diensten und -Infrastruktur verknüpften CVEs ist zwischen 22 und YTD 2023 um 2024 % gestiegen.

Das NCSC fordert Organisationen dringend dazu auf, von lokal installierten auf in der Cloud gehostete Perimeterprodukte umzusteigen und mithilfe von Firewalls alle ungenutzten „Schnittstellen, Portale oder Dienste internetbasierter Software“ zu blockieren.

Open-Source-Risiken nehmen zu

Die Risiken der Verwendung von Open-Source-Software sind seit einiger Zeit bekannt. Bedrohungsakteure verstecken Malware zunehmend in Komponenten von Drittanbietern und platzieren sie in offiziellen Repositorien in der Hoffnung, dass ein zeitarmer Entwickler sie herunterlädt. Im April jedoch wurde ein noch heimtückische Bedrohung wurde aufgedeckt nach einer zufälligen Entdeckung: ein ausgeklügelter, jahrelanger Versuch, eine beliebte Open-Source-Komponente namens xz Utils mit Backdoor-Malware zu infiltrieren und zu implantieren. Die Gruppe hinter dem Plan unternahm große Anstrengungen, um ihre bösartigen Aktivitäten zu verbergen, während sie den ursprünglichen Entwickler, Lasse Collin, durch Social Engineering dazu brachte, ihre Entwicklerpersönlichkeit als „vertrauenswürdiger“ Mitwirkender an Bord zu bringen.

Die schlechte Nachricht für Sicherheitsteams ist, dass es zahlreiche Nachahmer gibt wurden inzwischen entdeckt, was möglicherweise auf eine wachsende Krise für Open Source hindeutet. Etwa 79 % der Befragten von ISMS.online sprach zu sagen Ihr Geschäft wurde im vergangenen Jahr durch einen Sicherheitsvorfall beeinträchtigt, der von einem Drittanbieter oder Lieferkettenpartner verursacht wurde. In Zukunft werden eine genaue Prüfung der Software-Lieferketten, einschließlich Stücklisten (SBOMs), regelmäßige Schwachstellenscans und strengere Governance-Richtlinien erforderlich sein.

Compliance-Herausforderungen nehmen zu

Um Benjamin Franklin falsch zu zitieren: Nichts auf dieser Welt ist sicher, außer Tod, Steuern und neuen Compliance-Auflagen. Das hat das Jahr 2024 mit der Einführung des EU-KI-Gesetzherunter, eine neues IoT-Sicherheitsgesetz in Großbritannien, Vorschläge für neue britische Sicherheitsregeln für Rechenzentren, ein EU-Zertifizierungssystem für Cybersicherheit, und mehr. Die Compliance-Frist für PCI DSS 4.0 ist im März abgelaufen und die Unternehmen bereiten sich derzeit intensiv auf NIS 2 vor.

Viele haben mit der Arbeitsbelastung zu kämpfen. ISACA-Forschungsansprüche dass insbesondere Datenschutzprogramme unterfinanziert und unterbesetzt sind. Auch veraltete Tools und Prozesse helfen nicht weiter.

Die Einhaltung branchenüblicher Best Practices kann eine solide Grundlage für die Umsetzung von Programmen zur Einhaltung gesetzlicher Vorschriften in Bereichen wie Informationssicherheit (ISO 27001) und KI (ISO 42001) bilden. Obwohl ISMS.online herausgefunden hat, dass 59 % der Unternehmen im kommenden Jahr mehr für solche Programme ausgeben wollen, geben fast die Hälfte (46 %) an, dass die Einhaltung von ISO 6 12 bis 27001 Monate dauert. Weitere 11 % geben an, dass dies 12 bis 18 Monate dauert. Mit dem richtigen Satz intuitiver und vorkonfigurierter Tools sollte dies nicht so schwierig sein.

Phil Muncaster

Phil Muncaster ist seit 20 Jahren IT-Journalist. Er begann 2005 als Reporter beim Unternehmens-IT-Titel „IT Week“ und stieg zum Nachrichtenredakteur auf, bevor er das Unternehmen verließ, um eine freiberufliche Karriere einzuschlagen. Seitdem hat Phil für Titel geschrieben, darunter The Register, wo er über zwei Jahre lang als Asien-Korrespondent in Hongkong arbeitete, MIT Technology Review, SC Magazine, Infosecurity Magazine und andere.

Lesen Sie mehr von Phil Muncaster

Internet-Sicherheit 6 Januar 2026

Fünf Sicherheits- und Compliance-Trends, die Sie 2026 im Auge behalten sollten

Wie könnten die kommenden zwölf Monate für Cybersicherheits- und Compliance-Experten aussehen? Wir haben die Nachrichten durchforstet und die Prognosen der Branche analysiert…

Phil Muncaster

Internet-Sicherheit 11 December 2025

Ist ein Sicherheitsverstoß durch eine Agenten-KI im Jahr 2026 unvermeidlich?

Ist ein Sicherheitsverstoß bei Agentic AI im Jahr 2026 unvermeidbar?

Seit dem Start von ChatGPT, der einen neuen technologischen Wettlauf auslöste, sind zwar drei Jahre vergangen, doch nun richten sich alle Augen auf agentenbasierte KI. Befürworter behaupten, sie werde…

Phil Muncaster

Informationssicherheit 9 December 2025

Ein Jahr der Einhaltung der Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben (Banner)

Ein Jahr im Einklang mit den Vorschriften: Fünf Dinge, die wir im Jahr 2025 gelernt haben

Die vergangenen zwölf Monate haben einmal mehr gezeigt, dass es in der Cybersicherheitslandschaft kaum an Vorfällen mangelt. Schwere Sicherheitslücken verursachen Unternehmen hohe Kosten ...

Phil Muncaster