Lärdomar från DBIR 2012

Jag gillar Verizons Data Breach Investigations Report (DBIR), framförallt för att de är medvetna om begränsningarna i sitt underlag. Man försöker t ex inte extrapolera ut sina (begränsade) data på hela populationen. Som vissa andra

Givetvis ska man fortfarande ta Verizons data med en nypa salt, de har ju trots allt, precis som Symantec, incitament att överdriva problemen. Personligen tror jag dock inte att Verizon gör det i DBIR, de borde ha mer att förlora på osanning. Du får dock ta ställning själv.

Jag tänkte här dela med mig av mina lärdomar från fjolårets skörd av intrång som Verizons RISK Team åtagit sig. Följande kommer från mina anteckningar när jag läste rapporten för ett tag sedan så det kanske upplevs lite styltigt, ta det för vad det är och säg till ifall någon slutsats verkar orimlig.

Lärdomar
En viktig detalj som nämns redan i inledningen är att vi (säkerhetsbranschen) har de verktyg som behövs för att ta hand om problemen. Tyvärr används de inte. Det handlar alltså inte om att vi måste vänta på den sjunde (den kommer säkert) generationens brandväggar innan vi kan lösa det här. Det kanske snarare är en fråga om knarkarkvartar.

Intrång skedde oftast mot mindre bolag. Krossar det här den vanliga ursäkten: ”men vi är ju ingen bank”? Det verkar samtidigt som att angreppen mot de mindre bolagen huvudsakligen var targets of opportunity (läs: PoS med RDP/VNC och standardlösenord mot internet) och endast ledde till mindre förluster. Sammantaget stod de dock för majoriteten.

Det är ovanligt att systemadministratörer är inblandade som insiders vid intrång. (Eller så är de bra på att dölja vad de har gjort.)

Är det inte rätt anmärkningsvärt att majoriteten av all social engineering skedde över telefon och in-person? Mail kommer trea! Jag gissar att det rör sig om outliers, något gäng hade detta som modus operandi under en period i 2011, genomförde bedrägeriet på ett stort antal företag och Verizon tog hand om ett gäng av dem.

Nätverksinfrastruktur var inblandade i mindre än 1 % av intrången och förluster. Intrång i routrar och switchar är antingen olönsamma eller för svåra att genomföra (cost:benefit). Jag lutar åt olönsamma i jämförelse mot alternativen, en GRE-tunnel hem skulle kunna leda till mängder av data men är varken subtil eller särskilt praktisk. Det är rimligt att anta att denna kategori skulle inkludera sniff ”på kabel” också, ett hot som ofta överdrivs. Att läsa Hacking Exposed: Cisco Networks kanske inte var väl investerad tid ändå.

Servrar stod för 64 % (där PoS-servrar dominerade webb- och databasservrar) och laptops/desktops för bara 19 % (där laptops bara utgjorde 1 %) av intrången. PoS-terminaler stod för 35 %. (Notera att summan kan överstiga 100 % då ett intrång kan påverka både en server och en desktop.) Mobiler tycks lysa med sin frånvaro i samband med intrång.

Det här tycks bara delvis stödja ”CJ:s axiom”: ju mer exotisk en enhet är desto sämre är lösenordet. Eller min generalisering av axiomet: desto sämre hålls säkerheten överlag. Av detta följer t ex att en Windowsarbetsstation är bättre än en SuSE-filserver som är bättre än en VoIP-switch som är bättre än en en grenkontakt. Det är mer sanolikt att intrånget sker i en PoS-ändpunkt eftersom de inte är lika väl omhändertagna.

Kul att Verizon också lutar sig mot ”vem du är och vad du gör avgör vilka angripare som är aktuella”, se sidan 48. Det såg jag att de gick ut med till IDG i veckan och det är något jag nämner i en debattartikel som (sedan länge) ännu inte är publicerad. Så går det när man inte är snabb på bollen. Det centrala i sammanhanget är förstås överrepresentationen av s k hacktivister. Betyder det här att den ”gamla” klyschan att de riktigt trilskiga angriparna är ”driven by financial gain” inte är lika trovärdig längre? Vi får se om ett år eller två ifall fenomen som Anonymous och Lulzsec är tillfälliga blippar på radarn eller något som kommit för att stanna.

Favoritfigurer är Figure 8-9, Table 6-8, Figure 21, Table 10, Figure 33, Figure 40-42, Figure 45, Table 14 och slutligen Figure 45. (Bedömningen baseras endast på att dessa figurer kunde ta betydligt mer än ett par sekunder att fundera över.)

Avslutningsvis, vad sägs om det här (min fetstil):

Brand damage, declines in market value, and loss of competitive advantage are always the top of mind “WIbeHI” (Wouldn’t it be horrible if…) fears for executives with respect to data breaches. For most breaches—even ones that seem rather bad—these fears are unfounded. Breaches don’t appear to typically have a major long-term impact on stock value.

Nyckelord: ”typically”, vi vet ju t ex vad som hände DigiNotar. Det var dock ett särfall i sammanhanget, det är förstås annorlunda när man har datasäkerhet som kärnverksamhet. Fallet HB Gary Federal, säkerhetsföretag som blev rejält tilltufsade av Anonymous, bekräftar teorin. Alltså, om du inte har säkerhet som en central del av din verksamhet, antingen att du sysslar med det eller att du beror av det i hög utsträckning, så kommer din finansiering förmodligen överleva ett allvarligt intrång.

Jag såg att Symantec kommit ut med volym 17 av sin rapport Internet Security Threat Report som beskriver deras bild av läget under 2011. Deras data kommer ju från i princip samma källor men är inhämtade i helt andra sammanhang. Det ska bli intressant att jämföra den med DBIR.


http://se.norton.com/cybercrimereport/promo

Givetvis ska man fortfarande ta Verizons data med en nypa salt, de har ju trots allt, precis som Symantec, incitament att överdriva problemen. Personligen tror jag dock inte att Verizon gör det i DBIR, de borde ha mer att förlora på osanning. Du får dock ta ställning själv.

BILD FRAMSIDA

Jag tänkte här dela med mig av mina lärdomar från fjolårets skörd av intrång som Verizons RISK Team åtagit sig. Följande kommer från mina anteckningar när jag läste rapporten för ett tag sedan så det kanske upplevs lite styltigt, ta det för vad det är och säg till ifall någon slutsats verkar orimlig.

L�
�rdomar

En viktig detalj som nämns redan i inledningen är att vi (säkerhetsbranschen) har de verktyg som behövs för att ta hand om problemen. Tyvärr används de inte. Det handlar alltså inte om att vi måste vänta på den sjunde (den kommer säkert) generationens brandväggar innan vi kan lösa det här. Det kanske snarare är en fråga om knarkarkvartar.

http://highperformance.blogg.se/2010/december/ar-natverket-en-knarkarkvart.html

BILD COMMONALITIES

Intrång skedde oftast mot mindre bolag. Krossar det här den vanliga ursäkten: ”men vi är ju ingen bank”? Det verkar samtidigt som att angreppen mot de mindre bolagen huvudsakligen var targets of opportunity (läs: PoS med RDP/VNC och standardlösenord mot internet) och endast ledde till mindre förluster. Sammantaget stod de dock för majoriteten.

Det är ovanligt att systemadministratörer är inblandade som insiders vid intrång. (Eller så är de bra på att dölja vad de har gjort.)

Är det inte rätt anmärkningsvärt att majoriteten av all social engineering skedde över telefon och in-person? Mail kommer trea! Jag gissar att det rör sig om outliers, något gäng hade detta som modus operandi under en period i 2011, genomförde bedrägeriet på ett stort antal företag och Verizon tog hand om ett gäng av dem.

Nätverksinfrastruktur stod för mindre än 1 % av intrången och förluster. Intrång i routrar och switchar är antingen olönsamma eller för svåra att genomföra (cost:benefit). Jag lutar åt olönsamma i jämförelse mot alternativen, en GRE-tunnel hem är varken subtil eller praktisk. Det är rimligt att anta att denna kategori skulle inkludera sniff på kabel också. Att läsa Hacking Exposed: Cisco Networks kanske inte var väl investerad tid ändå.

http://www.amazon.com/Hacking-Exposed-Cisco-Networks-Solutions/dp/0072259175

Servrar stod för 64 % (där PoS-servrar dominerade webb- och databasservrar) och laptops/desktops för bara 19 % (där laptops bara utgjorde 1 %) av intrången. PoS-terminaler stod för 35 %. (Notera att summan kan överstiga 100 % då ett intrång kan påverka både en server och en desktop.) Mobiler tycks lysa med sin frånvaro i samband med intrång.

Det här tycks bara delvis stödja ”CJ:s axiom”: ju mer exotisk en enhet är desto sämre är lösenordet. Eller min generalisering av axiomet: desto sämre hålls säkerheten överlag. Av detta följer t ex att en Windowsarbetsstation är bättre än en SuSE-filserver som är bättre än en VoIP-switch som är bättre än en en grenkontakt. Det är mer sanolikt att intrånget sker i en PoS-ändpunkt eftersom de inte är lika väl omhändertagna.

http://www.digital-loggers.com/vpdu.html

Kul att Verizon också lutar sig mot ”vem du är och vad du gör avgör vilka angripare som är aktuella”, se sidan 48. Det såg jag att de gick ut med till IDG i veckan och det är något jag nämner i en debattartikel som (sedan länge) ännu inte är publicerad. Så går det när man inte är snabb på bollen. Det centrala i sammanhanget är förstås överrepresentationen av s k hacktivister. Betyder det här att den ”gamla” klyschan att de riktigt trilskiga angriparna är ”driven by financial gain” inte är lika trovärdig längre? Vi får se om ett år eller två ifall fenomen som Anonymous och Lulzsec är tillfälliga blippar på radarn eller något som kommit för att stanna.

Favoritfigurer är Figure 8-9, Table 6-8, Figure 21, Table 10, Figure 33, Figure 40-42, Figure 45, Table 14 och slutligen Figure 45. (Bedömningen baseras endast på att dessa figurer kunde ta betydligt mer än ett par sekunder att fundera över.)

Avslutningsvis, vad sägs om det här:

Brand damage, declines in market value, and loss of competitive advantage are always the top of mind “WIbeHI” (Wouldn’t it be horrible if…) fears for executives with respect to data breaches. For most breaches—even ones that seem rather bad—these fears are unfounded. Breaches don’t appear to typically have a major long-term impact on stock value.

Nyckelord: ”typically”, vi vet ju t ex vad som hände DigiNotar. Det var dock ett särfall i sammanhanget, det är förstås annorlunda när man har datasäkerhet som kärnverksamhet. Fallet HB Gary Federal, säkerhetsföretag som blev rejält tilltufsade av Anonymous, bekräftar teorin. Alltså, om du inte har säkerhet som en central del av din verksamhet, antingen att du sysslar med det eller att du beror av det i hög utsträckning, så kommer din finansiering förmodligen överleva ett allvarligt intrång.

http://en.wikipedia.org/wiki/DigiNotar#Bankruptcy
http://en.wikipedia.org/wiki/HBGary

Jag såg att Symantec kommit ut med volym 17 av sin rapport Internet Security Threat Report som beskriver deras bild av läget under 2011. Deras data kommer ju från i princip samma källor men är inhämtade i ett helt annat sammanhang. Det ska bli intressant att jämföra den med DBIR.


Stefan Pettersson
Annonser