Verizon: una din cinci încălcări ale datelor este rezultatul unei cyberespionage

Chiar dacă majoritatea încălcărilor datelor continuă să fie rezultatul atacurilor cyber-criminale motivate financiar, activitățile sunt, de asemenea, responsabile pentru un număr semnificativ de incidente de furt de date, potrivit unui raport care va fi lansat marți de către Verizon.

Raportul Verizon privind investigațiile privind încălcările datelor din 2013 (DBIR) acoperă încălcările datelor investigate în cursul anului 2012 de echipa RISK a companiei și 18 alte organizații din întreaga lume, inclusiv echipele naționale de răspuns la situații de urgență (CERT) și agențiile de aplicare a legii. Raportul compilează informații de la peste 47.000 de incidente de securitate și 621 confirmate încălcări ale datelor care au avut ca rezultat cel puțin 44 de milioane de înregistrări compromise.

Pe lângă includerea celui mai mare număr de surse până în prezent, raportul este de asemenea primul care conține informații despre încălcări care rezultă din atacurile cyberespionage aflate în legătură cu statul. Acest tip de atac vizează proprietatea intelectuală și reprezintă 20% din încălcările datelor acoperite de raport.

[Mai multă lectură: Cum să eliminați programele malware de pe PC-ul Windows]

Dincolo de China

În peste 95% cazurile în care atacurile de tip cyberespionage au provenit din China, a declarat Jay Jacobs, analist senior al echipei Verizon RISK. Echipa a încercat să fie foarte amănunțită în ceea ce privește atribuirea și a folosit diferiți indicatori cunoscuți care leagă tehnicile și programele malware folosite în aceste încălcări înapoi la cunoscutele grupuri de hackeri chinezi, a afirmat el. Cu toate acestea, ar fi naiv să presupunem că atacurile de cyberespionage vin doar din China, a spus Jacobs. "Se întâmplă tocmai faptul că datele pe care am putut să le colectăm pentru anul 2012 au reflectat mai mulți actori chinezi decât de oriunde altundeva."

Cele mai interesante aspecte ale acestor atacuri au fost tipurile de tactici folosite, precum și dimensiunea și industria organizațiile vizate, a spus analistul.

Raportul VerizonVerizon privind investigațiile privind încălcările datelor arată că industrii vizate de hackeri. "În general, ceea ce vedem în setul nostru de date sunt încălcări motivate din punct de vedere financiar, astfel încât obiectivele includ, de obicei, organizații de comerț cu amănuntul, restaurante, firme de tip alimentar, bănci și instituții financiare", a afirmat Jacobs. "Când ne-am uitat la cazurile de spionaj, acele industrii au căzut brusc pe fundul listei și am văzut mai ales ținte cu o mare cantitate de proprietate intelectuală, cum ar fi organizații din industriile de producție și servicii profesionale, consultanță în domeniul calculatoarelor și ingineriei și așa mai departe. "

O constatare surprinzătoare a fost reprezentată de împărțirea numărului de organizații mari și organizații mici care au prezentat încălcări legate de cyberespionage, a spus analistul.

" Când ne-am gândit la spionaj, ne-am gândit la mari companii și o mare parte a proprietății intelectuale pe care o au, dar au existat multe organizații mici, vizate cu exact aceleași tactici ", a spus Jacobs.

Există o multitudine de informații de culegere a informațiilor implicate în selectarea țintelor de către aceste grupuri de spionaj, Jacobs a spus. "Credem că ele selectează organizațiile mici din cauza afilierii lor sau lucrează cu organizații mai mari". În comparație cu cyberespionage, crima informatică motivată din punct de vedere financiar a fost responsabilă pentru 75% dintre incidentele de încălcare a datelor acoperite de raport, iar hacktivistii se aflau în spatele restului 5%.

Întrebări despre parole

O constatare demn de remarcat a acestui raport este că toți actorii de amenințare țintesc acreditările valide, a spus Jacobs. În patru din cinci încălcări, atacatorii au furat acreditări valide pentru a-și menține prezența în rețeaua victimei, a spus el.

Acest lucru, sperăm, va începe să ridice câteva întrebări cu privire la dependența pe scară largă de autentificarea bazată pe parolă cu un singur factor, a declarat Jacobs. "Cred că dacă vom trece la autentificarea cu două factori și nu vom mai fi dependenți de parole, s-ar putea să vedem o scădere a numărului acestor atacuri sau cel puțin să forțăm atacatorii să schimbe" unele dintre tehnicile lor. "

Cincizeci și doi procente din incidentele de incalcare a datelor au implicat tehnici de hacking, 40% implicau folosirea malware-ului, 35% folosirea atacurilor fizice - de exemplu ATM skimming - si 29% folosirea unor tactici sociale precum phishingul

VerizonThis tabel din Verizon's Data Breach Investigații Raportul prezintă actorilor amenințării la obiectivele lor.

Numărul de încălcări care au implicat phishing a fost de patru ori mai mare în 2012 față de anul precedent, ceea ce este probabil rezultatul acestei tehnici fiind frecvent utilizat în campaniile de spionaj vizate. atenția acordată amenințărilor mobile în cursul anului trecut, doar un număr foarte mic de încălcări acoperite de raportul Verizon a implicat utilizarea dispozitivelor mobile.

"În cea mai mare parte, nu vedem încălcări ale dispozitivelor mobile încă de la început, A spus Jacobs. "Aceasta este o constatare destul de interesantă, care este un fel de contra-intuitivă în lumina tuturor titlurilor, care arată cât de nesigure sunt dispozitivele mobile. Asta nu înseamnă că nu sunt vulnerabili, dar atacatorii au în prezent alte metode mai ușoare de a obține datele. "

Același lucru este valabil și pentru tehnologiile cloud, a spus Jacobs. Deși au existat unele încălcări care implică sisteme care sunt găzduite în nor, acestea nu au fost rezultatul atacurilor care exploatează tehnologiile cloud, a spus el. "Dacă site-ul dvs. este vulnerabil la injectarea SQL, nu contează unde este găzduit - în nor sau local. Tipurile de încălcări pe care le vedem ar avea loc indiferent dacă sistemul ar fi în cloud sau nu. "

Raportul Verizon include o listă cu 20 de controale critice de securitate care ar trebui să fie implementate de companii și care sunt mapate la cele mai răspândite acțiuni de amenințare identificate în setul de date analizat. Cu toate acestea, nivelul la care fiecare companie trebuie să pună în aplicare fiecare control depinde de industria din care fac parte și de tipul de atacuri la care este probabil să fie mai expuși.