Het nieuwste ‘Data Breaches’ rapport van Verizon wijst op de snelheid waarmee booswichten bedrijven in de tang nemen, en hoe beperkt het aantal probleempatronen wel is. Co-auteur Chris Porter licht het rapport toe.
Met nu al de medewerking van 50 organisaties – zowel politiediensten als universiteiten, cert’s en gespecialiseerde bedrijven – blijft het ‘Data Breach Investigations Report’ (DBIR) van Verizon Enterprise Solutions jaar na jaar nog aan gewicht winnen. De 2014 editie – tiende in de reeks en beschikbaar op de Verizon website (*) – was tevens de eerste die met 1.367 gerapporteerde datalekken voor het eerst de kaap van 1.000 lekken oversteeg. Bovendien werd een analyse gemaakt van de meer dan 100.000 security-incidenten waarvan in de voorbije tien jaar een analyse werd gemaakt.
NEGEN BASIS- AANVALSPATRONEN
Opmerkelijk is dat meer dan 90 procent van alle incidenten kan worden teruggebracht tot 9 basis-aanvalspatronen, onderstreept Chris Porter, managing pricipal bij het Verizon RISK team en co-hoofdauteur van het Verizon Data Breach Investigations Report. Dat rijtje omvat het gebruik van ‘crimeware’, aanvallen op ‘web toepassingen’, ‘denial-of-service’ aanvallen (DOS-aanvallen die de legitieme toegang tot een site verhinderen), ‘cyber-spionage’, ‘fysieke diefstal en verlies’, het ‘kopiëren’ van betaalkaarten, aanvallen op ‘point of sales’ systemen, ‘misbruik door insiders’ en ‘diverse fouten’.
Helaas wordt ‘nog steeds sneller gehackt dan ontdekt’, want misdadigers slagen in hun aanvallen vaak nog steeds in uren en dagen, terwijl verdedigers die aanvallen vaak pas na maanden (of langer) ontdekken. Concreet, “misdadigers worden sneller en beter in wat ze doen, dan de verdedigers,” klinkt het, gevolgd door een uiterst droog “That doesn’t scale well, people.”
Wel ziet Porter mogelijks beterschap in de toekomst, door het gebruik van nieuwe analyse tools in security-, systeem- en andere logs, en dat in real time (een vorm van big data verwerking). “Ik geloof sterk in deze vorm van detectie. Deze bevindt zich wel nog in een vroeg stadium van maturiteit, maar er zal veel kunnen worden gedaan door betere analysemogelijkheden.” Belangrijk daarbij is “de werking van het bedrijf te kennen,” zodat abnormale acties snel opvallen, en dus moeten “bedrijven investeren in zo’n studie. […] Er is wel geld uitgegeven aan technologie, maar niet aan analyse, of de personen om dat te doen.” Voor dat laatste verwacht Porter ook een sterke groei in een service-aanpak (managed security services), onder meer voor kleinere bedrijven, die tot hogere security-niveaus worden gedwongen door de grote bedrijven in waardeketens (supply chain, value chain).
WERELDWIJDE VERSCHILLEN
Het rapport onderkent wel wat verschillen in de onderscheiden landen, met bijvoorbeeld in de VS meer kopiëren van betaalkaarten (meer dan in Europa, waar meer gebruik wordt gemaakt van de chip in de kaarten), evenals meer verkooppuntperikelen (point-of-sales). “Vaak kan hier al aan worden verholpen door middel van een opleiding,” Dat geldt ook voor incidenten onder ‘diverse fouten’. “Niet zelden creëert de bedrijfswerking zelf problemen, zoals het afleveren van informatie op de verkeerde plek, aan de verkeerde persoon,” door onwetendheid of onachtzaamheid.
Op termijn verwacht Porter een toename van problemen met mobiele toepassingen, waarbij al te vaak dezelfde fouten als in het verleden worden bij gemaakt. Ook breekt hij een lans voor wellicht wat minder ‘dynamische’ websites, en wat meer statische elementen, zodat de aanvallers minder vrij spel krijgen. Betere opleiding van ontwikkelaars zou ook wel helpen!
Het ontdekken van datalekken zelf blijft een uitdaging, zeker als het schier spoorloos gebeurt zoals het misbruik van legitieme gebruiksrechten. Of hoe de komende edities van Verizon’s DBIR voor ontnuchterende lectuur zullen blijven zorgen, volgend jaar allicht wat gekruid met de gevolgen van de recente Heartbleed bug.
(*) Je vindt het DBIR 2014 rapport op www.verizonenterprise.com/DBIR/2014/.
Guy Kindermans
“Meer dan 90 procent van alle incidenten kan worden teruggebracht tot 9 basisaanvalspatronen.”
Fout opgemerkt of meer nieuws? Meld het hier