Ads 468x60px

torstai 29. maaliskuuta 2012

Huomioita Verizonin 2012 Data Breach Investigations raportista

Verizon julkaisi viime viikolla vuosittaisen raporttinsa, jossa he analysoivat edellisen vuoden aikana tapahtuneita tietomurtoja. Tämänkertainen tarkasteludata sisälsi tiedot 855 vuonna 2011 tapahtuneesta tietoturvapoikkeamasta. Tietueina mitattuna tämä otos vastaa 174 miljoonaa hukattua tietuetta. Tämä on toiseksi suurin määrä hukattuja tietueita sitten vuoden 2004.

Yksi raportin selkeistä huomioista on se, että 98% tietomurroista on alkujaan organisaation ulkopuolelta ja ”vain” 4% murroista on organisaatioiden omien työntekijöiden aikaansaannoksia. Samoin vuosi 2011 nosti nettiaktivismin yleiseen tietoisuuteen, 58% tietovuodoista liittyi tavalla tai toisella jokin aktivistiryhmittymä. Nettiaktivismia voidaan pitää organisaatiolle haasteellisena sen takia, koska hyökkääjien motiivit eivät ole enää välttämättä perinteiset ahneus ja raha vaan ennemminkin ideologisia. Tämä taasen aiheuttaa sen, että perinteiset uhka-analyysit eivät välttämättä ole enää relevantteja ja näin ollen organisaatiot eivät välttämättä tiedä mitä vastaan heidän tulisi suojautua. (Case Talvivaara: olisin hyvin yllättänyt, mikäli heidän riskianalyyseissaan olisi mainittu kaksi vuotta sitten nettiaktivismi.) 81%:ssa havaituissa murroista oli käytetty jonkin tasoista hakkeroitumista ja 69%:iin tapahtumista liittyi haittaohjelmia. Sinänsä mielenkiintoista, mutta sosiaalista hyökkäysten määrä oli laskenut 4% 2010 vuodesta ja näin ollen sosiaaliset hyökkäysmetodit liittyivät vain 7% tapauksista.

Ja siten tulosten pelottava osuus: 96% hyökkäyksistä ei ollut vaikeusasteeltaan kummoisia, 85%:ssa tapauksista organisaatiolla kesti viikon tai enemmän havaita hyökkäys ja 92% tapauksista tietomurrot havaitsi ensin joku muu kuin organisaatio itse. Mikäli organisaatiosta varastettiin tietoa, niin se tehtiin todennäköisimmin palvelimilta (94%:ssa tapauksista ) ja 79% urheista oli valikoitui kohteiksi sen takia, että he olivat ”helppoja” maaleja. (Toisin sanoen hyökkääjät eivät ole tehneet intensiivistä taustakartoitusta uhrista ennen hyökkäystä, vaan pääasiallisesti he ovat kokeilleet paletin helppoja ja nopeita hyökkäyksiä ja he ovat hyödyntäneet tunnettuja haavoittuvuuksia.) Ja miksi tämä on mahdollista: vain 3% tapauksista hyökkäyksen estäminen olisi vaatinut vaativia, tai laajoja, toimenpiteitä!

Eli, mitä me voimme oppia raportista? Ensinnäkin, nyt on viimeistään aika hoitaa kuntoon palvelimien säännöllinen päivitysprosessi ja varmistaa, että palvelimien tietoturva-asetukset vastaavat vähintään toimittajan suosituksia. Seuraavaksi tulee huolehtia siitä, että oletussalasanat on vaihdettu kaikista järjestelmistä. Ei siis vain niistä kriittisistä järjestelmistä, vaan kaikista järjestelmistä. Kolmanneksi, palvelimilla, jotka näkyvät yleiseen verkkoon, ei kannata säilyttää turhaa dataa. Mitä ei ole, ei voi vuotaa. Lopuksi suosittelisin, että organisaatiot suunnittelisivat kuinka he pyrkivät havaitsemaan tietomurrot mahdollisimman nopeasti. Yksi mahdollisuus on kerätä ”heikkoja signaaleja” netistä, esim Twitteristä, ja toivoa, että oma harvestorointi tuottaa tulosta. Toinen hyvä tapa on ottaa tavaksi vaihtaa säännöllisesti tietoturvatapahtumatietoutta avainkumppanien kanssa ja varmistaa, että kriittisen tiedon välityksessä ei ole viiveitä. (Haluaisimme tietää mahdollisimman pikaisesti, mikäli teillä kävi jotain. Sama tapahtuma hyvin todennäköisesti voi tapahtuma meilläkin.)

Edellä mainitut toimet eivät yksinään tee organisaatiosta turvallista. Kuitenkin, jos organisaatio hoitaa esimerkiksi mainitut asiat kuntoon ja käyttämää maalaisjärkeä turvallisuuden järjestämisessä, niin organisaatio on tuskin helpoin kohde hyökkäyksille. Toisin sanottuna; näin ollen organisaation ei ole myöskään todennäköisin kohde onnistuneelle tietomurrolle.

Raportti on kokonaisuudessaan ladattavissa Verizonin sivuilta.


Ystävällisin terveisin
Antti

Ei kommentteja:

Lähetä kommentti