Ads 468x60px

maanantai 28. huhtikuuta 2014

DBIR 2014 - keskeiset tietomurtosuuntaukset


Verizon julkaisi huhtikuun loppupuolella DBIR-raporttinsa (2014 Data Breach Investigations Report kahdeksatta kertaa. Raportissa kuvataan vuoden 2013 tietomurtotapahtumia ja keskeisiä suuntauksia. Mukana tutkimuksessa oli 50 globaalia organisaatiota 95 maasta niin julkisen kuin yksityisen sektorin puolelta. 
 
Tarkasteltaessa turvallisuushäiriöitä ja tietomurtoja toimialoittain voidaan havaita, että tietyt toimialat ovat tietoturvarikollisten suosiossa. Houkuttelevina nähdään esimerkiksi alat, joilla talletetaan maksukorttidataa. Tämä on linjassa KPMG:n aikaisempien Data Loss Barometer[1] -tutkimusten kanssa. On tärkeää muistaa, että mikään ala ei kuitenkaan ole turvassa mahdollisilta hyökkäyksiltä. Suurimpana tietomurtojen motiivina on edelleen taloudellisen hyödyn tavoittelu. Vakoilun osuus tietomurtojen motiivina on kasvanut viime vuosina, ja vuonna 2013 se oli jo noin 25 % kaikista DBIR-aineiston tietomurroista.

Suurin osa hyökkäyksistä tulee tyypillisesti organisaatioiden ulkopuolelta, ja hyökkääjien suurin yksittäinen kohderyhmä on palvelimet. Toiseksi suurimpana ryhmänä on käyttäjien hallinnassa olevat laitteet, joita saatetaan pitää helppoina murtokohteina. Hakkerointi on edelleen suurin yksittäinen menetelmä, jolla tietomurto toteutetaan. Hakkeroinnin ja haittaohjelmien avulla toteutettujen tietomurtojen määrä on kasvanut nopeasti vuoden 2010 jälkeen. Tämä johtuu pääasiassa automaattisten hyökkäystyökalujen ja tee-se-itse haittaohjelmien kehityksestä.  KPMG:n kokemuksen mukaan murtautuminen organisaatioiden järjestelmiin tapahtuu yleensä yksittäisten käyttäjien työasemien tai muiden vastaavien päätelaitteiden kautta.

Seuraavaksi tutkitaan murtautumiseen ja sen havaitsemiseen kuluvaa aikaa. Näkökulmasta riippuen muutama päivä voi olla lyhyt tai pitkä aika. Hyökkääjille tämä on tyypillisesti pitkä aika, sillä suurin osa murroista tehdään vain muutamien päivien sisällä. Sen sijaan murtojen huomaamisen näkökulmasta tämä on huomattavan lyhyt aika, sillä vain neljäsosa murroista huomataan muutamassa päivässä. Usein murtojen havaitsemiseen kuluva aika lasketaankin kuukausissa. Huomattavaa on myös kehittymiskäyrä, josta voidaan havaita, että hyökkääjien menetelmät kehittyvät ylläpitäjien menetelmiä nopeammin. Tämä pidentää aikaa hyökkäyksestä sen havaitsemiseen. Mandiantin aikaisemmin julkaiseman tutkimuksen[2] mukaan yrityksillä kesti satoja päiviä havaita tietomurrot, pahimmillaan murto oli kestänyt yli 6 vuotta ilman, että se olisi havaittu. KPMG:n 2014 alussa julkaisema raportti ”Tuntematon uhka Suomessa[3]” tukee tätä havaintoa myös Suomen osalta.

Verizonin raportin mukaan lähes kaikki tietomurrot noudattavat tiettyä kaavaa, ja nämä voidaan jakaa yhdeksään ryhmään hyökkäysmenetelmän perusteella. Ryhmät ovat: 

  1.         myyntipistejärjestelmään tunkeutuminen (point of sale intrusion),
  2.         web-sovellushyökkäykset,
  3.         sisäpiiritiedon väärinkäyttö (insider misuse),
  4.         fyysisen laitteen häviäminen tai varkaus (physical theft/loss),
  5.         tahattomat turvallisuudenvaarantamistoimet (miscellanous errors),
  6.         crimeware-haittaohjelmilla suoritettavat hyökkäykset,
  7.         kortinlukulaitteiden haittalaitteiden (card skimmers) avulla tehdyt hyökkäykset,
  8.         palvelunestohyökkäykset ja
  9.         verkkovakoilu (cyber-espionage).

DBIR-aineiston yleisimmät tietomurtoryhmät ovat web-sovellushyökkäykset, verkkovakoilu ja myyntipistejärjestelmään tunkeutuminen. Verrattaessa raportoituja hyökkäysyrityksiä datan paljastumiseen johtaneisiin hyökkäyksiin voidaan havaita, että tietyillä hyökkäysmenetelmillä on suurempi näennäinen onnistumistodennäköisyys kuin toisilla. Tämä voi johtua siitä, että tiettyjen hyökkäysmenetelmien hyökkäyksiä voi olla haastavaa havaita. Esimerkiksi web-sovelluksiin kohdistuvat hyökkäkset voidaan havaita automaattisesti monitorointijärjestelmillä ja todentaa lokeista. Sen sijaan automaattisen monitorointijärjestelmän voi olla hankala havaita kortinlukulaitteisiin kohdistuvia hyökkäyksiä, ja niiden todentaminen voi olla vaikeaa.

Raportissa esitetään jokaiselle ryhmälle kontrollisuositukset, joiden avulla voidaan pyrkiä pienentämään hyökkäysten onnistumismahdollisuuksia. Autentikointiin liittyvät asiat toistuvat usein kontrollisuosituksissa. On tärkeää, että käyttäjä tunnistetaan riittävän vahvoilla mekanismeilla, käytetään vahvoja salasanoja ja että tietoturvaan liittyvät politiikat ovat kunnossa. Koska suuri osa hyökkäyksistä johtuu taloudellisista motiiveista, tulisi voimavarat kohdistaa oikein. Hyökkääjiä kiinnostavat kohteet tulisi tunnistaa uhkamallinnuksessa ja suojata asianmukaisesti. Käyttöönotettujen kontrollimekanismien testaus on tärkeä osa kokonaisprosessia. Esimerkiksi PCI DSS 3.0 vaatii toteutettujen kontrollimekanismien kattavan testauksen, johon sisältyy mm. säännöllinen sisäinen sekä ulkoinen murtotestaus. KPMG:n näkemyksen mukaan tietoturvallisuuden säännöllinen testaus ja pyrkimys aukottomaan suojaukseen ovat hyvä lähtökohta, mutta on tärkeä varautua myös siihen, että tämä ei onnistu, jolloin murtojen havaitseminen ja tutkinnan mahdollistavat loki- yms. järjestelmät ovat avainasemassa.

Kirjoittajat: Anni Tuulinen, Jesse Alho



Ei kommentteja:

Lähetä kommentti