Ads 468x60px

torstai 24. syyskuuta 2015

Ajatuksia Verizonin DBIR 2015-raportista

Verizon julkaisi huhtikuussa Data Breach Investigation Report:n (DBIR) vuoden 2015 version. DBIR on saavuttanut jo vakiintuneen aseman tietoturvapiireissä. Viime vuosina raportin tulokset ovat nousset yhä keskeisimmiksi aiheiksi myös organisaatioiden ylemmän johdon keskuudessa. Tiivistelmä viime vuoden raportista löytyy myös blogistamme. Tällä kertaa tutkimuksessa oli mukana 70 organisaatiota 61 maasta ja aineistoa oli noin 80 000 poikkeamasta, joista 2 122 oli varmistettuja tietomurtoja.

Raportissa todetaan, että viimeisen kolmen vuoden aikana haittaohjelmien käyttämät menetelmät ovat muuttuneet merkittävästi. Vielä vuoden 2012 raportissa käyttäjätunnusten väärinkäytön osuus oli noin 60% kaikista poikkeamista. Viimeisen kahden vuoden aikana nk. RAM Scrapperit (ohjelmat, jotka lukevat esimerkiksi luottokorttidatan muistista ennen sen salaamista) ja tietojen kalastelu (phishing) ovat kasvattaneet osuutensa kaikista aiheutuneista tietoturvapoikkeamista jo yli kolmannekseen. Lisäksi samana aikana keyloggereiden osuus on tippunut huomattavasti. Haittaohjelmat ovat siis muuttaneet muotoaan. Tämän voidaan olettaa johtuvan esimerkiksi PCI DSS vaatimuksien tiukentumisesta tai leviämisestä laajemmalle, jolloin sensitiivistä tietoa säilytetään paremmin salattuna ja näin verkkorikolliset ovat joutuneet muuttamaan keinoja mistä he pyrkivät tietoa saamaan.

Raportin perusteella haittaohjelmatartunnan tapahtumisen vaatima aika on pienentynyt viimeisen kymmenen vuoden aikana huomattavasti. Samaan aikaan organisaatioiden kyky havaita tapahtuneita hyökkäyksiä ei kuitenkaan ole kehittynyt läheskään samaa vauhtia. On siis päädytty tilanteeseen jossa hyökkääjä pääsee aikaisempaa nopeammin murtautumaan organisaatioiden järjestelmiin, kun taas yrityksellä itsellään kestää havaita tämä tapahtuma lähes yhtä kauan kuin 10 vuotta sitten. Tämä asetelma kuvaa hyvin tilannetta, että nk. perinteinen estämiseen (prevention) perustuvat tietoturvakontrollit eivät yksinään ole riittäviä. Myös KPMG:n kokemusten perusteella voidaan todeta, että estämiseen käytettävien resurssien vähäinen kasvattaminen ei useinkaan tuota tietoturvan näkökulmasta sen parempaa tulosta. Usein tehokkaimpana keinona parantaa tietoturvaa voidaankin pitää perusasioiden kunnollista hoitamista sekä oman havainnointikyvyn kehittämistä.

Ei DBIR-raportti sentään pelkkiä synkkiä kuvia maalannut seinille. Raportissa todetaan, että 99,9% hyväksikäytetyistä (exploited) haavoittuvuuksista (vulnerability) on sellaisia, joille on myönnetty
CVE-numero yli vuosi ennen haavoittuvuuden hyväksikäyttöä. Käytännössä tämä siis tarkoittaa sitä, että haavoittuvuus on tiedossa ja sille luultavimmin on olemassa korjaus. Ongelmana organisaatioissa onkin siis päivitysprosessien hitaus. Raportin perustella voidaan siis arvioida, että jo pelkästään päivitystenhallinnan kuntoon saattaminen olisi estävistä tietoturvatoimista kaikkein keskeisin ja tehokkain.

Raportin yhteenvedossa Verizon pyrkii yhdistämään tutkimuksen tulokset ja arvioimaan miten hyvin Council of Cyber Securityn Critical Security kontrollien (CSCs) toteuttaminen vastaisi uhkiin. Tästä voidaan nähdä, että tekemällä edes tietoturvan perusasiat kunnolla, voidaan suurin osa uhista torjua onnistuneesti.

Mukavaa CSC-kontrollien toteuttamista syksyyn!
Jesse

Ei kommentteja:

Lähetä kommentti