Verizon: Én av fem databrudd er resultatet av cyberspionage

Selv om flertallet av databrudd fortsatt er et resultat av økonomisk motiverte cyberkriminalattacker, cyberespionage aktiviteter er også ansvarlige for et betydelig antall data tyveri hendelser, ifølge en rapport som vil bli utgitt tirsdag av Verizon.

Verizon's 2013 Data Breach Investigations Report (DBIR) dekker data brudd undersøkt i 2012 av selskapets RISK Team og 18 andre organisasjoner fra hele verden, inkludert nasjonale datakampanjer (CERT) og rettshåndhevende organer. Rapporten samler informasjon fra over 47 000 sikkerhetshendelser og 621 bekreftede databrudd som resulterte i minst 44 millioner kompromitterte poster.

I tillegg til å inkludere det største antallet kilder til dags dato, er rapporten også Verizons første til å inneholde informasjon om brudd som skyldes statlig tilhørende cyberespionage-angrep. Denne typen angrep retter seg mot immateriell eiendom og utgjorde 20 prosent av databruddene som er omfattet av rapporten.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Utover Kina

I over 95 prosent av tilfeller cyberespionage-angrepene stammer fra Kina, sier Jay Jacobs, en senior analytiker med Verizon RISK-teamet. Teamet prøvde å være veldig grundig med hensyn til attribusjon og brukte forskjellige kjente indikatorer som koblet teknikkene og malware som ble brukt i disse bruddene tilbake til kjente kinesiske hackergrupper, sa han.

Det ville imidlertid være naivt å anta at cyberespionage-angrep bare kommer fra Kina, sa Jacobs. "Det skjer bare slik at dataene vi kunne samle for 2012, gjenspeiler flere kinesiske skuespillere enn fra hvor som helst annet."

De mer interessante aspektene ved disse angrepene var hvilke typer taktikk som ble brukt, samt størrelsen og industrien til De målrettede organisasjonene, sa analytikeren.

VerizonVerizons dataundersøkelsesrapport viser industrier rettet mot hackere. (Klikk for å forstørre.)

"Vanligvis er det vi ser i vårt datasett, økonomisk begrunnede brudd, så målene inkluderer vanligvis detaljhandelsorganisasjoner, restauranter, næringsvirksomhet, banker og finansinstitusjoner," sa Jacobs. "Da vi så på spionasjevallene, dro disse næringene plutselig ned til bunnen av listen, og vi så hovedsakelig mål med en stor mengde intellektuell eiendom som organisasjoner fra industri- og profesjonelle tjenester, industri og datakonsulenter, og så videre. "

Et overraskende funn var den nesten femti-femti splittelsen mellom antall store organisasjoner og små organisasjoner som opplevde brudd knyttet til cyberspionage, sa analytikeren.«

»Da vi tenkte på spionasje, tenkte vi på store selskaper og den store mengden intellektuell eiendom de har, men det var mange små organisasjoner rettet mot nøyaktig samme taktikk, sa Jacobs.

Det er mye intelligensinnsamling involvert i valg av mål av disse spionagruppene Jacobs sa. "Vi tror at de velger de små organisasjonene på grunn av deres tilknytning eller arbeid med større organisasjoner."

I motsetning til cyberspionage var finansielt motivert nettkriminalitet ansvarlig for 75 prosent av databruddshendelsene som var omfattet av rapporten, og hacktivistene sto bak de resterende 5 prosent.

Spørsmål om passord

Et bemerkelsesverdig funn av denne rapporten er at alle trusselaktører målretter mot gyldig legitimasjon, sa Jacobs. I fire av fem brudd stjal angriperne gyldig legitimasjon for å opprettholde en tilstedeværelse på offerets nettverk, sa han.

Dette vil forhåpentligvis begynne å hente noen spørsmål om den utbredte avhengigheten av én-faktor passordbasert autentisering, sa Jacobs. "Jeg tror at hvis vi bytter til tofaktorautentisering og slutter å være så avhengige av passord, kan vi se en nedgang i antallet av disse angrepene eller i det minste tvinge angriperne til å endre" noen av deres teknikker ".

45 prosent av data brudd hendelser involvert hacking teknikker, 40 prosent involvert bruk av skadelig programvare, 35 prosent bruk av fysiske angrep-for eksempel ATM skimming-og 29 prosent bruk av sosiale taktikker som phishing.

VerizonThis tabellen fra Verizon's Data Breach Undersøkelser Rapport kartlegger trusselaktører til deres mål. (Klikk for å forstørre.)

Antall brudd som involverte phishing var fire ganger høyere i 2012 sammenlignet med året før, noe som trolig er resultatet av at denne teknikken ofte brukes i målrettede spionagekampanjer.

Til tross for alle oppmerksomhet gitt mobil trusler i løpet av det siste året, bare et svært lite antall brudd som omfattes av Verizon-rapporten, involverte bruk av mobile enheter.

"For det meste ser vi ikke brudd på innflytelse mobile enheter fra og med, Sa Jacobs. "Det er et ganske interessant funn som er litt motintuitivt i lys av alle overskriftene som sier hvordan usikre mobile enheter er. Det er ikke å si at de ikke er sårbare, men angriperne har for tiden andre enklere metoder for å få dataene. "

Det samme gjelder for skyteknologi, sa Jacobs. Selv om det har vært noen brudd på systemer som er vert i skyen, var de ikke resultatet av angrep som utnytter skyteknologi, sa han. "Hvis nettstedet ditt er sårbart for SQL-injeksjon, spiller det ingen rolle hvor det er vert-i skyen eller lokalt. Hva slags brudd vi ser ville forekomme uansett om systemet skulle være i skyen eller ikke. "

Verizon-rapporten inneholder en liste over 20 kritiske sikkerhetsreguleringer som bør implementeres av selskaper og som er kartlagt til mest utbredte trusselhandlinger identifisert i det analyserte datasettet. Nivået som hvert selskap skal implementere hver kontroll av, er imidlertid avhengig av bransjen de er del av og typen angrep de sannsynligvis vil bli mer utsatt for.