Firma Verizon od kilku lat publikuje coroczne raporty, podsumowujące incydenty analizowane przez jej dział Risk Team. Wspólnie z organami ścigania z USA, Australii, Holandii, Wielkiej Brytanii i Irlandii zbiera informacje i przedstawia w formie rocznego podsumowania. Co wynika z danych za rok 2011?
Jakie incydenty obejmuje raport
Raport 2012 Data Breach Investigations przygotowano w oparciu o przeprowadzone przez zespół Verizon oraz zespoły ścigania przestępczości komputerowej 5 krajów analizy 855 incydentów związanych z naruszeniem bezpieczeństwa w różnych organizacjach. Raport obejmuje jedynie incydenty, w których doszło do naruszenia poufności informacji. Nie znajdziemy w nim incydentów, których skutkiem nie był wyciek danych, czyli np. ataków typu DDoS.
Główne obserwacje
Raport przedstawia kilka ciekawych trendów i obserwacji. Najistotniejsze z nich to:
- w 69% incydentów użyte było złośliwe oprogramowanie
- tylko 7% incydentów wiązało się z użyciem inżynierii społecznej
- 98% incydentów było skutkiem aktywności osób z zewnątrz organizacji
- w małych organizacjach najczęstszym miejscem ataku były zdalnie dostępne usługi, w dużych organizacjach tę rolę grały aplikacje www
- duże organizacje są mniej podatne na zautomatyzowane ataki, lecz są częściej atakowane w bardziej wyrafinowany sposób
- haktywiści, główny nowy gracz roku 2011, biorą za cel głównie duże organizacje
- większość włamań miała za cel uzyskanie dostępu do danych kart kredytowych przechowywanych przez mniejsze firmy i wykorzystywała automatyczne narzędzia
- 85% włamań zostało wykrytych po czasie dłuższym niż kilka tygodni
Najważniejsze rekomendacje
Rekomendacje w raporcie zostały podzielone na dwie sekcje: dla małych i dla większych przedsiębiorstw. Małe firmy mają łatwe zadanie – podstawową radą autorów raportu jest zmiana domyślnych haseł, szczególnie w systemach typu POS (Point of Sales). Drugą wskazówką jest wdrożenie rozwiązań zabezpieczających punkty zdalnego dostępu do sieci wewnętrznej, np. poprzez ustanowienie reguł kontroli dostępu lub instalację firewalla.
Dla firm większych, o dobrze rozwiniętej infrastrukturze IT, główne zalecenia to audyty kodu źródłowego i testy penetracyjne aplikacji www oraz przede wszystkim analiza logów. W większych firmach z reguły istnieją już rozwiązania rejestrujące zdarzenia z obszaru bezpieczeństwa, jednak najczęstszym problemem jest to, że nikt tych logów nie przegląda.
Wszystkim czytelnikom zainteresowanym tematem polecamy lekturę całego raportu – wygląda na to, że dość wiarygodnie przedstawia skalę i charakter obecnie spotykanych zagrożeń.
