Verizon: Én ud af fem data brud er resultatet af cyberspionage

Selv om hovedparten af ​​databrud fortsat er resultatet af økonomisk motiverede cyberkriminalitet, cyberspionage aktiviteterne er også ansvarlige for et betydeligt antal data tyveri hændelser, ifølge en rapport, der vil blive udgivet tirsdag af Verizon.

Verizon's 2013 Data Breach Investigations Report (DBIR) dækker data brud undersøges i 2012 af selskabets RISK Team og 18 andre organisationer fra hele verden, herunder nationale beredskabscentre (CERT) og retshåndhævende myndigheder. Rapporten kompilerer oplysninger fra over 47.000 sikkerhedshændelser og 621 bekræftede databrud, der resulterede i mindst 44 millioner kompromitterede optegnelser.

Ud over at inkludere det største antal kilder til dato, er rapporten også Verizons første til at indeholde oplysninger om brud der skyldes statligt tilknyttede cyberespionage-angreb. Denne form for angreb retter sig mod intellektuel ejendomsret og tegner sig for 20 procent af de databrud, der er omfattet af rapporten.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Ud over Kina

I over 95 procent af tilfælde af cyberespionage-angreb stammer fra Kina, siger Jay Jacobs, en senior analytiker hos Verizon RISK-teamet. Holdet forsøgte at være meget grundig med hensyn til tilskrivning og brugt forskellige kendte indikatorer, der sammenkædede teknikker og malware, der blev brugt i disse brud tilbage til kendte kinesiske hackergrupper, sagde han.

Det ville imidlertid være naivt at antage, at cyberespionage-angreb kun kommer fra Kina, sagde Jacobs. "Det sker bare så, at de data, vi kunne samle i 2012, afspejlede flere kinesiske aktører end fra andre steder."

De mere interessante aspekter af disse angreb var de anvendte typer taktik samt størrelsen og industrien i de målrettede organisationer, analytikeren sagde.

VerizonVerizins dataovervågningsundersøgelsesrapport viser industrier, der er målrettet mod hackere. (Klik for større billede.)

"Vi ser typisk i vores datasæt, der er økonomisk motiverede overtrædelser, så målene omfatter normalt detailorganisationer, restauranter, fødevarebetjeningsvirksomheder, banker og finansielle institutioner," sagde Jacobs. "Da vi så på spionage tilfælde faldt disse industrier pludselig ned til bunden af ​​listen, og vi så hovedsagelig mål med en stor mængde intellektuel ejendomsret, som organisationer fra industri- og professionelle servicesektorer, computer- og ingeniørvirksomheder osv.. "

Et overraskende fund var den næsten halvtredive halvdel af antallet af store organisationer og små organisationer, der oplevede brud på cyberspionage, siger analytikeren." Da vi tænkte på spionage, tænkte vi på store virksomheder og den store mængde intellektuelle ejendele, de har, men der var mange små organisationer målrettet med den samme taktik, "sagde Jacobs.

Der er meget intelligensindsamling involveret i udvælgelsen af ​​mål af disse spionagrupper Jacobs sagde. "Vi tror, ​​at de vælger de små organisationer på grund af deres tilknytning eller arbejde med større organisationer."

I sammenligning med cyberspionage var finansielt motiveret cyberkriminalitet ansvarlig for 75 procent af dataforbrudshændelserne, der var omfattet af rapporten, og hacktivister var bag de resterende 5 procent.

Spørgsmål om adgangskoder

Et bemærkelsesværdigt fund i denne rapport er, at alle trusselaktører retter sig mod gyldige legitimationsoplysninger, sagde Jacobs. I fire ud af fem overtrædelser stjal angriberne gyldige legitimationsoplysninger for at opretholde en tilstedeværelse på offerets netværk, sagde han.

Dette vil forhåbentlig begynde at rejse nogle spørgsmål om den udbredte afhængighed af single-factor password-baseret autentificering, sagde Jacobs. "Jeg tror, ​​at hvis vi skifter til tofaktorautentificering og stopper med at være så afhængige af adgangskoder, kan vi måske se et fald i antallet af disse angreb eller i det mindste tvinge angriberne til at ændre" nogle af deres teknikker ".

45 procent af data brud hændelser involverede hacking teknikker, 40 procent involverede brugen af ​​malware, 35 procent brugen af ​​fysiske angreb-for eksempel ATM skimming-og 29 procent brugen af ​​sociale taktikker som phishing.

VerizonThis tabel fra Verizon's Data Breach Undersøgelser Rapport kortlægger trusselaktører til deres mål. (Klik for at forstørre.)

Antallet af overtrædelser, der involverede phishing, var fire gange højere i 2012 sammenlignet med året før, hvilket sandsynligvis skyldes, at denne teknik normalt anvendes i målrettede spionagekampagner.

På trods af alle de opmærksomhed på mobile trusler i løbet af det forløbne år, kun et meget lille antal brud, der er omfattet af Verizon-rapporten, involverede brugen af ​​mobilenheder.

"For det meste ser vi ikke brud på gearing mobile enheder fra og med, "Sagde Jacobs. "Det er et smukt interessant fund, der er lidt mod-intuitivt i lyset af alle overskrifterne, der siger, hvordan usikre mobile enheder er. Det er ikke at sige, at de ikke er sårbare, men angriberne har i øjeblikket andre nemmere metoder til at få dataene. "

Det samme gælder for skyteknologier, sagde Jacobs. Selv om der har været nogle brud på systemer, der er vært i skyen, var de ikke resultatet af angreb, der udnyttede skyteknologier, sagde han. "Hvis dit websted er sårbart over for SQL-indsprøjtning, er det ligegyldigt, hvor det er vært - i skyen eller lokalt. Den slags overtrædelser, vi ser, ville forekomme uanset om systemet ville være i skyen eller ej. "

Verizon-rapporten indeholder en liste over 20 kritiske sikkerhedskontroller, som bør implementeres af virksomheder, og som er kortlagt til mest udbredte trusselhandlinger identificeret i det analyserede datasæt. Det niveau, som hvert firma skal implementere hver kontrol på, afhænger imidlertid af branchen, de er en del af og typen af ​​angreb, som de sandsynligvis vil blive mere udsatte for.