Så är det dags igen för en av årets mest efterlängtade rapporter och i särklass bästa reklambroschyr: Verizons 2013 Data Breach Investigations Report (DBIR). För sjätte året i rad sedan 2008 har Verizons RISK Team gjort en lättillgänglig statistisk sammanställning och analys av bekräftade dataintrång, denna gång intrång som har skett under 2012.

Verizon Data Breach Investigations Report 2013 front page

Avsikten med den här analysen är att belysa rapportens intressanta delar, lyfta fram det som går att utläsa mellan raderna och dra lärdomar från alltihop.

Sammanfattning

Den grövsta slutsatsen från 2013 DBIR är följande: Små restauranger och små butiker utsätts för opportunistiska intrång där kortdata stjäls via enkla attacker mot öppna administrationsgränssnitt (remote desktop och motsvarande) med svaga inloggningsuppgifter. Stora banker blir av med kortdata när skimmingutrustning monteras på deras bankomater. De står för tre fjärdedelar av alla intrång och i båda fall utgörs hotet av kriminella gäng från USA och Östeuropa. Tillverkningsindustri, transport- och mediebolag samt konsultfirmor, alla av olika storlekar, utsätts i stället för industrispionage av APT från Kina som utnyttjar riktade phishingmail och hemsnickrad malware för att ta sig in och stjäla information. Hacktivisterna som hade en sådan framträdande position under 2011 (de stod då för 58 % av all datastöld) har tagit det lugnt under 2012. SCADA lyser med sin frånvaro, enligt utsago för att SCADA-incidenterna i underlaget inte handlade om stöld av data utan virusutbrott. Inte så konstigt, SCADA-system är ömtåliga men fokuserar ju inte direkt på databehandling.

Utifrån rapporten är det med andra ord enkelt att identifiera sig själv och utifrån det vilka hot och attacker som borde prioriteras. Det finns gott om underlag för en CISO att använda för att driva sin agenda mot resten av ledningen. Vidare säger 2013 DBIR inte emot Mandiants APT1-rapport utan verkar snarare synnerligen inspirerad av den.

Analys

2013 DBIR visar tydligt hur begränsat underlag de tidigare rapporterna har haft. I år har 18 ytterligare organisationer bidragit till underlaget och först då har det kinesiska industrispionaget framträtt.  Jämförelser mellan tidigare år måste därför göras med försiktighet, om det ens är möjligt alls, underlaget har varit alldeles för kaotiskt.

Var kommer underlaget från?

Alla data kommer från incidenter hos kunder till Verizon eller de andra deltagarna. Totalt rör det sig om 47 000 incidenter under 2012 varav 621 är bekräftade dataintrång där data har stulits. Det är de 621 dataintrången som står i fokus för analysen.

Grovhugget kan man säga att Verizons kundbas, åtminstone tidigare år, huvudsakligen har bestått av handlare som tar betalt med betalkort. Efter ett intrång används kortnumren för bedrägliga inköp; Visa, MasterCard & co upptäcker detta med sina bedrägerialgoritmer och beordrar handlaren att ta in Verizon och låta dem göra en utredning under hot om att handlarens möjlighet att ta betalt med kort dras in.

Det här har förstås resulterat i ett skevt underlag. Sedan 2010 har dock diverse andra organisationer anslutit sig till studien och bidragit med underlag vilket verkar ha spätt ut effekten av Verizons fokuserade kundgrupp. Dock är det bara 19 % av underlaget som rör industrispionage (lika stor som andelen statligt finansierade), 74 % är fortfarande ekonomisk brottslighet och 5 % hacktivism. (s. 18) Detta har skett stegvis så det har tyvärr lett till att det är svårt att jämföra statistiken från år till år och se dem som förändringar över tid.

Årets deltagarlista är den största hittills, utöver Verizon har 18 andra organisationer (s. 62) bidragit med data om incidenter och intrång i varierande grad. 2012 var antalet fem och 2011 två så underlaget borde därför vara bättre än någonsin. Tyvärr har långt ifrån alla följt Verizons VERIS-modell för att dokumentera intrången vilket gör att de tycks ha stora problem att pussla ihop resultatet. Föregående år började de exempelvis skilja på enheter som ägdes av företaget och de som ägdes av användare (BYOD) men det är inget som avhandlas i årets. Sannolikt var underlaget för spritt.

Det ska nämnas att Verizon trots allt är ganska tydliga med begränsningarna i sitt underlag och ständigt återkommer till detta i rapporten. Framförallt är de tydliga med hur stort underlag varje statistisk analys baseras på, hur stor del som är okänd och de extrapolerar aldrig sina siffror.

Är rapporten trovärdig?

Självklart ligger det i Verizons intresse (och ett par av de andras) att det sker många intrång. Det är dock min tro att de har mer att förlora än att vinna på att blåsa upp sina data. Dessutom borde det vara svårare för dem nu när det är flera som bidrar med underlaget och därmed har större insyn i den statistiska analysen. Av skrivsättet att döma är det dessutom inte sälj- eller marknadsavdelningen som ligger bakom analysen. Vad nu det betyder… Jag har åtminstone inga större betänkligheter rörande rapportens trovärdighet. För vad det är värt så bekräftar rapporten dessutom vad jag tror är den gängse uppfattningen.

Jag får dock känslan att Verizon vill bli av med stämpeln som utredare av incidenter rörande kortbedrägerier; statligt finansierat industrispionage är ju faktiskt häftigare.

Lärdomar

Mer än hälften av intrången skedde i USA (55 %), resten var fördelade på EMEA (27 %) och APAC (18 %) baserat på 1 786 incidenter. (s. 28) Verizon är som sagt märkbart påverkade av Mandiants rapport om APT1. Under föregående år nämndes Kina, APT eller spionage knappt alls, nu dyker orden upp överallt. Om man ska tro Mandiant så har APT1 och andra grupper verkat i många år, det säger i så fall lite om hur skevt Verizons underlag har varit tidigare år.

  • Enligt figur 10 är insiders nästan alltid ekonomiskt motiverade, det är inte vad jag har upplevt. De insiderjobb jag har råkat ut för handlar huvudsakligen om att stjäla data från arbetsgivaren inför uppsägning, industrispionage. Tydligen finns det gott om skrupellösa kassörer och servitörer. I 70 % av fallen där en insider stjäl med sig data görs det inom 30 dagar från uppsägning. (s. 24)
  • 96 % av alla intrång rörande industrispionage kunde härledas till Kina, övriga 4 % gick inte att härleda alls. (s. 21)
  • Malware bifogat till epost står för en avsevärt större del än malware länkat från epost: 47 % vs. 5 %. (s. 29) Detta rimmar med hur APT1 arbetade enligt Mandiant. Som vanligt ska dock statistiken uttalas som: av de som åkte dit var majoriteten med bifogade filer snarare än länkar.
  • För de intrång som Verizon har hanterat gör man skillnad på vilken typ av behandling data befinner under vid stölden; lagring, bearbetning eller överföring. Två tredjedelar stals i lagring, en tredjedel under bearbetning, inget vid överföring. (s. 47) Är det för att vi är så duktiga på att använda krypterade kommunikationsprotokoll eller är nätverksavlyssning helt enkelt ingen vanlig attack? Jag sätter mina pengar på det sistnämnda. Det här är inte ett gott argument att gå över till klartextprotokoll, oftast är krypterade protokoll ganska enkla att köra, se det som en hygienfaktor. Däremot kanske krypterad kommunikation inte ska vara ett oomkullrunkeligt ska-krav.
  • Att en utomstående part berättade för offret att de var just offer är precis som tidigare överlägset vanligast. De funktioner som syftar till att upptäcka intrång tycks vara ineffektiva så det förslår (eller så används de inte, vilket är troligare). (s. 55)
2013 DBIR Intrustion detection
  • Med hjälp av Microsofts Broad Street ges en bild av hur malware har installerats hos offren: i 94 % av fallen har det varit en användare i andra änden som initierat installationen genom att öppna en fil eller följa en länk, i majoriteten av dessa var det inte användarens avsikt att starta ett program. Analysen verkar baserad på mindre än hälften av de tre senaste årens data. (s. 32) Notera att underlaget bara omfattar det initiala intrånget, majoriteten av all malware installerades av angriparen själv efter intrånget. (s. 29)
  • Om jag förstår Verizons beskrivning av Broad Street korrekt (det är lite slarvigt dokumenterat, de hade förmodligen bråttom) så var nästan alla (80 %) ”User tricked into running software” vilket borde omfatta det gamla hederliga ”kvartalsrapport.xlsx.exe”- eller ”annakournikova.jpg.exe”-tricket. (s. 32) Varning för confirmation bias…

Vad kan jag göra nu?

En av idéerna med rapporten är ju att skilja på olika vertikaler och storlekar så att man utifrån detta kan prioritera sitt arbete. Jag gissar dock att antalet storbanker, små restauranger och små butiker som läser detta är relativt få. Jag fokuserar därför på övriga.

  1. Se till att bifogade filer till mail verkligen scannas av er antivirusprodukt och stoppas ifall den känner igen något. Ladda ner Eicar på en gång och skicka den som en bifogad fil (välj zip-varianten) till dig själv från en adress som ni aldrig har tagit emot mail från förut (läs: registrera en ny).
  2. När du ändå är igång, prova att bifoga en vanlig exe-fil också. Det finns säkert ingen anledning till att den borde släppas igenom. Pass på, det föregående mailet kanske svartlistade adressen. Testa utan bifogad fil först.
  3. Se till att det är enkelt att anmäla säkerhetsproblem till er. I bästa fall, ha särskild information på er webbsida men se åtminstone till att någon läser mail som kommer in till abuse@företag.se, security@företag.se o s v. Om ni har supportpersonal eller personer som hanterar sociala medier, tillse att de vet hur de ska gå tillväga om någon hör av sig. Prova, skicka ett mail eller Facebook-meddelande. Om du läser det här för ditt företags räkning är det sannolikt att du är en person som ändå borde få reda på om det har skett något (så att du kan avbryta innan det blir panik).
  4. Se till att phishingattacker är något du har med bland dina ”huvudsakliga orosmoment”.

Vad kan jag planera för?

Jag skulle vilja göra en längre utläggning kring phishingattacker här men det skulle bli för långrandigt nu. Generellt gäller samma grundläggande metoder som alltid, precis som rekommendationerna i slutet av inlägget om APT1-rapporten. De är förstås bara en liten del av hela bilden, mycket återstår, det mesta framgår dock i den utmärkta 20 Critical Security Controls som Verizon hänvisar till i DBIR. Det är lätt att känna sig överväldigad förstås (i synnerhet när de låter förstå att det ”bara” är de tjugo viktigaste… det är lite för ödmjukt), men innehållet där är åtminstone mer boxat än i ISO 27002.