Dags för den sjunde i raden av Verizons Data Breach Investigations Report (DBIR), nu anno 2014. Jag tycker att det är branschens främsta rapport i sitt slag: den är bred, ganska transparent och lättläst.

Eftersom rapporter i stil med denna är bra reklam för företaget bakom tenderar det leda till att fler företag vill ha sina egna rapporter att dela ut på konferenser. Därför är det glädjande att DBIR trots detta fortsätter samla fler och fler organisationer som bidrar gemensamt till underlaget. Frågan är hur länge de kan hålla på innan de blir tvungna att knoppa av verksamheten så att den blir mer oberoende, för att kunna locka direkta konkurrenter.

2014 DBIR front page

Avsikten med den här analysen, precis som i fjol, är att belysa rapportens intressanta delar, lyfta fram det som går att utläsa mellan raderna och dra lärdomar från alltihop. Årets rapport är väldigt konsekvent när det gäller att presentera vilka åtgärder som föreslås i vilka lägen så jag kommer inte att gå in på åtgärderna, även om det förstås är intressant.

Sammanfattning

Föregående års rapport kunde sammanfattas med tre distinkta intrångsmönster: (1) små butiker och restauranger som fick sina kassor hackade, (2) storbanker som fick bankomater skimmade och (3) företag i gemen som fick information stulen via phishing och klassisk hacking.

Det var ett mycket smart drag. Det gav en enkel bild över situationen vi verkar i (som Verizon uppfattar den). I år har konceptet tagits ännu längre, Verizon noterar att 95 % av alla dataintrång i DBIR de senaste tre åren kan sammanfattas av nio attackmönster. (s. 13f) Verizon kopplar även dessa attackmönster till demografi och åtgärdsförslag. Resultatet är att rapporten kan användas som ett verktyg för att, utifrån sin branschtillhörighet, prioritera sina säkerhetsåtgärder. Med data för att backa upp dem. Snyggt.

Hur skyddar du dig mot att din sambo dödar dig med en kökskniv medan du sover?

Rapportens syfte är att stödja s k evidence-based risk management (s. 48) och det är lätt att se säkerhetschefen som använder rapporten som hävstång i budgetförhandlingar. Det ska dock klargöras att själva åtgärderna inte är något som kommer direkt av datainsamlingen, det är fortfarande en professionell bedömning att antivirus, lösenordspolicies och nätverkssegmentering har bäst verkan mot intrång i kassaapparater. (s. 19)

ICS eller SCADA nämns inte alls, trots att ICS-CERT deltar…

Hacktivism har införlivats i två av attackmönstren: web app attacks samt denial of service attacks.

För första gången görs ingen bedömning över hur svåra intrång var att genomföra. Förmodligen för att de oftast bedömer allt utom skräddarsydd malware som enkelt. Däremot ges information om hur intrång upptäcks beroende på typ av attack, inte bara generellt, det är bra.

Personligen uppskattar jag ”year in review”-delen, det är lätt att glömma alla intrång som har rapporterats publikt under året så det är trevligt med en repetition. (s. 3f)

Incidenter har fått plats i framsätet också, inte bara dataintrång. Det är inte lika intressant. Helt enkelt för att dataintrång är mycket ovanliga medan incidenter sker regelbundet. Det är lättare att skaffa sig erfarenhet av (sina egna) incidenter.

Analys

Det känns som att jag varje år väntar på nästa års rapport i hopp om att kunna se någon ordning i deras data. Den stora frågan jag ställer mig är om DBIR har en rättvisande bild av hur landet ligger eller inte. Är de intrång de utreder ett tillräckligt representativt, tillräckligt slumpmässigt urval? Jag är ingen statistiker men jag tror att det är svårt att avgöra.

Se figur 18 t ex. (s. 14) Skedde verkligen de tre vågorna av card skimmers, POS intrusions samt cyber-espionage 2010-2012 och kan vi vänta oss att det var en våg av web app attacks i fjol eller var det bara så att just dessa råkade utredas just då?

Percent of selected incident classification patterns over time

Har Verizon och deras partners en tillräckligt bred täckning av kunder för att ge en rättvisande bild över vad som verkligen händer? Var det extra populärt med intrång i kassaapparater under 2011 eller skedde obetydligt fler än vanligt men alla råkade hamna på Verizon i stället för på deras konkurrenter (som inte deltar i DBIR)?

Källor och trovärdighet

Under 2013 har ett 50-tal organisationer (s. 55) tillsammans bidragit med över 63 000 incidenter och 1 367 dataintrång fördelat över 95 länder. (s. 2) Sverige är dock inte med i år. (s. 5) Incident och dataintrång definieras som följer:

Incident: A security event that compromises the integrity, confidentiality, or availability of an information asset.

Breach: An incident that results in the disclosure or potential exposure of data.

Jag väntar som sagt tålmodigt på att antalet bidragande organisationer ska bli så högt och varierat att det blir lite stabilitet i hur många intrång som utreds. Tidigare år har antalet organisationer varit väldigt få och dessutom har US Secret Service bidragit oproportionerligt mycket. Verizon är tyvärr inte längre öppna med hur många intrång varje organisation bidrar med.

Det är som sagt möjligt att de har relativt bra täckning över intrång som sker och att det är antalet intrång som varierar, inte hur många som upptäcks och utreds. Än en gång, jag tror dock inte det. Vi får se hur det blir nästa år (igen). (Notera att första punkten i diagrammet täcker tre år.)

DBIR breaches vs contributors

Som vanligt ska visst tvivel infinna sig när sådana här rapporter läses. Alla som är inblandade i den tycker att datasäkerhet är väldigt viktigt och att det ska tas på allvar (så att de anlitas mer). DBIR är dock nästan helt befriad från FUD och är nog det mest rättvisande du kan hitta gratis på öppna marknaden.

[…] var det 100 % av de som övervakade sina loggar som upptäckte intrånget?

Det ser ut som att kundbasen har blivit bättre nu, det är inte samma överrepresentation av Verizons kortbetalningskunder längre. Det syns bl a i figur 16 där webbapplikationer tog över under 2013 jämfört med 2011-2013 (då Verizon stod för en större andel). (s. 14) Det bedömer jag som rimligt, det går ju en och annan webbapplikation på varje kassaapparat.

Däremot finns en ny överrepresentation när det kommer till incidenter; där står amerikanska staten för 75 % av de 63 000 anmälda. (De har anmälningsplikt.) (s. 16)

2014 DBIR incident distribution

Fördelningen av dataintrång mellan olika branscher är jämnare. Jag berör inte incidenterna men amerikanska staten lär oss alltså att det går nästan 300 incidenter per intrång. (s. 16) Åtminstone för dem… åtminstone 2013.

2014 DBIR breach distribution

Jag tar dem som två ytterligare tecken på att det är mer givande att studera intrången än incidenterna.

Lärdomar

DBIR redogör som sagt för nio attackmönster som tillsammans beskriver nästan alla analyserade dataintrång. Jag vill ta upp ett par av dem.

Cyber espionage

Industrispionage är mest intressant, där är underlaget bäst eftersom de tenderar utredas väl och att en stor andel därför är väl mappade till VERIS (strukturen som Verizon använder för att beskriva intrång). Definitionen av mönstret är lite lurigt dock:

Incidents in this pattern include unauthorized network or system access linked to state-affiliated actors and/or exhibiting the motive of espionage.

Det är lätt att undra hur många som inte verkade handla om spionage men egentligen gjorde det. Det är också lätt att undra hur man i den absoluta majoriteten av fallen lyckades reda ut vilken typ av hotaktör som låg bakom och att det nästan i varje fall (87 %) var en främmande stat. Det var dock inte alltid man lyckades reda ut vilken, bara att det var en stat. (s. 39) Konstigt tycker jag.

NSA:s Tailored Access Operations (TAO) har antingen legat på latsidan under året, gömt sig väl eller undvikit Verizons kunder. Mindre än en procent av de intrång som identifierats som statliga härrörde från Nordamerika. (s. 39) Eller är de censurerade och tappar därför DBIR en hel del trovärdighet?

Kanske är det så att Verizon trollar oss men sidan 33 är definitivt min favoritsida i 2014 DBIR.

Oavsett, industrispionagen, de tunga intrången, de sker som föredrogs i fjol och av APT1-rapporten: brohuvudet skapas med spear phishing (attachments), hemsnickrad malware planteras och det tar lång tid (oftast månader) att upptäcka dem. När de upptäcks.

Nytt är s k strategic web compromise (SWC), något som tidigare kallats waterhole attacks. Angriparen tar reda på vilka sidor som brukar besökas av personal på ett företag, bryter sig in i den sidan, planterar ett drive-by-exploit och ligger sedan och väntar.

Efter brohuvudet handlar det om metodiskt ”tagande av terräng” i nätverket, se beskrivningen av DigiNotar-intrånget för ett typiskt exempel.

Varför tar det sådan tid att upptäcka dessa intrång? Varför är det nästan alltid någon utomstående som upptäcker det? Till metod är crimeware-mönstret rätt likt, även om intrånget sker i ett annat syfte. Varför upptäcks de intrången mycket snabbare? (s. 33, 41) En uppenbar gissning är att antivirus hjälper mot ”crimeware” men inte mot ”cyber espionage ware”.

Något jag saknar är ett mått på hur ”bra” offret är på att skydda sig. Till exempel, om bara en procent av 200 intrång av ett visst mönster har upptäcks genom ”log review” undrar jag genast: hur många av de 200 kollade någonsin på sina loggar? Var det två stycken möjligen? D v s var det 100 % av de som övervakade sina loggar som upptäckte intrånget?

DBIR skulle tyvärr kunna säga mer än den gör om vilka skyddsåtgärder som fungerar bäst. Det skulle dock kräva att de tar in vissa uppgifter om offrets säkerhetsarbete i samband med att de utreder intrånget. Kanske skulle det räcka med ett formulär som de får fylla i själva?

POS intrusions

Intrång i kassasystem hos handlare, på hotell och i restauranger genom fjärradministration på grund av svaga lösenord. Syftet är alltid att komma åt kortnummer. Det är alltid någon annan än offret som upptäcker intrånget. Ganska tråkigt mönster, Verizon sammanfattar det väl: (s. 17)

The perpetrators scan the internet for open remote-access ports and if the script identifies a device as a point of sale, it issues likely credentials (Brute force) to access the device. They then install malware (RAM scraper) to collect and exfiltrate (Export data) payment card information.

Det är bästa sättet. Förutom när du knäcker en kassaapparat i en butik och sedan inser att alla andra butiker i samma kedja använder samma lösenord för fjärradministration. Bekvämt.

Web app attacks

Intrång i webbapplikationer hos alla möjliga, antingen genom kända sårbarheter i vanliga CMS-plattformar (WordPress, Joomla, etc) eller stulna lösenord. Huvudsakligen sker det av ideologiska skäl, ibland av finansiella, sällan för industrispionage.

Ideologiattacker (hacktivister) upptäcks nästan alltid av utomstående CSIRT:s, finansiellt motiverade upptäcks av offrens kunder. Verizon erkänner dock att underlaget är dåligt utrett för webbattacker så jag vågar inte dra för många slutsatser.

Insider and privilege misuse

Insiders utnyttjar sina behörigheter för att stjäla personuppgifter, betaluppgifter och företagshemligheter. Drabbar alla. Syftet är lite oklart men oftast finansiellt och ibland spionage.

Jag tyckte att det var roligt att läsa om åtgärdsförslagen gällande insiders. Det är förstås svårt. Jag brukar jämföra med: Hur skyddar du dig mot att din sambo dödar dig med en kökskniv medan du sover? Enkelt, det kan du inte. Ge inte sambon en anledning att göra det.

På samma sätt är du på det stora hela tvungen att lita på vissa medarbetare. Håll dem få. Behandla dem (och alla andra medarbetare) väl. Var helt öppen med att du vet att de kan blåsa dig men att du litar på dem. Straffa överträdelser offentligt. Håll tummarna.

Notera att underlaget för insiders är lite rörigt, figur 38 över hur snabbt insiders har upptäckts visar att det överlag har gått väldigt snabbt. Figur 37 däremot som beskriver hur de har upptäckts lämnar ingen ledtråd om varför det gått just så snabbt. Insiders upptäcks nämligen på alla möjliga vis. Dessutom är upptäcktstid baserat på runt 1000 fall medan upptäcktsmetoder på omkring 100. (s. 25f)

Miscellaneous errors

Misstag som leder till läckor, huvudsakligen felskickade brev och mail, webbpubliceringar av misstag samt dokument och datamedia som slängs utan att shreddas eller rensas. Även detta händer så gott som alla.

Physical theft and loss

Folk i gemen blir av med sina datorer, dokument och lagringsmedia. Var femtonde blir stulen, resten tappas bort.

Crimeware

Attackmönstret som Verizon kallar crimeware är lite underligt. Jag tolkar det som en slasktratt för attacker där någon form av malware, i något skede installeras på en dator som inte är ett kassasystem eller resulterar i att företagshemligheter stjäls.

Vänta, företagshemligheter stjäls förresten i 1 % av 73 fall. (s. 33) Det är lite konstigt.

Crimeware installeras huvudsakligen via en web drive-by eller genom att användaren laddar ner dem. Trots detta låter rapporteringen veta att webb- och mailservrar drabbas oftare än desktops. Det är också konstigt. USB-minnen verkar inte vara en vanlig vektor. Sjukt nog har även åtminstone en människa(!) påverkats av crimeware. (s. 33) Kanske är det så att Verizon trollar oss men sidan 33 är definitivt min favoritsida i 2014 DBIR.

2014 DBIR page 33

 

Slutsatser

Om jag ska generalisera rejält, det finns två sorters offer i DBIR: de som åker dit för att de inte har vidtagit grundläggande skyddsåtgärder och de som åker dit för att de inte har lyckats vidta grundläggande skyddsåtgärder.

Det är i princip en uppdelning mellan mindre respektive större företag. De mindre verkar inte veta att de behöver göra något för att skydda sig. De större vet men klarar inte av att få ner säkerheten i asfalten. Det är för många åtgärder som ska vidtas på för många ställen i en miljö som ändras för snabbt. Attacker’s advantage.

Kanske.

Denna slutsats går inte att dra direkt från statistiken. 2014 DBIR skiljer på små och stora offer i början men nämner det sedan bara en gång i samband med industrispionage. (s. 6, 40) Det ”låter” dock som det och dessutom är det min erfarenhet… så det kan röra sig om confirmation bias.

Hittills har inte DBIR kastat omkull våra metoder. Det är skönt.

Avslutningsvis, en fråga till CERT-SE, finns det chans att ni kommer att vara med framöver?


Jag vet att de flesta inte lägger riktigt lika mycket tid på att läsa DBIR som jag. Själv har jag, när jag skriver det här, lite svårt att avgöra vad som är tillräckligt anmärkningsvärt för att ta med och vad jag kan låta bero. Jag oroar mig för att jag uppfattar vissa saker som självklara och därmed ointressanta bara för att jag själv läser fram och tillbaka så noggrant. Det vore intressant att höra någon kommentar om träffsäkerheten. Har jag åtminstone någon känsla för vad som bör framhävas och inte?

Trevlig helg!