Stefan Pettersson bloggar om affärsmässig säkerhet för svenska företag.

Sårbarheter lämnas utan åtgärd, del 1

Posted on den 12 september, 2014

Sitter i möte med ett utvecklingsprojekt. En av utvecklarna ritar upp den övergripande arkitekturen på en whiteboard och där ser jag det… programvaran hämtar uppdateringar av sig själv från en file share i nätverket och kör dem utan vidare kontroller. Hela systemets säkerhet har i princip reducerats till skrivåtkomst till en katalog som sköts av en helt annan avdelning.

Systemet kan inte upptäcka att den nya uppdateringen bara är en kopia av den föregående, fast med en bakdörr, och kommer glatt att skriva över sig själv. Allt som krävs är skrivåtkomst till ett visst filsystem.

Jag har upptäckt ett säkerhetshål. Systemet är sårbart. Alltså måste det åtgärdas.

Eller kanske inte.

Sårbarheter måste inte åtgärdas

De bästa säkerhetshålen är ju de som kan lämnas utan åtgärd. Security is a cost of doing business. Keep it low. Det här känns initialt främmande för oss men är inte alls ovanligt. System av alla möjliga sorter har alla möjliga sorters sårbarheter som ingen har en tanke på att försöka åtgärda:

  • Du kan gå rakt in i en reception och slänga en tegelsten på receptionisten.
  • Som bilist kan du köra över fotgängare.
  • Som fotgängare kan du tända eld på parkerade bilar.
  • Du kan fälla ett stort träd och släpa upp på E4 norrut innan rusningstrafik.
  • På biblioteket kan du lätt förstöra de böcker du ogillar.
  • Under knivhot kan du ta andras pengar.
  • Du kan ljuga på Facebook om hur snabbt du springer milen.

De är alla exempel på sårbarheter som kan utnyttjas. Vi skyddar oss inte nämnvärt mot dem och det känns inte främmande. Varför då?

Det finns flera anledningar.

Det finns inte något att vinna på att kasta tegelstenar på receptionister, samma sak gäller sabotage av böcker. Det är svårt att släpa upp ett träd på E4:an. Det finns inget bra sätt att skydda sig mot knivrån. Dessutom är antalet potentiella rånare väldigt få, de flesta av oss kommer att gå igenom hela livet utan att bli knivrånade. Samma sak gäller mordiska bilister och pyromaniska fotgängare. Det gör inget att någon ljuger om sina löptider.

Vad de alla har gemensamt är att de inte innebär stora problem för oss. Jag vill absolut inte förringa konsekvenserna av att bli knivhotad eller påkörd eller effekterna av förseningar i trafiken. De är enorma. Faktum kvarstår dock: åtgärder för att förhindra utnyttjande av våra sårbarheter är ibland oproportionerligt dyra.

När du ställs inför en sårbarhet bör du ställa dig massor av frågor:

  • Vad vinner en angripare på att utnyttja sårbarheten?
  • Kan det vara så att någon gör det bara for the lulz?
  • Innebär det risker för angriparen att utnyttja den?
  • Är det svårt att utnyttja sårbarheten?
  • Finns det några tänkbara angripare? Är de många?
  • Är det ens möjligt att skydda sig?

Listan är knappast uttömmande, jag kan tänka mig fler frågor, exempelvis hur ofta sårbarheten finns, hur många som har möjlighet att utnyttja den och så vidare. Många skriver under på att det här är självklarheter och det är inte meningen att förolämpa dig.  Jag upplever dock ofta att den enda frågan som ställs är konsekvensfokuserad: ”Vad kan vi förlora?” när det vi egentligen vill veta är om åtgärden innebär mer besvär än nytta.

Det är det här som gör säkerhet svårt i praktiken. Att skapa säkra system är bara svårt i teorin, i praktiken är det enkelt. Det räcker med att överdriva: lägg på för många säkerhetskrav, begär alltid mer dokumentation, gå ner på för små detaljer, driv dem för hårt, lita inte på någon, granska för länge och för ofta. Baksidan är att du blir fattig och impopulär.

Till skillnad från vad du kanske har hört så är säkerhetsarbete på företag faktiskt en populäritetstävling. Impopulära säkerhetsgrupper är livsfarliga.

Avvägningar, avvägningar, avvägningar

Det är alltid fråga om avvägningar. Tänk dig en amerikansk diplomat, hon kan lugnt slappna av framför teven på hotellrummet i Washington trots att hon är väldigt viktig och i allra högsta grad sårbar mot knivhugg. Däremot borde hon ha en skyddsväst och ett rejält närskydd när hon ska rumla hem full genom en favela i Rio på natten.

Precis som knivhugg är SQL injection en mycket allvarlig attack. På samma sätt är det också en avgörande skillnad mellan att ha sårbarheten i sökfunktionen på DN.se och i tidningens fakturasystem på deras interna nätverk, efter inloggning, som bara tolv personer har åtkomst till. Informationens känslighet är givetvis en viktig faktor, men det är inte den enda. Är ditt system berusad och ensam i en favela eller i tryggt förvar på ett hotellrum?

I nästa del tänker jag gå in på särfall och när sårbarheter omedvetet lämnas utan åtgärd. Det  är lite av ett minfält så jag tar det separat.


Hur gick det med sårbarheten i uppdateringsfunktionen då? Jo, systemet är väldigt känsligt men den lämnades faktiskt utan åtgärd.

Det är nog inte svårt att få åtkomst till lagringsytan men att föra in en meningsfull bakdörr i en uppdatering är inte något för vem som helst. Även om bakdörren inte behöver vara särskilt sofistikerad. Vidare är uppdateringar sällsynta, sannolikt skulle det upptäckas och rapporteras ganska snart utan särskilda förberedelser. Dessutom, ett starkt skydd innebär signering av koden och validering av signaturer. En sådan funktion är en enorm uppgift att införa som kommer att kräva inblandning från flera grupper i organisationen, inte bara under utvecklingen utan under fortsatt drift. Det finns förstås åtgärder som är enklare men inte innebär samma skydd, exempelvis att (regelbundet) revidera behörighetslistor till katalogen eller att jämföra med en enkel hash som hämtas från en annan plats. Kanske kan vi upprätta file integrity monitoring på servern för att upptäcka nya uppdateringar.

Det finns många sätt. Inget sätt är gratis. 

Intervju med CSO på Nordnet Bank

Posted on den 13 juni, 2014

”Ett företag ska ha ändamålsenliga processer för hur det hanterar sina it-system. Företaget ska dokumentera processerna och beskriva de förhållanden som är av betydelse för att det ska kunna hantera it-systemen på ett kontrollerat sätt”, läser jag och tittar upp på en framåtlutad, långsamt nickande och snett leende Mark. Han ställer ner kaffekoppen.

Det där kravet är inte att leka med.

– Nä, vi banker kommer att ha ett ansenligt dokumentationsarbete framför oss. Jag känner till väldigt få banker som är särskilt processorienterade och ännu färre som har dem dokumenterade. 9001-certifieringar är vanliga inom industrin men jag tror inte att vidare många banker är där.

Den 1 juni i år trädde nya regler från Finansinspektionen i kraft: Finansinspektionens föreskrifter och allmänna råd om informationssäkerhet, it-verksamhet och insättningssystem (FFFS 2014:5). Populärt kallad ”it-föreskriften”. Citatet ovan är från 3 kap. 4 § om processer.

Mark Hejja är CSO på Nordnet Bank och har varit på banken i sju år. Mark samordnar och leder säkerhetsarbetet i banken. I praktiken handlar det om att se till att operativa risker som rör säkerhet identifieras och hanteras på bästa sätt.

…vi är inte särskilt intresserade av 1 + 1 = 2, vi vill hitta de fall där 1 + 1 = 78

Vad är viktigast för att bli framgångsrik som säkerhetschef i dag?

– Det är att klara av att balansera affärsnytta mot risktagande. Tiden då säkerhetschefen ställer säkerhetskrav blint är förbi. Det är i interaktionen med omvärlden affärsnyttan finns. Där finns också riskerna. Det gäller att kunna balansera dem. Jag har faktiskt funder…

…det där låter bekant.

– Haha, jag antar att det är vad du menar med affärsmässig säkerhet. For the record så hade jag den uppfattningen innan jag läste om Springflod. Hur som helst, jag har funderat på vilka egenskaper som är nyttiga för att kunna se och förhålla sig till något så abstrakt som risker. Jag tror att situational awareness är nyttigt, förmågan att se hur mindre egenskaper eller små skeenden kan påverka ett förlopp i det stora hela. Det är något som söks hos trafikledare och liknande. Det och kommunikationsförmåga förstås. Mitt jobb handlar nästan alltid om att övertyga någon annan om att hantera en, eller att prioritera vissa, risker. Jag äger inte alla risker bara för att jag är säkerhetschef.

Mark Hejja

De här andra personerna, affärsområdeschefer och så som verkligen drar in pengar till bolaget, hur ser de på dig egentligen?

– Jobbig delvis, men jag tror de uppskattar att vi har en konstruktiv dialog. Jag har som princip att aldrig svara nej utan att i så fall alltid komma med ett, förhoppningsvis, kreativt motförslag i stället. Jag lägger ner mycket tid på att försöka förstå affärs- och produktsidan för att hitta bra sätt att navigera runt risker.

Du har ju jobbat på andra ställen också. Är det speciellt att prata om säkerhetsrisker just på en bank?

– Finansbranschen har lång erfarenhet av att omsätta risker till finansiella värden. Det gör att det ligger närmare till hands att väga och prioritera även säkerhetsrisker. Jag har alltid känt att det underlättar jämfört med när jag har jobbat i andra branscher som konsult. Vi är också väldigt vana vid extern reglering, i synnerhet när viss verksamhet finns utomlands. Reglerna i Sverige förändras ju som sagt, svenska föreskrifter har varit generella men blir mer och mer detaljerade vilket har varit vanligt i andra länder en tid. Tyvärr är reglerna i olika länder sällan samstämmiga så det kan bli en del pussel.

Vi bedömde exempelvis risken för strejk för en tid sedan, svaren var över hela kartan…

Okej, vi stannar med riskerna ett tag så går vi tillbaka till regleringen sen. Vad tycker bankers ”vanliga” riskanalytiker om operativa risker egentligen?

– Många av de som kommer från den ekonomiska risksidan tycker ofta att det är stökigt och rörigt. Det saknas en matematisk elegans som går att räkna på. Det blir ofta subjektivt och till stor del en erfarenhets- och bedömningsfråga.

Jag kan tänka mig det. Om en utsätter sig för en kreditrisk genom att låna ut pengar så är det tydligt vad worst-case är och vilka ränteintäkter som kan förloras över tid.

– Visst, det finns modeller för att räkna ut kreditrisker och det är oftast möjligt att basera beräkningen på historiska data. Inom informationssäkerhet finns sällan sådana. Tekniken och hoten förändras för snabbt för att kunna samla historik till att bygga prediktiva modeller.

Vad är nyckeln till att analysera våra stökiga, operativa risker då?

– Det finns ju ingen perfekt metod, det råder helt enkelt stor osäkerhet. Det finns dock flera viktiga saker att tänka på. Jag är till exempel noga med att värderingen av risker ska ha en tydlig verklighetskoppling så att de är lättare att relatera till och bedöma. Konsekvensbedömningar till exempel: vi använder en sexgradig skala som löper från förluster på 100 000 kr till 1 miljard. Sannolikhet uttrycker vi som antal händelser per år, från tolv gånger per år till en gång per hundra år…

…hur många gånger per år har världens mest etablerade krypteringsbibliotek en sårbarhet som är trivial att utnyttja och kan användas för att läsa ut den privata nyckeln rakt ut från en oautentiserad nätverkskoppling?

– Haha! Ja du och vad är den ekonomiska konsekvensen? Jag ser fram emot att läsa en analys av vad Heartbleed faktiskt kostade onlinevärlden…

Förlåt, fortsätt.

– Jo, de måste ha en koppling till verkligheten, om du och jag har svårt att ta ställning till ”medelhög” konsekvens och ”hög” sannolikhet så kan du bara gissa hur verksamheten reagerar. En annan sak, blanda aldrig ihop sannolikhet och konsekvens genom att multiplicera dem till något ”riskvärde” (Mark gör citationstecken med händerna). Jag antar att det görs för att kunna sortera risker i ordning men det finns ingen anledning, behandla det som två separata aspekter bara.

Så varför ska de inte multipliceras?

– När du inte har linjära skalor för sannolikhet och konsekvens så går de inte att multiplicera för att ge ett riskvärde. Kan du likställa en risk för 12 incidenter per år till ett värde av 100 000 kr vardera med en incident vart hundrade år till ett värde av 1 miljard kr? Självklart inte.

Hur görs prioriteringen mellan risker då?

– Det är inte så svårt, enklast är att jämföra risker två och två och där igenom sortera dem. Se det som en form av bubble sort. Det svåra steget är att bedöma sannolikheten och konsekvensen per enskild risk, inte att sedan väga dem mot varandra.

När vi pratade på mail tidigare sade du att du föredrog workshopformatet vid riskanalyser. Är det inte stor variation på bedömningarna när det är olika personer med olika bakgrund? Hur kommer du fram till vad som är mest rätt?

– Jag ger inte mycket för demokratiska bedömningar eller vad det ska kallas. Jag råkade ut för en konsult en gång som lät alla rösta och sedan valde något form av medelvärde. Hela tiden. Han visar ingen respekt för att olika personer har olika kompetenser. Vi bedömde exempelvis risken för strejk för en tid sedan, svaren var över hela kartan men jag bestämde mig för att gå på personalavdelningens bedömning. De vet rimligen bäst.

Något annat om riskanalys innan vi studsar tillbaka till extern reglering?

– Ja, sluta fokusera på orsaken till ett riskutfall, försök hantera verkan i stället.

Vänta, vad menar du nu?

– En och samma konsekvens kan komma av flera olika anledningar, alla av olika orsaker med olika sannolikheter. Inom informationssäkerhet så blir det mycket färre variabler att ta hänsyn till i analysen om du fokuserar på att hantera verkan av en händelse. Det är inte säkert att du ens kommer att kunna identifiera alla potentiella orsaker.

…blanda aldrig ihop sannolikhet och konsekvens genom att multiplicera dem

Har du snott min grundpelare? Säkerhetsbrister och intrång ska inte göras mindre sannolika; de ska göras mindre meningsfulla. Jag har i och för sig själv snott den från Dan Geer…

– Jaha, nä men i så fall håller jag med er båda, det låter som vad jag menar! Vad är skillnaden om du glömmer din laptop i en taxi eller om den blir stulen vid ett inbrott? Lösningen är oavsett att kryptera hårddisken.

Vi stannar lite till vid risker. Vi pratade om prioritering och att det är lättare att jämföra risker två och två för att sortera dem. Några strategier för att hantera mängden av risker som identifieras, riskbilden?

– Största misstaget många gör är att de angriper ett säkerhetsproblem i taget och sedan försöker eliminera risken helt. Därefter går de vidare på nästa. De har sällan en strategi för helheten. Genom att minska konsekvensen i flera, mindre steg per risk och sprida dina insatser över flera risker får du snabbare till en mer homogen riskbild. Även om du startar från ett rörigt utgångsläge.

Interaktioner mellan risker tycker jag är intressant, två ungefär lika stora risker är förstås värre än bara den ena. Men, det är ju inte så enkelt tyvärr. Kommentarer?

– Risker kan inte bara staplas, i riskbilden är vi inte särskilt intresserade av 1 + 1 = 2, vi vill hitta de fall där 1 + 1 = 78. Ta exemplet med en tjänst som är exponerad mot internet. Det behöver inte vara en stor risk men kombinerar du den med att använda svaga lösenord så har du plötsligt en mycket hög risk på grund av interaktionen mellan dem. Samtidigt kan du ha två liknande säkerhetsbrister i ett system men ändå behöver det inte betyda att konsekvensen eller sannolikheten blir dubbelt så hög.

Jag går och hämtar en till kaffe innan vi pratar om Finansinspektionen igen. Svart?

Situational awareness, som Mark pratar om, börjar kännas naturligt i sammanhanget. Riskhantering, inte bara riskanalys, kräver också skicklighet. Inte bara metod.

It-föreskriften från Finansinspektionen kom, som föreskrifter sällan gör, inte ensam. Parallellt kom också Finansinspektionens föreskrifter och allmänna råd om hantering av operativa risker (FFFS 2014:4) eller ”föreskriften om operativa risker”. Redan den 1 april 2014 började dessutom den om styrning, riskhantering och kontroll i kreditinstitut (FFFS 2014:1) att gälla. Mer känd som ”SRK-föreskriften”.

Finansinspektionen har grundat bestämmelserna i alla tre på delar av Europeiska bankmyndighetens (Ebas) regelverk GL 44 från 2011. Fram tills nu har GL 44 setts som allmänna råd (”bör-krav” för er som är kravorienterade) för banker. Men, vissa av reglerna byter alltså nu skepnad till föreskrifter och blir tvingande.

Alla tre föreskrifter presenterades på Finansinspektionens seminarium FI-forum den 20 maj i år. I inledningen gjorde Christer Furustedt, chef för banktillsyn, den fantastiska liknelsen att god riskhantering ska fungera som kroppens nervsystem: företaget ska kunna känna att risken ökar.

De nya reglerna ingår i en trend som för bankerna mot mer detaljerade regler. På internationell nivå och i andra länder har detta varit läget sedan flera år. Svenska banker har dock länge haft en mer generell reglering att förhålla sig till.

Eftersom bestämmelserna kommer från en tillsynsmyndighet, som naturligtvis vill göra sitt eget tillsynsarbete enklare, så rör det sig i hög grad om krav på att dokumentera policies, ansvar och processer. Det gäller även den mer specifika it-föreskriften.

Nordnet Bank skylt

Varsågod, med mjölk, utan socker. Du, hur påverkar de nya föreskrifterna er som mindre nischbank?

– Tack. Jaa, de påverkar oss egentligen lika mycket som större banker i förhållande till vår storlek. Det finns en risk att de formaliserade kraven gör att mycket mer vikt behöver läggas på att bocka av krav i stället för att fokusera på riskhantering. En större bank kan sprida ut arbetet på många personer i sin förvaltningsorganisation. Vi måste jobba smartare för att uppnå samma resultat utan att öka vår administration.

Mer arbete men inte högre effekt?

– Vi har arbetat länge med operativ riskhantering från botten upp och involverat verksamheten i det. Det borde inte innebära så stor skillnad på vår förmåga att identifiera och hantera risker. Men visst kommer det att ge vissa positiva uppsidor. Det innebär mer struktur i arbetet och det kommer minska riskerna för att någonting missas. Den största fördelen ser jag nog i att alla i branschen kommer att arbeta på liknande sätt. Det finns ingen möjlighet att ta genvägar och få en edge den vägen.

Tror du att det är vanligt med genvägar?

– Inte hos bankerna själva, det tror jag inte. Däremot tror jag att kvaliteten kan variera hos de som säljer tjänster till banker. Med de nya föreskrifterna måste vi föra vidare krav som ställs på oss till de uppdragstagare som är nödvändiga verksamheten. För hosting, molntjänster och tjänsteleverantörer i allmänhet kan reglerna ha rejäl påverkan.

Det svåra steget är att bedöma sannolikheten och konsekvensen per enskild risk, inte att sedan väga dem mot varandra.

Jag tror att jag räknade till att varannan bestämmelse i it-föreskriften handlade om att dokumentera eller särskilt fastställa något. Vad tror du om regleringar i framtiden?

– Det är uppenbart att det kommer mer. Framför allt kommer det mycket inom data protection för alla företag som hanterar personuppgifter. Det tror jag faktiskt är bra.

Finns det fler branscher som skulle må bra av hårdare reglering tror du?

– Visst finns det branscher där det skulle behövas en skärpning. Det är ganska störande att se många it-tjänstebolag på nätet förlora stora mängder personuppgifter. Jag blir förbannad varje gång jag träffar på en webbtjänst där lösenordspåminnelsen skickar ut det lösenord jag en gång själv satte. Det är inte raketforskning att använda lösenordshashar.


Ni som har följt bloggen under en längre tid, innan jag började skriva under Springflod, vet att jag har, tycker jag, en sund skepsis till riskhantering. I teorin är riskhantering precis vad som behövs. Praktiken lämnar tyvärr mycket att önska.

Inom informationssäkerhet träffar du flera som säger ”säkerhet är riskhantering”. Mark är nog den första jag har träffat som har en utvecklad syn på riskhantering. Mark har tänkt på det här. Han följer inte bara manualer från ISO eller MSB.

Visst finns det seriösa riskanalytiker. Jag tillbringade något år på en mailinglista tillhörande Society of Information Risk Analysts (SIRA). Men, vissa av medlemmarna är extremister. De går bananas om någon visar minsta tvivel. Jag önskar att jag överdrev.

I andra änden finns till exempel Ralph Langner, känd för sina analyser av Stuxnet, som i fjol skrev Bound to Fail: Why Cyber Security Risk Cannot Be ”Managed” Away. Langner är måttligt populär inom SIRA och har för egen del förstås inte mycket till övers för dem.

Mark är dock den första som jag har träffat, som är verksam som säkerhetschef, som säger att säkerhet är riskhantering och har en sofistikerad inställning till det.

Riskhantering kanske inte är så ofräscht ändå. 

Lärdomar från Verizon 2014 DBIR

Posted on den 9 maj, 2014

Dags för den sjunde i raden av Verizons Data Breach Investigations Report (DBIR), nu anno 2014. Jag tycker att det är branschens främsta rapport i sitt slag: den är bred, ganska transparent och lättläst.

Eftersom rapporter i stil med denna är bra reklam för företaget bakom tenderar det leda till att fler företag vill ha sina egna rapporter att dela ut på konferenser. Därför är det glädjande att DBIR trots detta fortsätter samla fler och fler organisationer som bidrar gemensamt till underlaget. Frågan är hur länge de kan hålla på innan de blir tvungna att knoppa av verksamheten så att den blir mer oberoende, för att kunna locka direkta konkurrenter.

2014 DBIR front page

Avsikten med den här analysen, precis som i fjol, är att belysa rapportens intressanta delar, lyfta fram det som går att utläsa mellan raderna och dra lärdomar från alltihop. Årets rapport är väldigt konsekvent när det gäller att presentera vilka åtgärder som föreslås i vilka lägen så jag kommer inte att gå in på åtgärderna, även om det förstås är intressant.

Sammanfattning

Föregående års rapport kunde sammanfattas med tre distinkta intrångsmönster: (1) små butiker och restauranger som fick sina kassor hackade, (2) storbanker som fick bankomater skimmade och (3) företag i gemen som fick information stulen via phishing och klassisk hacking.

Det var ett mycket smart drag. Det gav en enkel bild över situationen vi verkar i (som Verizon uppfattar den). I år har konceptet tagits ännu längre, Verizon noterar att 95 % av alla dataintrång i DBIR de senaste tre åren kan sammanfattas av nio attackmönster. (s. 13f) Verizon kopplar även dessa attackmönster till demografi och åtgärdsförslag. Resultatet är att rapporten kan användas som ett verktyg för att, utifrån sin branschtillhörighet, prioritera sina säkerhetsåtgärder. Med data för att backa upp dem. Snyggt.

Hur skyddar du dig mot att din sambo dödar dig med en kökskniv medan du sover?

Rapportens syfte är att stödja s k evidence-based risk management (s. 48) och det är lätt att se säkerhetschefen som använder rapporten som hävstång i budgetförhandlingar. Det ska dock klargöras att själva åtgärderna inte är något som kommer direkt av datainsamlingen, det är fortfarande en professionell bedömning att antivirus, lösenordspolicies och nätverkssegmentering har bäst verkan mot intrång i kassaapparater. (s. 19)

ICS eller SCADA nämns inte alls, trots att ICS-CERT deltar…

Hacktivism har införlivats i två av attackmönstren: web app attacks samt denial of service attacks.

För första gången görs ingen bedömning över hur svåra intrång var att genomföra. Förmodligen för att de oftast bedömer allt utom skräddarsydd malware som enkelt. Däremot ges information om hur intrång upptäcks beroende på typ av attack, inte bara generellt, det är bra.

Personligen uppskattar jag ”year in review”-delen, det är lätt att glömma alla intrång som har rapporterats publikt under året så det är trevligt med en repetition. (s. 3f)

Incidenter har fått plats i framsätet också, inte bara dataintrång. Det är inte lika intressant. Helt enkelt för att dataintrång är mycket ovanliga medan incidenter sker regelbundet. Det är lättare att skaffa sig erfarenhet av (sina egna) incidenter.

Analys

Det känns som att jag varje år väntar på nästa års rapport i hopp om att kunna se någon ordning i deras data. Den stora frågan jag ställer mig är om DBIR har en rättvisande bild av hur landet ligger eller inte. Är de intrång de utreder ett tillräckligt representativt, tillräckligt slumpmässigt urval? Jag är ingen statistiker men jag tror att det är svårt att avgöra.

Se figur 18 t ex. (s. 14) Skedde verkligen de tre vågorna av card skimmers, POS intrusions samt cyber-espionage 2010-2012 och kan vi vänta oss att det var en våg av web app attacks i fjol eller var det bara så att just dessa råkade utredas just då?

Percent of selected incident classification patterns over time

Har Verizon och deras partners en tillräckligt bred täckning av kunder för att ge en rättvisande bild över vad som verkligen händer? Var det extra populärt med intrång i kassaapparater under 2011 eller skedde obetydligt fler än vanligt men alla råkade hamna på Verizon i stället för på deras konkurrenter (som inte deltar i DBIR)?

Källor och trovärdighet

Under 2013 har ett 50-tal organisationer (s. 55) tillsammans bidragit med över 63 000 incidenter och 1 367 dataintrång fördelat över 95 länder. (s. 2) Sverige är dock inte med i år. (s. 5) Incident och dataintrång definieras som följer:

Incident: A security event that compromises the integrity, confidentiality, or availability of an information asset.

Breach: An incident that results in the disclosure or potential exposure of data.

Jag väntar som sagt tålmodigt på att antalet bidragande organisationer ska bli så högt och varierat att det blir lite stabilitet i hur många intrång som utreds. Tidigare år har antalet organisationer varit väldigt få och dessutom har US Secret Service bidragit oproportionerligt mycket. Verizon är tyvärr inte längre öppna med hur många intrång varje organisation bidrar med.

Det är som sagt möjligt att de har relativt bra täckning över intrång som sker och att det är antalet intrång som varierar, inte hur många som upptäcks och utreds. Än en gång, jag tror dock inte det. Vi får se hur det blir nästa år (igen). (Notera att första punkten i diagrammet täcker tre år.)

DBIR breaches vs contributors

Som vanligt ska visst tvivel infinna sig när sådana här rapporter läses. Alla som är inblandade i den tycker att datasäkerhet är väldigt viktigt och att det ska tas på allvar (så att de anlitas mer). DBIR är dock nästan helt befriad från FUD och är nog det mest rättvisande du kan hitta gratis på öppna marknaden.

[…] var det 100 % av de som övervakade sina loggar som upptäckte intrånget?

Det ser ut som att kundbasen har blivit bättre nu, det är inte samma överrepresentation av Verizons kortbetalningskunder längre. Det syns bl a i figur 16 där webbapplikationer tog över under 2013 jämfört med 2011-2013 (då Verizon stod för en större andel). (s. 14) Det bedömer jag som rimligt, det går ju en och annan webbapplikation på varje kassaapparat.

Däremot finns en ny överrepresentation när det kommer till incidenter; där står amerikanska staten för 75 % av de 63 000 anmälda. (De har anmälningsplikt.) (s. 16)

2014 DBIR incident distribution

Fördelningen av dataintrång mellan olika branscher är jämnare. Jag berör inte incidenterna men amerikanska staten lär oss alltså att det går nästan 300 incidenter per intrång. (s. 16) Åtminstone för dem… åtminstone 2013.

2014 DBIR breach distribution

Jag tar dem som två ytterligare tecken på att det är mer givande att studera intrången än incidenterna.

Lärdomar

DBIR redogör som sagt för nio attackmönster som tillsammans beskriver nästan alla analyserade dataintrång. Jag vill ta upp ett par av dem.

Cyber espionage

Industrispionage är mest intressant, där är underlaget bäst eftersom de tenderar utredas väl och att en stor andel därför är väl mappade till VERIS (strukturen som Verizon använder för att beskriva intrång). Definitionen av mönstret är lite lurigt dock:

Incidents in this pattern include unauthorized network or system access linked to state-affiliated actors and/or exhibiting the motive of espionage.

Det är lätt att undra hur många som inte verkade handla om spionage men egentligen gjorde det. Det är också lätt att undra hur man i den absoluta majoriteten av fallen lyckades reda ut vilken typ av hotaktör som låg bakom och att det nästan i varje fall (87 %) var en främmande stat. Det var dock inte alltid man lyckades reda ut vilken, bara att det var en stat. (s. 39) Konstigt tycker jag.

NSA:s Tailored Access Operations (TAO) har antingen legat på latsidan under året, gömt sig väl eller undvikit Verizons kunder. Mindre än en procent av de intrång som identifierats som statliga härrörde från Nordamerika. (s. 39) Eller är de censurerade och tappar därför DBIR en hel del trovärdighet?

Kanske är det så att Verizon trollar oss men sidan 33 är definitivt min favoritsida i 2014 DBIR.

Oavsett, industrispionagen, de tunga intrången, de sker som föredrogs i fjol och av APT1-rapporten: brohuvudet skapas med spear phishing (attachments), hemsnickrad malware planteras och det tar lång tid (oftast månader) att upptäcka dem. När de upptäcks.

Nytt är s k strategic web compromise (SWC), något som tidigare kallats waterhole attacks. Angriparen tar reda på vilka sidor som brukar besökas av personal på ett företag, bryter sig in i den sidan, planterar ett drive-by-exploit och ligger sedan och väntar.

Efter brohuvudet handlar det om metodiskt ”tagande av terräng” i nätverket, se beskrivningen av DigiNotar-intrånget för ett typiskt exempel.

Varför tar det sådan tid att upptäcka dessa intrång? Varför är det nästan alltid någon utomstående som upptäcker det? Till metod är crimeware-mönstret rätt likt, även om intrånget sker i ett annat syfte. Varför upptäcks de intrången mycket snabbare? (s. 33, 41) En uppenbar gissning är att antivirus hjälper mot ”crimeware” men inte mot ”cyber espionage ware”.

Något jag saknar är ett mått på hur ”bra” offret är på att skydda sig. Till exempel, om bara en procent av 200 intrång av ett visst mönster har upptäcks genom ”log review” undrar jag genast: hur många av de 200 kollade någonsin på sina loggar? Var det två stycken möjligen? D v s var det 100 % av de som övervakade sina loggar som upptäckte intrånget?

DBIR skulle tyvärr kunna säga mer än den gör om vilka skyddsåtgärder som fungerar bäst. Det skulle dock kräva att de tar in vissa uppgifter om offrets säkerhetsarbete i samband med att de utreder intrånget. Kanske skulle det räcka med ett formulär som de får fylla i själva?

POS intrusions

Intrång i kassasystem hos handlare, på hotell och i restauranger genom fjärradministration på grund av svaga lösenord. Syftet är alltid att komma åt kortnummer. Det är alltid någon annan än offret som upptäcker intrånget. Ganska tråkigt mönster, Verizon sammanfattar det väl: (s. 17)

The perpetrators scan the internet for open remote-access ports and if the script identifies a device as a point of sale, it issues likely credentials (Brute force) to access the device. They then install malware (RAM scraper) to collect and exfiltrate (Export data) payment card information.

Det är bästa sättet. Förutom när du knäcker en kassaapparat i en butik och sedan inser att alla andra butiker i samma kedja använder samma lösenord för fjärradministration. Bekvämt.

Web app attacks

Intrång i webbapplikationer hos alla möjliga, antingen genom kända sårbarheter i vanliga CMS-plattformar (WordPress, Joomla, etc) eller stulna lösenord. Huvudsakligen sker det av ideologiska skäl, ibland av finansiella, sällan för industrispionage.

Ideologiattacker (hacktivister) upptäcks nästan alltid av utomstående CSIRT:s, finansiellt motiverade upptäcks av offrens kunder. Verizon erkänner dock att underlaget är dåligt utrett för webbattacker så jag vågar inte dra för många slutsatser.

Insider and privilege misuse

Insiders utnyttjar sina behörigheter för att stjäla personuppgifter, betaluppgifter och företagshemligheter. Drabbar alla. Syftet är lite oklart men oftast finansiellt och ibland spionage.

Jag tyckte att det var roligt att läsa om åtgärdsförslagen gällande insiders. Det är förstås svårt. Jag brukar jämföra med: Hur skyddar du dig mot att din sambo dödar dig med en kökskniv medan du sover? Enkelt, det kan du inte. Ge inte sambon en anledning att göra det.

På samma sätt är du på det stora hela tvungen att lita på vissa medarbetare. Håll dem få. Behandla dem (och alla andra medarbetare) väl. Var helt öppen med att du vet att de kan blåsa dig men att du litar på dem. Straffa överträdelser offentligt. Håll tummarna.

Notera att underlaget för insiders är lite rörigt, figur 38 över hur snabbt insiders har upptäckts visar att det överlag har gått väldigt snabbt. Figur 37 däremot som beskriver hur de har upptäckts lämnar ingen ledtråd om varför det gått just så snabbt. Insiders upptäcks nämligen på alla möjliga vis. Dessutom är upptäcktstid baserat på runt 1000 fall medan upptäcktsmetoder på omkring 100. (s. 25f)

Miscellaneous errors

Misstag som leder till läckor, huvudsakligen felskickade brev och mail, webbpubliceringar av misstag samt dokument och datamedia som slängs utan att shreddas eller rensas. Även detta händer så gott som alla.

Physical theft and loss

Folk i gemen blir av med sina datorer, dokument och lagringsmedia. Var femtonde blir stulen, resten tappas bort.

Crimeware

Attackmönstret som Verizon kallar crimeware är lite underligt. Jag tolkar det som en slasktratt för attacker där någon form av malware, i något skede installeras på en dator som inte är ett kassasystem eller resulterar i att företagshemligheter stjäls.

Vänta, företagshemligheter stjäls förresten i 1 % av 73 fall. (s. 33) Det är lite konstigt.

Crimeware installeras huvudsakligen via en web drive-by eller genom att användaren laddar ner dem. Trots detta låter rapporteringen veta att webb- och mailservrar drabbas oftare än desktops. Det är också konstigt. USB-minnen verkar inte vara en vanlig vektor. Sjukt nog har även åtminstone en människa(!) påverkats av crimeware. (s. 33) Kanske är det så att Verizon trollar oss men sidan 33 är definitivt min favoritsida i 2014 DBIR.

2014 DBIR page 33

 

Slutsatser

Om jag ska generalisera rejält, det finns två sorters offer i DBIR: de som åker dit för att de inte har vidtagit grundläggande skyddsåtgärder och de som åker dit för att de inte har lyckats vidta grundläggande skyddsåtgärder.

Det är i princip en uppdelning mellan mindre respektive större företag. De mindre verkar inte veta att de behöver göra något för att skydda sig. De större vet men klarar inte av att få ner säkerheten i asfalten. Det är för många åtgärder som ska vidtas på för många ställen i en miljö som ändras för snabbt. Attacker’s advantage.

Kanske.

Denna slutsats går inte att dra direkt från statistiken. 2014 DBIR skiljer på små och stora offer i början men nämner det sedan bara en gång i samband med industrispionage. (s. 6, 40) Det ”låter” dock som det och dessutom är det min erfarenhet… så det kan röra sig om confirmation bias.

Hittills har inte DBIR kastat omkull våra metoder. Det är skönt.

Avslutningsvis, en fråga till CERT-SE, finns det chans att ni kommer att vara med framöver?


Jag vet att de flesta inte lägger riktigt lika mycket tid på att läsa DBIR som jag. Själv har jag, när jag skriver det här, lite svårt att avgöra vad som är tillräckligt anmärkningsvärt för att ta med och vad jag kan låta bero. Jag oroar mig för att jag uppfattar vissa saker som självklara och därmed ointressanta bara för att jag själv läser fram och tillbaka så noggrant. Det vore intressant att höra någon kommentar om träffsäkerheten. Har jag åtminstone någon känsla för vad som bör framhävas och inte?

Trevlig helg!