Egyszerűen elhárítható lenne az adatlopásos támadások zöme

Az adatlopások túlnyomó többségét a szervezeten kívülről hajtják végre, és az incidens hónapokig felderítetlen marad -- állítja az amerikai Verizon távközlési szolgáltató, amelynek üzletbiztonsági csapata több mint 500 adatlopással járó betörés részletes elemzésével jutott erre a következtetésre.

[HWSW] Általánosan elfogadott tényként kezelik, hogy az informatikai rendszereket érő támadások többsége ma már a szervezeten belülről jön. Pedig az adatlopások túlnyomó többségét a szervezeten kívülről hajtják végre, és az incidens hónapokig felderítetlen marad -- állítja az amerikai Verizon távközlési szolgáltató, amelynek üzletbiztonsági csapata több mint 500 adatlopással járó betörés részletes elemzésével jutott erre a következtetésre. Az esetek több mint kétharmada a már meglevő biztonsági szabályok be nem tartására vezethető vissza.

A közhiedelemmel ellentétben a támadások zöme kívülről indul

A szerint az esetek közel háromnegyedében a támadás kívülről érte a szervezetet, a nyomok csak 18 százalékban vezettek belső forráshoz. Aggasztó, hogy az incidensek 39 százaléka üzleti partnerekre volt visszavezethető. Az esetek 30 százalékában több oldalról érte támadás a szervezetet. A jelentés szerint a kiskereskedelmi cégeket érte a legtöbbször adatlopással járó támadás, de a pénzügyi szolgáltatók és a technológiai szolgáltatók is kedvelt célpontnak számítanak. A cégméret alapján a kis- és középvállalatok a leginkább veszélyeztetettek, valószínűleg azért, mert értékes adatokat tárolnak (pl. vásárlói adatok, hitelkártya-számok), de korlátozott IT-szakértelmük miatt nem képesek azokat megfelelően védeni.

A belső támadások viszonylag alacsony száma meglepő lehet annak a fényében, hogy az utóbbi időben sokat lehet arról hallani, hogy az incidensek többsége a szervezeten belül dolgozókra vezethető vissza, a Verizon által citált számok ennek gyökeresen ellentmondani látszanak. Persze a tézis igaz lehet abban az esetben, ha az összes biztosági incidenst figyelembe vesszük, a Verizon kimondottan azokra az esetekre koncentrált, amikor a vállalattól adatokat tulajdonítottak el.

A jelentés kitér arra is, hogy a támadásokban sokszor a partnerek vagy a szervezeten belül dolgozók úgy vesznek részt, hogy valójában nem is tudnak róla. Összejátszának, összeesküvésnek ritkán jutottak nyomára a Verizon "nyomozói", de olyan esetre többször is bukkantak, amikor a támadók nem közvetlenül az áldozat rendszerére céloztak, hanem egy partnerhez, például egy beszállítóhoz vagy az IT-rendszer üzemetetését végző céghez törtek be először, és így szereztek emelt jogosultságokat. Olyan eset is előfordult, amikor a bűnözők megvesztegettek egy rendszergazdát, hogy nyisson hátsó ajtót az adatokat tároló rendszerhez.

A külső és belső forrásokból indított támadások számát és gyakoriságát illetően egyértelműen az előbbiek javára billen a mérleg, azonban a Verizon jelentéséből az is kiderül, hogy a belső eredetű adatlopások esetében a kár lényegesen nagyobb volt. Míg egy külső támadással átlagosan 30 ezer rekordot loptak el, a belső forrásra visszavezethető incidensek esetén ez a szám 375 ezerre rúgott. Érdekes, hogy összességében a partnerek felől érkező támadások jelentik a legnagyobb kockázatot, figyelembe véve a gyakoriságot és az átlagosan ellopott 187 ezer rekordot.

A felelőst legtöbbször az IT-részlegen kell keresni

Ha nem külső, hanem belső eredetű támadásokról van szó, a hunyót a legtöbbször az informatikai részlegen kell keresni. A Verizon kimutatásai alapján a belső támadások több mint feléért rendszergazdákat, adminisztrátorokat terhel a felelősség, más alkalmazottakat 41 százalékban, vezetőket 2 százalékban -- a magasabb jogosultság tehát csábítónak tűnik.

A partnerek felől érkező támadások 57 százalékában a partner rendszerét vagy hálózatát feltörve jutottak be a támadók, de az esetek 16 százalékában itt is az IT-csapat valamelyik tagja volt a felelős. Gyakori eset, hogy az adatlopás egyértelműen a partnerre vezethető vissza, de a két szervezet között nincs pontosan rögzített megállapodás a biztonságra vonatkozóan, így az incidenst nem követi felelősségrevonás.

Ami a támadások konkrét kivitelezését illeti, a legtöbb esetben (59%) a rendszerek feltörésével érnek célt a támadók, az incidensek közel harmadában azonban kártékony program segítségével lopnak el adatokat. A megvizsgált esetek 22 százalékában az információkkal való visszaélésből a baleset, 15 százalékban az adattárolót vagy a -hordozót lopták el, 10 százalékban csalással szereztek információt, és persze előfordult ezek kombinációja is. Aggasztó, hogy az incidensek 62 százalékáról kiderült, végeredményben emberi hiba, figyelmetlenség, hibás konfigurálás okozta.