Szerző: Bodnár Ádám

2008. június 17. 14:34:06

Egyszerűen elhárítható lenne az adatlopásos támadások zöme

Az adatlopások túlnyomó többségét a szervezeten kívülről hajtják végre, és az incidens hónapokig felderítetlen marad -- állítja az amerikai Verizon távközlési szolgáltató, amelynek üzletbiztonsági csapata több mint 500 adatlopással járó betörés részletes elemzésével jutott erre a következtetésre.

[HWSW] Általánosan elfogadott tényként kezelik, hogy az informatikai rendszereket érő támadások többsége ma már a szervezeten belülről jön. Pedig az adatlopások túlnyomó többségét a szervezeten kívülről hajtják végre, és az incidens hónapokig felderítetlen marad -- állítja az amerikai Verizon távközlési szolgáltató, amelynek üzletbiztonsági csapata több mint 500 adatlopással járó betörés részletes elemzésével jutott erre a következtetésre. Az esetek több mint kétharmada a már meglevő biztonsági szabályok be nem tartására vezethető vissza.

A közhiedelemmel ellentétben a támadások zöme kívülről indul

A szerint az esetek közel háromnegyedében a támadás kívülről érte a szervezetet, a nyomok csak 18 százalékban vezettek belső forráshoz. Aggasztó, hogy az incidensek 39 százaléka üzleti partnerekre volt visszavezethető. Az esetek 30 százalékában több oldalról érte támadás a szervezetet. A jelentés szerint a kiskereskedelmi cégeket érte a legtöbbször adatlopással járó támadás, de a pénzügyi szolgáltatók és a technológiai szolgáltatók is kedvelt célpontnak számítanak. A cégméret alapján a kis- és középvállalatok a leginkább veszélyeztetettek, valószínűleg azért, mert értékes adatokat tárolnak (pl. vásárlói adatok, hitelkártya-számok), de korlátozott IT-szakértelmük miatt nem képesek azokat megfelelően védeni.

A belső támadások viszonylag alacsony száma meglepő lehet annak a fényében, hogy az utóbbi időben sokat lehet arról hallani, hogy az incidensek többsége a szervezeten belül dolgozókra vezethető vissza, a Verizon által citált számok ennek gyökeresen ellentmondani látszanak. Persze a tézis igaz lehet abban az esetben, ha az összes biztosági incidenst figyelembe vesszük, a Verizon kimondottan azokra az esetekre koncentrált, amikor a vállalattól adatokat tulajdonítottak el.

A jelentés kitér arra is, hogy a támadásokban sokszor a partnerek vagy a szervezeten belül dolgozók úgy vesznek részt, hogy valójában nem is tudnak róla. Összejátszának, összeesküvésnek ritkán jutottak nyomára a Verizon "nyomozói", de olyan esetre többször is bukkantak, amikor a támadók nem közvetlenül az áldozat rendszerére céloztak, hanem egy partnerhez, például egy beszállítóhoz vagy az IT-rendszer üzemetetését végző céghez törtek be először, és így szereztek emelt jogosultságokat. Olyan eset is előfordult, amikor a bűnözők megvesztegettek egy rendszergazdát, hogy nyisson hátsó ajtót az adatokat tároló rendszerhez.

A külső és belső forrásokból indított támadások számát és gyakoriságát illetően egyértelműen az előbbiek javára billen a mérleg, azonban a Verizon jelentéséből az is kiderül, hogy a belső eredetű adatlopások esetében a kár lényegesen nagyobb volt. Míg egy külső támadással átlagosan 30 ezer rekordot loptak el, a belső forrásra visszavezethető incidensek esetén ez a szám 375 ezerre rúgott. Érdekes, hogy összességében a partnerek felől érkező támadások jelentik a legnagyobb kockázatot, figyelembe véve a gyakoriságot és az átlagosan ellopott 187 ezer rekordot.

A felelőst legtöbbször az IT-részlegen kell keresni

Ha nem külső, hanem belső eredetű támadásokról van szó, a hunyót a legtöbbször az informatikai részlegen kell keresni. A Verizon kimutatásai alapján a belső támadások több mint feléért rendszergazdákat, adminisztrátorokat terhel a felelősség, más alkalmazottakat 41 százalékban, vezetőket 2 százalékban -- a magasabb jogosultság tehát csábítónak tűnik.

A partnerek felől érkező támadások 57 százalékában a partner rendszerét vagy hálózatát feltörve jutottak be a támadók, de az esetek 16 százalékában itt is az IT-csapat valamelyik tagja volt a felelős. Gyakori eset, hogy az adatlopás egyértelműen a partnerre vezethető vissza, de a két szervezet között nincs pontosan rögzített megállapodás a biztonságra vonatkozóan, így az incidenst nem követi felelősségrevonás.

Ami a támadások konkrét kivitelezését illeti, a legtöbb esetben (59%) a rendszerek feltörésével érnek célt a támadók, az incidensek közel harmadában azonban kártékony program segítségével lopnak el adatokat. A megvizsgált esetek 22 százalékában az információkkal való visszaélésből a baleset, 15 százalékban az adattárolót vagy a -hordozót lopták el, 10 százalékban csalással szereztek információt, és persze előfordult ezek kombinációja is. Aggasztó, hogy az incidensek 62 százalékáról kiderült, végeredményben emberi hiba, figyelmetlenség, hibás konfigurálás okozta.

[oldal:Egy általános iskolás is célt érhet, ha akar]

Nem okosabbak, mint egy ötödikes

A hackertámadások 39 százaléka az alkalmazás-réteget célozta, 23 százalék az operációs rendszert, 18 százalék ismert sebezhetőséget használt ki, a backdoort pedig 15 százalék. Ami aggasztó, a Verizon nyomozása szerint a támadók által kihasznált ismert sérülékenységek 90 százalékára hat hónapnál régebben volt javítás, vagyis az adminisztrátorok nem tartották naprakészen, frissen a rájuk bízott rendszereket.

Crackerek földje
A támadások adatait elemezve a Verizon nemzetközi szervezetekkel együttműködésben kiderítette, hogy a külső támadások 24 százaléka Kelet-Európából indult, Észak-Amerikából 23 százalék, Ázsiából pedig további 14 százalék. A földrajzi elhelyezkedéssel kapcsolatban még olyan érdekességek is kiderültek, mint hogy az Ázsiából érkező támadások javarészt alkalmazások sebezhetőségeit használják ki, a Közel-Keleten a deface támadások népszerűek, a kelet-európai és orosz crackerek pedig a főképp a POS-rendszerekre utaznak. A Verizon adatai szerint évente nagyjából kétszeresére nő azon támadások száma, amelyet szervezett bűnözői csoportok követnek el
A kártékony programmal végrehajtott adatlopásos támadások 58 százalékában a támadók közvetlenül telepítették a kártevőt (pl. sebezhetőség kihasználásával), 14 százalékban e-mailben érkezett, 13 százalékban pedig az internetről töltődött le az áldozatok gépére. Ezeket a programokat vagy közvetlen adatlopásra használták, vagy olyan információk (pl. jelszavak) eltulajdonítására, amelyek birtokában a támadók magasabb jogosultságot szerezhettek.

A filmekből ismert hacker- vagy crackersztorik a figyelem fenntartása érdekében túlszínezik a valóságot, de hogy mennyire, az a Verizon által készített jelentés alapján már-már riasztó. A megvizsgált adatlopási incidensek 52 százaléka annyira egyszerű trükkökkel, technikákkal történt, hogy azokat szinte egy általános iskolás is el tudta volna követni a netről általában ingyen letölthető szoftverek birtokában. Az esetek 28 százalékában lehetett szükség ennél nagyobb szakértelemre, és mindössze a támadások 17 százalékát követték el "vérbeli profik".

Hogy a támadók végül hogy jutottak el az érzékeny adatokhoz? A Verizon felmérése szerint az esetek 42 százalékában valamelyik olyan szoftveren vagy csatornán át, amelyet amúgy is távoli hozzáférésre használnak. A hírnév helyett az üzleti hasznora hajtó crackerek, bűnözők az esetek legnagyobb részében bankkártya- és hitelkártya-adatokat tulajdonítottak el, illetve személyes adatokat, valamint titkos azonosítókat (pl. jelszavak, PIN-kódok).

Csak hónapok múlva derül ki

A szervezetek biztonságtudatának hiányára hívja fel a figyelmet az a tény, hogy az incidensek közel kétharmada csak hónapok múltán derült ki, és túlnyomó többségben (70%) nem az áldozat fedezte fel a támadás nyomait, hanem mások értesítették (pl. az ellopott adatokkal megpróbáltak visszaélni). A megváltozott rendszeraktivitás miatt csak az esetek 7 százalékában fogtak gyanút a cégek, a logok elemzésével pedig csak a támadások 4 százalékát, belső audittal pedig további 3 százalékát azonosították -- vagyis a szervezetek legnagyobb része megelégszik az IT-biztonsági eszközök megvásárlásával és telepítésével, de aktívan egyáltalán nem használja azokat, legalábbis nem eleget.

Az összegzés szerint a támadások 59 százalékát az okozta, hogy a cégnél nem tartották be a biztonságra vonatkozó rendszabályokat, vagyis az áldozatok pontosan tudták, mit kellett volna tenniük az eset megelőzése érdekében -- csak éppen nem tették. Az incidensek 83 százaléka viszonylag egyszerűen kivitelezhető támadás volt, ami tátongó réseket vett célba olyan rendszereken, amelyeket ritkán, vagy sohasem frissítettek, patcheltek. Ha egy szervezetnél betartják, betartatják az amúgy már meglevő szabályokat, és ehhez igazítják a folyamatokat is, minimális figyelmet fordítanak a szoftverfrissítésekre, biztonságossá teszik a partnerek által használt kommunikációs csatornákat, máris nagy lépést tesznek a jóval nagyobb biztonság felé.

Verizon Business RISK Team -- 2008 Data Breach Investigations Report

Véleménye van?

a címlapról