Egyszerűen elhárítható lenne az adatlopásos támadások zöme

A belső támadások viszonylag alacsony száma meglepő lehet annak a fényében, hogy az utóbbi időben sokat lehet arról hallani, hogy az incidensek többsége a szervezeten belül dolgozókra vezethető vissza, a Verizon által citált számok ennek gyökeresen ellentmondani látszanak. Persze a tézis igaz lehet abban az esetben, ha az összes biztosági incidenst figyelembe vesszük, a Verizon kimondottan azokra az esetekre koncentrált, amikor a vállalattól adatokat tulajdonítottak el.

A jelentés kitér arra is, hogy a támadásokban sokszor a partnerek vagy a szervezeten belül dolgozók úgy vesznek részt, hogy valójában nem is tudnak róla. Összejátszának, összeesküvésnek ritkán jutottak nyomára a Verizon "nyomozói", de olyan esetre többször is bukkantak, amikor a támadók nem közvetlenül az áldozat rendszerére céloztak, hanem egy partnerhez, például egy beszállítóhoz vagy az IT-rendszer üzemetetését végző céghez törtek be először, és így szereztek emelt jogosultságokat. Olyan eset is előfordult, amikor a bűnözők megvesztegettek egy rendszergazdát, hogy nyisson hátsó ajtót az adatokat tároló rendszerhez.

A külső és belső forrásokból indított támadások számát és gyakoriságát illetően egyértelműen az előbbiek javára billen a mérleg, azonban a Verizon jelentéséből az is kiderül, hogy a belső eredetű adatlopások esetében a kár lényegesen nagyobb volt. Míg egy külső támadással átlagosan 30 ezer rekordot loptak el, a belső forrásra visszavezethető incidensek esetén ez a szám 375 ezerre rúgott. Érdekes, hogy összességében a partnerek felől érkező támadások jelentik a legnagyobb kockázatot, figyelembe véve a gyakoriságot és az átlagosan ellopott 187 ezer rekordot.

A felelőst legtöbbször az IT-részlegen kell keresni

Ha nem külső, hanem belső eredetű támadásokról van szó, a hunyót a legtöbbször az informatikai részlegen kell keresni. A Verizon kimutatásai alapján a belső támadások több mint feléért rendszergazdákat, adminisztrátorokat terhel a felelősség, más alkalmazottakat 41 százalékban, vezetőket 2 százalékban -- a magasabb jogosultság tehát csábítónak tűnik.

A partnerek felől érkező támadások 57 százalékában a partner rendszerét vagy hálózatát feltörve jutottak be a támadók, de az esetek 16 százalékában itt is az IT-csapat valamelyik tagja volt a felelős. Gyakori eset, hogy az adatlopás egyértelműen a partnerre vezethető vissza, de a két szervezet között nincs pontosan rögzített megállapodás a biztonságra vonatkozóan, így az incidenst nem követi felelősségrevonás.

Ami a támadások konkrét kivitelezését illeti, a legtöbb esetben (59%) a rendszerek feltörésével érnek célt a támadók, az incidensek közel harmadában azonban kártékony program segítségével lopnak el adatokat. A megvizsgált esetek 22 százalékában az információkkal való visszaélésből a baleset, 15 százalékban az adattárolót vagy a -hordozót lopták el, 10 százalékban csalással szereztek információt, és persze előfordult ezek kombinációja is. Aggasztó, hogy az incidensek 62 százalékáról kiderült, végeredményben emberi hiba, figyelmetlenség, hibás konfigurálás okozta.

[oldal:Egy általános iskolás is célt érhet, ha akar]

Nem okosabbak, mint egy ötödikes

A hackertámadások 39 százaléka az alkalmazás-réteget célozta, 23 százalék az operációs rendszert, 18 százalék ismert sebezhetőséget használt ki, a backdoort pedig 15 százalék. Ami aggasztó, a Verizon nyomozása szerint a támadók által kihasznált ismert sérülékenységek 90 százalékára hat hónapnál régebben volt javítás, vagyis az adminisztrátorok nem tartották naprakészen, frissen a rájuk bízott rendszereket.

A filmekből ismert hacker- vagy crackersztorik a figyelem fenntartása érdekében túlszínezik a valóságot, de hogy mennyire, az a Verizon által készített jelentés alapján már-már riasztó. A megvizsgált adatlopási incidensek 52 százaléka annyira egyszerű trükkökkel, technikákkal történt, hogy azokat szinte egy általános iskolás is el tudta volna követni a netről általában ingyen letölthető szoftverek birtokában. Az esetek 28 százalékában lehetett szükség ennél nagyobb szakértelemre, és mindössze a támadások 17 százalékát követték el "vérbeli profik".

Hogy a támadók végül hogy jutottak el az érzékeny adatokhoz? A Verizon felmérése szerint az esetek 42 százalékában valamelyik olyan szoftveren vagy csatornán át, amelyet amúgy is távoli hozzáférésre használnak. A hírnév helyett az üzleti hasznora hajtó crackerek, bűnözők az esetek legnagyobb részében bankkártya- és hitelkártya-adatokat tulajdonítottak el, illetve személyes adatokat, valamint titkos azonosítókat (pl. jelszavak, PIN-kódok).

Csak hónapok múlva derül ki

A szervezetek biztonságtudatának hiányára hívja fel a figyelmet az a tény, hogy az incidensek közel kétharmada csak hónapok múltán derült ki, és túlnyomó többségben (70%) nem az áldozat fedezte fel a támadás nyomait, hanem mások értesítették (pl. az ellopott adatokkal megpróbáltak visszaélni). A megváltozott rendszeraktivitás miatt csak az esetek 7 százalékában fogtak gyanút a cégek, a logok elemzésével pedig csak a támadások 4 százalékát, belső audittal pedig további 3 százalékát azonosították -- vagyis a szervezetek legnagyobb része megelégszik az IT-biztonsági eszközök megvásárlásával és telepítésével, de aktívan egyáltalán nem használja azokat, legalábbis nem eleget.

Az összegzés szerint a támadások 59 százalékát az okozta, hogy a cégnél nem tartották be a biztonságra vonatkozó rendszabályokat, vagyis az áldozatok pontosan tudták, mit kellett volna tenniük az eset megelőzése érdekében -- csak éppen nem tették. Az incidensek 83 százaléka viszonylag egyszerűen kivitelezhető támadás volt, ami tátongó réseket vett célba olyan rendszereken, amelyeket ritkán, vagy sohasem frissítettek, patcheltek. Ha egy szervezetnél betartják, betartatják az amúgy már meglevő szabályokat, és ehhez igazítják a folyamatokat is, minimális figyelmet fordítanak a szoftverfrissítésekre, biztonságossá teszik a partnerek által használt kommunikációs csatornákat, máris nagy lépést tesznek a jóval nagyobb biztonság felé.