Krátké zamyšlení nad Verizon DBIR 2020

2020 Data Breach Investigations Report

AxentaSpolečnost Verizon vydala 19.5.2020 svůj každoroční Data Breach Investigations Report. Report obsahuje analýzu dat o více než 32 000 kyberbezpečnostních incidentech a únicích dat od 81 spolupracujících organizaci z 81 zemí. Kromě statistik o útočnících, typech útoků a složení obětí podle zaměření je jeho součástí i pohled na regionální charakteristiky útoků a, což je velmi důležité, mapování výsledků na CIS framework, které by mělo obráncům pomoci v tom, které ochranné procesy a prostředky použít v reakci na zjištění reportu.

Samotný report obsahuje 119 stran čistých statistik a vysvětlení a tak nemá velký smysl snažit se o nějaké shrnutí, jelikož celý report je vlastně informačně hutným shrnutím. Čtenářům doporučujeme, aby si report přečetli a využili tuto sbírku zjištění, jak uznají za vhodné. Níže uvádíme jen některá vybraná zjištění, která považujeme za významnější spolu s naší interpretací.

Report rozlišuje mezi incidentem, jako událostí, která nepříznivě ovlivňuje integritu, důvěrnost nebo dostupnost aktiva, a únikem dat (data breach), kterým je incident, u kterého měla neautorizovaná strana potvrzený přístup k datům, tedy nešlo pouze o potenciálně možný přístup. Jednodušeji řečeno, při úniku dat se k dotčeným datům opravdu dostal někdo, kdo neměl.

Finanční motivy vládnou

Prvním významným high-level zjištěním je, že až 86% úniků dat a 60% incidentů bylo motivováno finančně. Cílem bylo tedy prodat data, prodat přístup k infrastruktuře, či vydělat jiným způsobem. Toto zjištění má několik implikací, z nich asi nejdůležitější je, že i u útočníků vládnou zákony byznysu, čili i útočníci chtějí za málo peněz hodně muziky. Každá další překážka, kterou dostanou do cesty, jen zdražuje útok a odrazuje útočníky. To však znamená i to, že za účelem maximalizace zisku, musí útočníci “rozhodit sítě” co nejdále s co nejjednoduššími postupy a nástroji. Jelikož nemáme data o všech útocích, včetně neúspěšných, nemůžeme usuzovat jaký úspěch tato jednoduchost má. Co však posoudit můžeme je, že potenciálním cílem je každý a není to “nic osobního”.

Úspěšné incidenty a úniky dat jsou jednoduché a krátké

Pouze ve 4% úniků dat potřebovali útočníci více než 3 kroky pro přístup k datům. Můžeme to interpretovat tak, že útočníkům stačí udělat málo, aby dosáhli svého cíle. Dostaneme se také k intuitivnímu závěru, že čím více překážek má útočník v cestě, tím je menší pravděpodobnost, že vůbec dojde k incidentu. Také se potvrzuje, že jelikož k incidentu nebo úniku dat došlo po malém počtu kroků, je nutné soustředit síly jak na prevenci útoků tak i na rychlou detekci iniciálních stádií, jako je zneužití zranitelností veřejně dostupných aktiv nebo phishing či e-mailové malwarové kampaně.

Externí útočníci mají na kontě 70% úniků dat

Je to přesně tak jednoduché, jak to vypadá – 70% úniků dat je způsobeno útočníky zvenčí. V 30% úniků byly zase “zapleteni” interní zaměstnanci. Je pravdou, že oproti stejným reportům z posledních let pozorujeme nárůst, ale ten je velmi pravděpodobně způsoben větší ochotou přiznat chyby jako důvod úniku a ne důsledkem toho, že by stále více zaměstnanců úmyslně vynášelo data. Tomu nasvědčuje i velmi nízký podíl špionáže (3,2%) jako motivu úniku dat. Pokud vám tedy někdo tvrdí, že největším nebezpečím jsou “insideři”, nemusí to být úplně pravda.

Důvěřuj ale prověřuj jako princip v kyberbezpečnosti

22% všech úniků dat bylo způsobeno neúmyslnou chybou, ať už šlo o nesprávnou konfiguraci, narušení procesů nebo nedostatečné omezení přístupových práv. Z tohoto jasně vidíme, že i přes preventivní opatření a nastavené procesy je nutný dohled nad tím, jak se opatření a procesy dodržují. “Důvěřuj ale prověřuj” tak stále platí jako jeden ze základních principů v kyberbezpečnosti.

Malware na poklesu, ale s velkými “ale”

Malware byl použit pouze při 17% úniků dat. Šampaňské však zatím neotvírejte. Při 22% úniků dat bylo použito sociální inženýrství (z toho 90% phishing), v 36% zas bruteforce hádání hesel nebo Credential stuffing, čili využití již dříve uniklých přihlašovacích údajů. Dále můžeme vidět v přibližně 7% úniků dat zneužití zranitelností veřejně dostupné infrastruktury oběti. Nízký podíl malwaru je jednoduše způsoben tím, že méně náročné způsoby útoku mají stále vysokou úspěšnost, což odpovídá i maximalizaci zisku z finančního pohledu. Měli bychom se tedy v první řadě snažit eliminovat tyto jednoduché způsoby útoků, ať už procesními opatřeními (MFA, hygiena hesel) nebo technickými opatřeními (nástroje WAF, UEBA, EDR, NBA, PAM), abychom odradili co nejvíce útočníků a nestali se součástí analyzovaného vzorku i my.

Toto bylo 5 našich vybraných zjištění, report jich však obsahuje mnohem více a určitě tam najdete něco, co bude pro vás relevantní a pomůže vám z potenciálních úspěšných útoků pro útočníka udělat úspěšné útoky pro vás.

Dávid Kosť, Lead Security Analyst, Axenta a.s.

Peter Jankovský, CTO, Axenta a.s.

Napsat komentář