|
|
WIADOMOŚCI
|
|
(2008.07.08)
|
Tak można by określić wyniki Verizon Data Breach Investigations Report 2008 przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm. Raport ten powinien być obowiązkową lekturą dla każdego menedżera ds. bezpieczeństwa IT.
Raport Verizon Business to interesująca i pouczająca lektura, bo wykorzystuje nie badania ankietowe, czy statystyczne, a analizę 500 rzeczywistych i dobrze udokumentowanych przypadków wycieku danych z różnego typu dużych firm, które miały miejsce w ciągu ostatnich czterech lat. Spowodowały one dostanie się w ręce przestępców ok. 230 mln rekordów z baz danych zawierających informacje wrażliwe. Autorzy raportu przedstawili nie tylko suche liczby, ale pokusili się też o zaprezentowanie listy najważniejszych, ich zdaniem, wniosków i rad, których przestrzeganie może istotnie zmniejszyć ryzyko utraty danych, i to najczęściej bez konieczności dużych inwestycji w zabezpieczenie infrastruktury IT.
Wszyscy wiedzą, ale...
Choć wiele wniosków z tej analizy jest powtarzanych w licznych wypowiedziach ekspertów ds. bezpieczeństwa, to niektóre mogą się wydawać zaskakujące, jak choćby ten, że zdecydowanie więcej udanych ataków zostało przeprowadzonych nie wewnątrz, a z zewnątrz lokalnej sieci. Druga ważna konkluzja dotyczy praktycznej efektywności systemów zabezpieczeń. Aż 90% włamań udałoby się uniknąć, gdyby w poszkodowanych firmach przestrzegane były podstawowe zasady bezpieczeństwa oraz ustalonej wcześniej polityki jej egzekwowania. Najbardziej zaawansowane i kosztowne systemy zabezpieczeń nie są do tego potrzebne. Choć są niezbędne, aby zmniejszyć prawdopodobieństwo sukcesu profesjonalnych i precyzyjnie skierowanych ataków, których jednak jest stosunkowo niewiele.
 Rodzaje skutecznych ataków |
Z analizy Verizon wynika, że większość, bo aż 63% poszkodowanych firm, dowiedziała się o wycieku wrażliwych informacji z ich systemu IT dopiero w kilka miesięcy po tym fakcie. Natomiast 75% skradzionych danych zostało wykorzystane w ciągu zaledwie kilku dni. Jednocześnie 70% przedsiębiorstw lub instytucji uzyskało informacje o kradzieży danych z zewnętrznych źródeł - od klientów lub banków, z którymi współpracują. Do tego czasu firmy nie zdawały sobie sprawy, że przechowywane w ich systemach wrażliwe dane wyciekły.
Co najbardziej bulwersujące, to fakt, że nawet gdy informacja o kradzieży została ujawniona, załatanie luki w systemie IT, w blisko połowie analizowanych przypadków, trwało co najmniej kilka tygodni, a zaledwie 37% firm udało się zabezpieczyć go w ciągu kilku dni, czasami kilku godzin.
Wewnętrzni włamywacze kradną rzadziej
Raport zaprzecza opinii, że najwięcej włamań do systemów IT jest dokonywanych wewnątrz, a zewnętrzne ataki rzadziej kończą się sukcesem, choć z drugiej strony dotyczy to tylko liczby włamań. Te wewnętrzne przynoszą bowiem znacznie większe szkody. Z analizy wynika, że zdecydowana większość, bo 73% włamań do systemów korporacyjnych miała zewnętrzne źródło, 18% zostało dokonanych bezpośrednio przez zatrudnionych w firmie administratorów IT lub innych pracowników, a 39% - przez partnerów biznesowych. Liczby nie sumują się do 100%, bo niektóre z włamań miały różne źródła. Jeśli chodzi o wewnętrzne włamania, to za połowę z nich odpowiedzialni są byli pracownicy działów IT.
73% włamań miała zewnętrzne źródło
63% poszkodowanych firm dowiedziała się o wycieku wrażliwych informacji dopiero w kilka miesięcy po tym fakcie
75% skradzionych danych zostało wykorzystanych w ciągu zaledwie kilku dni |
Autorzy raportu zastrzegają się jednak, że liczb tych nie należy traktować bezkrytycznie, bo osoby działające wewnątrz systemu z reguły znacznie bardziej dbają o ukrycie swoich działań niż zewnętrzni hakerzy. Jednocześnie wewnętrzne ataki były bardziej efektywne i przyniosły znacznie większe szkody, bo spowodowały kradzież średnio aż 375 tys. rekordów z baz danych, podczas gdy w zewnętrznym ataku przeciętnie wyciekało tylko 30 tys. rekordów zawierających wrażliwe informacje.
Brak dbałości o system IT
Wiele firm opracowało dobrą politykę bezpieczeństwa, ale okazuje się, że w praktyce jej nie stosują i nie wymuszają, bo aż 83% wszystkich ataków na firmowe sieci była łatwa do odparcia bez potrzeby stosowania szczególnie zaawansowanych zabezpieczeń. Oprócz tego 85% przypadków wycieku danych było związane nie z celowym, dobrze przygotowanym atakiem skierowanym przeciwko systemowi konkretnej firmy, ale z przypadkowymi włamaniami wykorzystującymi standardowe mechanizmy statystycznego skanowania luk, czy takie popularne i dobrze znane techniki jak phishing. Co więcej, 82% analizowanych luk w systemach bezpieczeństwa było wcześniej opisanych i udokumentowanych, ale pracownicy poszkodowanych firm odpowiedzialni za system IT nie zwrócili na to uwagi lub też wiedzieli, że jest taki problem, ale nie podjęli żadnych działań.
Warto pamiętać o podstawach
Najważniejsza rada autorów raportu to konieczność koncentracji osób odpowiedzialnych za bezpieczeństwo systemów korporacyjnych na podstawowych mechanizmach umożliwiających zabezpieczenie danych, takich jak aktywne monitorowanie logów, zanim w firmie zaczną być wdrażane dodatkowe systemy zabezpieczające przed zaawansowanymi atakami wykorzystującymi skomplikowane i trudne do przewidzenia metody.
Oprócz tego większość menedżerów IT odpowiedzialnych za bezpieczeństwo obsesyjnie dba o mechanizmy chroniące system przed atakami zewnętrznymi. Ale w 9 na 10 analizowanych w raporcie przypadków udałoby się uniknąć kradzieży danych, gdyby zadbano o prawidłowe działanie podstawowych mechanizmów ich ochrony w systemie wewnętrznym. "Silna ochrona brzegu sieci jest ważna, ale nie może być najważniejszym elementem, który ma zabezpieczać wrażliwe dane" - konkludują autorzy raportu.
| Co atakowali hakerzy? | 39% atak na luki w warstwie aplikacyjnej lub usługowej
23% wykorzystanie luk w systemie operacyjnym lub platformie
18% wykorzystywanie znanych od miesięcy exploitów
|
|
| |  |
Zobacz też:
Aktualności Artykuły
|
|
|
|
| Python 3.0 udostępniony | (2008.12.05) | | Udostępniono nową wersję języka programistycznego Python, oznaczonego numerem 3.0. Nowa wersja jest pierwszą, która posiada wsteczną kompatybilność ze starszymi edycjami. |
| Sun łata 14 błędów w Javie. A może więcej? | (2008.12.04) | | Koncern Sun Microsystems udostępnił nową wersję Javy - wydanie 6.0 build 11 (dokładne oznaczenie to Java 1.6.0_11). Z nowego wydania usunięto co najmniej 14 luk w zabezpieczeniach - choć może ich być więcej, bo Sun dość nieprecyzyjnie informuje o szczegółach uaktualnienia. |
|
|
|
Zasoby premium - nie masz uprawnień dostępu: zapłać SMSem, 
Zasoby premium - dostęp przyznany
