Spoločnosť Verizon vydala 19.5.2020 svoj každoročný Data Breach Investigations Report. Report obsahuje analýzu dát o viac než 32 000 kyberbezpečnostných incidentoch a únikoch dát od 81 spolupracujúcich organizácii z 81 krajín. Okrem štatistík o útočníkoch, typoch útokov a zloženia obetí podľa zamerania je jeho súčasťou aj pohľad na regionálne charakteristiky útokov a, čo je veľmi dôležité, mapovanie výsledkov na CIS framework2, ktoré by malo obrancom pomôcť v tom, ktoré ochranné procesy a prostriedky použiť v reakcii na zistenia reportu.
Samotný report obsahuje 119 strán čistých štatistík a vysvetlení a tak nemá veľký zmysel snažiť sa o nejaké zhrnutie, nakoľko celý report je vlastne informačne hutným zhrnutím. Čitateľom odporúčame, aby si report prečítali a využili túto zbierku zistení, ako uznajú za vhodné. Nižšie uvádzame len niektoré vybrané zistenia, ktoré považujeme za významnejšie spolu s našou interpretáciou.
Report rozlišuje medzi incidentom, ako udalosťou, ktorá nepriaznivo ovplyvňuje integritu, dôvernosť alebo dostupnosť aktíva, a únikom dát (data breach), ktorým je incident, u ktorého mala neautorizovaná strana potvrdený prístup k dátam, teda nešlo iba o potenciálne možný prístup. Jednoduchšie povedané, pri úniku dát sa k dotknutým dátam naozaj dostal niekto, kto nemal.
Finančné motívy vládnu
Prvým významným high-level zistením je, že až 86% únikov dát a 60% incidentov bolo motivovaných finančne. Cieľom bolo teda predať dáta, predať prístup k infraštruktúre, či zarobiť iným spôsobom. Toto zistenie ma viacero implikácii, z nich asi najdôležitejšia je, že aj u útočníkov vládnu zákony biznisu, čiže aj útočníci chcú za málo peňazí veľa muziky. Každá ďalšia prekážka, ktorú dostanú do cesty, len zdražuje útok a odrádza útočníkov. To však znamená aj to, že za účelom maximalizácie zisku, musia útočníci “rozhodiť siete” čo najďalej s čo najjednoduchšími postupmi a nástrojmi. Keďže nemáme dáta o všetkých útokoch, vrátane neúspešných, nemôžeme usudzovať aký úspech táto jednoduchosť má. Čo však usúdiť môžeme je, že potenciálnym cieľom je každý a nie je to “nič osobné”.
Úspešné incidenty a úniky dát sú jednoduché a krátke
Iba v 4% únikov dát potrebovali útočníci viac ako 3 kroky na prístup k dátam. Môžeme to interpretovať tak, že útočníkom stačí urobiť málo, aby dosiahli svoj cieľ. Dostaneme sa tiež k intuitívnemu záveru, že čím viac prekážok má útočník v ceste, tým je menšia pravdepodobnosť, že vôbec dôjde k incidentu. Tiež sa potvrdzuje, že nakoľko k incidentu alebo úniku dát došlo po malom počte krokov, je nutné sústrediť sily ako na prevenciu útokov tak aj na rýchlu detekciu iniciálnych štádii, ako je zneužitie zraniteľností verejne dostupných aktív alebo phishing, či e-mailové malwarové kampane.
Externí útočníci majú na konte 70% únikov dát
Je to presne také jednoduché, ako to vyzerá – 70% únikov dát je spôsobených útočníkmi zvonku. V 30% únikov boli zase “zapletení” interní zamestnanci. Je pravdou, že oproti rovnakým reportom z posledných rokov pozorujeme nárast, ale ten je veľmi pravdepodobne spôsobený väčšou ochotou priznať chyby ako dôvod úniku a nie dôsledkom toho, žeby čoraz viac zamestnancov úmyselne vynášalo data. Tomu nasvedčuje aj veľmi nízky podiel špionáže (3,2%) ako motívu úniku dát. Ak vám teda niekto tvrdí, že najväčším nebezpečenstvom sú “insideri”, nemusí to byť úplne pravda.
Dôveruj ale preveruj ako princíp v kyberbezpečnosti
22% všetkých únikov dát bolo spôsobených neúmyselnou chybou, či už išlo o nesprávnu konfiguráciu, narušenie procesov alebo nedostatočné obmedzenie prístupových práv. Z tohto jasne vidíme, že aj napriek preventívnym opatreniam a nastaveným procesom je potrebný dohľad nad tým, ako sa opatrenia a procesy dodržiavajú. “Dôveruj ale preveruj” tak stále platí ako jeden zo základných princípov v kyberbezpečnosti.
Malware na poklese, ale s veľkými “ale”
Malware bol použitý len pri 17% únikov dát. Šampanské však zatiaľ neotvárajte. Pri 22% únikov dát bolo použité sociálne inžinierstvo (z toho 90% phishing), v 36% zas bruteforce hádanie hesiel alebo credential stuffing, čiže využitie už predtým uniknutých prihlasovacích údajov. Ďalej môžeme vidieť v približne 7% únikov dát zneužitie zraniteľností verejne dostupnej infraštruktúry obete. Nízky podiel malwaru je jednoducho spôsobený tým, že menej náročné spôsoby útoku majú stále vysokú úspešnosť, čo zodpovedá aj maximalizácii zisku z finančného pohľadu. Mali by sme sa teda v prvom rade snažiť eliminovať tieto jednoduché spôsoby útokov, či už procesnými opatreniami (MFA, hygiena hesiel) alebo technickými opatreniami (nástroje WAF, UEBA, EDR, NBA, PAM ), aby sme odradili čo najviac útočníkov a nestali sa súčasťou analyzovanej vzorky aj my.
Toto bolo 5 našich vybraných zistení, report ich však obsahuje oveľa viac a určite tam nájdete niečo, čo bude pre vás relevantné a pomôže vám z potenciálnych úspešných útokov pre útočníka urobiť úspešné útoky pre vás.
Dávid Kosť, Lead Security Analyst, Axenta a.s.
Peter Jankovský, CTO, Axenta a.s.