Het jaarrapport van de internationale telco Verizon over data-inbreuk is een van de spannendste rapporten van het jaar, want deze is gebaseerd op daadwerkelijke inbraken en is daarom veel betrouwbaarder dan een rapport gebaseerd op een rondgang langs bedrijven. Verizons Data Breach Investigations Report geeft daarom een realistisch beeld van cybercrime op dit moment.
Het rapport van 2014 is gebaseerd op 1367 inbraken en meer dan 63.000 beveiligingsincidenten in 95 verschillende landen en stelt daarom niet teleur. Het is interessant leesvoer voor beveiligingsspecialisten die ongetwijfeld hun eigen lessen leren van het rapport. Hier zijn de vijf dingen die mij opvielen.
1. Bedrijfsspionage begint groot te worden
Het gaat in de meeste gevallen bij hacks om criminelen die bedrijven geld proberen te ontfutselen (zo'n 60 procent van alle inbraken), maar hackers die uit zijn op intellectueel eigendom vormen een steeds belangrijkere groep: vorig jaar zo'n 25 procent. Hackers die inbraken voor de lol, om bijvoorbeeld iets te ontdekken of vanwege een bepaalde ideologie waren er nauwelijks.
Dat komt waarschijnlijk voor een deel aan het verdwijnen van enkele sleutelpersonen die zich als Anonymous-hacker identificeerden. Anonymous en aanverwante hackergenootschappen zijn nog steeds een dreiging voor bedrijven, maar er is een stuk minder participatie vanwege meerdere landen die hard optreden tegen personen die zich voor de organisatie inzetten. Niet veel mensen durven nog hun carrière en normale leven te riskeren.
2. Interne datadiefstal bedraagt minder dan 10 procent
Ah, het is handig om de daadwerkelijke cijfers te kennen als een CIO onterecht meent dat de grootste aandacht uit moet gaan naar interne gebruikers. Eén kleine slag om de arm: datadiefstal door werknemers steeg lichtjes in 2013, maar diefstal via bedrijfspartners of andere frauderende partijen was bijna nul.
Het rapport bevat mooie statistieken over wie nu eigenlijk vooral interne diefstal plegen - kassamedewerkers en eindgebruikers staan bovenaan. Maar veruit de meeste dreigingen komen van buiten de organisatie en daar zou je de aandacht op moeten richten - tenzij de ervaring bij jouw specifieke organisatie anders leert.
3. Gestolen credentials zijn gevaar nummer één
Dit zal geen netwerkbeheerder verbazen. Slechteriken krijgen toegang door de credentials van werknemers te gebruiken om zo de omgeving binnen te komen. Dat is dreiging nummer één. De rest zijn vervolgens: data-exporterende malware, phishing, RAM-scrapers en backdoor-virussen. RAM-scrapers, zoals de malware die eind vorig jaar bij de megaroof bij winkelketen Target werd gebruikt, worden ingezet voor kassasystemen en staan voor de tweede keer in de top 5 sinds 2009. Waarvoor werden ze eigenlijk gebruikt in 2009? Ik moet die oude rapporten er eens bij pakken.
4. Hacks werden vaker intern opgemerkt dan extern
Dit is de eerste keer dat hacks sneller door werknemers werd ontdekt dan door buitenstaanders en dat is een enorme vooruitgang. In recente jaren werden inbraken eerder ontdekt door externe partijen (opsporingsdiensten, andere bedrijven, leveranciers, et cetera) dan door het eigen personeel - veel eerder zelfs.
Maar 2013 is dus heel anders (afgezien van trends als POS-malware en aanvallen op web-apps) en dat is daadwerkelijk een reden om blij te zijn. Het is een van de weinige positieve trends in dit rapport. Het betekent misschien dat we er eindelijk toe uitgerust zijn om de event-logs efficiënt door te vlooien op zoek naar échte incidenten. Gefeliciteerd, wereld!
Een minder fijn aspect: als het wordt opgemerkt, zijn de criminelen meestal allang weg. In de regel breken cybercriminelen slechts enkele minuten tot enkele dagen in om te krijgen wat ze zoeken en duurt het maanden voordat de hack wordt opgemerkt. Dat is niet zo mooi. Sterker nog, het is afschuwelijk. Maar we ontdekken het tenminste zelf. Dat voorkomt in elk geval vernederende telefoontjes en ongemakkelijke gesprekken met het bestuur.
Een waardevolle gids
Het rapport zit zoals gebruikelijk vol met waardevolle aanbevelingen - te veel om hier op te noemen. Ik kan het aanraden het rapport te lezen en de tips op te volgen om beveiligingsrisico's te verkleinen. Ik wil alleen daarbij aanraden dat als je geen kassasystemen hebt (Point-Of-Sale-systemen) je dit rapport ook zo moet filteren, want veel gevolgtrekkingen komen voort uit de manier waarop hackers zich op POS-systemen storten.
Nog een opmerking over het rapport: de schrijfstijl is behoorlijk informeel in tegenstelling tot het stugge taalgebruik van voorgaande jaren. Het is alsof een bevriende consultant een presentatie geeft op een beveiligingscongres in plaats van het jaarverslag van een accountant. Sommige mensen zijn daar misschien niet blij mee, maar ik wel. Iemand bij Verizon wilde blijkbaar dat het rapport iets menselijker werd.
Download het rapport hier: (PDF)
Reageer
Preview