Verizon: una violazione dei dati su cinque è il risultato del cyberespionaggio

Anche se la maggior parte delle violazioni dei dati continua a essere il risultato di attacchi informatici motivati ​​dal denaro, cyberespirage Le attività sono anche responsabili di un numero significativo di episodi di furto di dati, secondo un rapporto che verrà pubblicato Martedì da Verizon.

Rapporto 2013 sulle violazioni dei dati di Verizon (DBIR) copre le violazioni dei dati investigate nel 2012 dal Team RISK dell'azienda e 18 altre organizzazioni di tutto il mondo, compresi i team nazionali di risposta alle emergenze informatiche (CERT) e le forze dell'ordine. Il report raccoglie informazioni da oltre 47.000 incidenti di sicurezza e 621 violazioni dei dati confermate che hanno provocato almeno 44 milioni di record compromessi.

Oltre a includere il maggior numero di fonti fino ad oggi, il report è anche il primo a contenere informazioni su violazioni di Verizon derivante da attacchi di cyberpionage affiliati allo stato. Questo tipo di attacco ha come obiettivo la proprietà intellettuale e ha rappresentato il 20% delle violazioni dei dati coperte dal report.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Oltre la Cina

In oltre il 95% di In questi casi, gli attacchi da cyberpionage provenivano dalla Cina, ha affermato Jay Jacobs, un analista senior del team Verizon RISK. Il team ha cercato di essere molto accurato in merito all'attribuzione e ha utilizzato diversi noti indicatori che collegavano le tecniche e il malware utilizzati in tali violazioni ai noti gruppi di hacker cinesi, ha detto.

Tuttavia, sarebbe ingenuo presumere che gli attacchi di cyberpionage vengano solo dalla Cina, ha detto Jacobs. "Accade solo che i dati che siamo riusciti a raccogliere per il 2012 riflettessero più attori cinesi che altrove."

Gli aspetti più interessanti di questi attacchi sono stati i tipi di tattiche utilizzate, nonché le dimensioni e l'industria di le organizzazioni prese di mira, ha detto l'analista.

Il rapporto sulle indagini sulla violazione dei dati di VerizonVerizon mostra le industrie prese di mira dagli hacker. (Clicca per ingrandire.)

"In genere ciò che vediamo nel nostro set di dati sono violazioni motivate dal punto di vista finanziario, quindi gli obiettivi di solito includono organizzazioni di vendita al dettaglio, ristoranti, aziende di servizi alimentari, banche e istituzioni finanziarie", ha detto Jacobs. "Quando abbiamo esaminato i casi di spionaggio, quelle industrie sono improvvisamente scese in fondo alla lista e abbiamo visto per lo più obiettivi con una grande quantità di proprietà intellettuale come le organizzazioni dell'industria manifatturiera e dei servizi professionali, i consulenti informatici e di ingegneria e così via "

Una scoperta sorprendente è stata la divisione quasi cinquantacinquenne tra il numero di grandi organizzazioni e piccole organizzazioni che hanno subito violazioni legate al cyberpionage, ha detto l'analista.

" Quando pensavamo allo spionaggio, pensavamo alle grandi aziende e la grande quantità di proprietà intellettuale che hanno, ma c'erano molte piccole organizzazioni prese di mira con le stesse identiche tattiche ", ha detto Jacobs.

C'è un sacco di raccolta di informazioni coinvolte nella selezione di obiettivi da parte di questi gruppi di spionaggio, Jacobs disse. "Pensiamo che scelgano le piccole organizzazioni a causa della loro affiliazione o del lavoro con organizzazioni più grandi."

Rispetto al cyberespionage, la criminalità informatica motivata finanziariamente era responsabile del 75% degli incidenti di violazione dei dati trattati nel report e gli hacktivisti erano dietro il resto 5 percento.

Domande sulle password

Una scoperta degna di nota di questo rapporto è che tutti gli attori delle minacce puntano a credenziali valide, secondo Jacobs. In quattro delle cinque violazioni, gli aggressori hanno rubato credenziali valide per mantenere una presenza sulla rete della vittima, ha detto.

Si spera che questo inizi a sollevare alcune domande sulla diffusa dipendenza dall'autenticazione basata su password a singolo fattore, ha detto Jacobs. "Penso che se passiamo all'autenticazione a due fattori e smettiamo di essere così dipendenti dalle password, potremmo vedere una diminuzione nel numero di questi attacchi o almeno forzare gli aggressori a cambiare" alcune delle loro tecniche.

Cinquantadue la percentuale di incidenti relativi alla violazione dei dati riguardava tecniche di hacking, il 40% implicava l'uso di malware, il 35% l'uso di attacchi fisici, ad esempio lo skimming ATM e il 29% l'uso di tattiche sociali come il phishing.

VerizonThis table from Verizon's Data Breach Il rapporto sulle indagini mappa gli attori delle minacce ai loro obiettivi. (Clicca per ingrandire.)

Il numero di violazioni che hanno coinvolto il phishing è stato quattro volte più alto nel 2012 rispetto all'anno precedente, che è probabilmente il risultato di questa tecnica comunemente usata nelle campagne di spionaggio mirate.

Nonostante tutto attenzione rivolta alle minacce mobili nell'ultimo anno, solo un numero molto limitato di violazioni coperte dal rapporto Verizon riguardava l'uso di dispositivi mobili.

"Per la maggior parte, non vediamo che le violazioni sfruttino ancora i dispositivi mobili, "Ha detto Jacobs. "Questa è una scoperta piuttosto interessante che è in qualche modo contro-intuitiva alla luce di tutti i titoli che dicono che i dispositivi mobili sono insicuri. Questo non vuol dire che non siano vulnerabili, ma che attualmente gli hacker hanno altri metodi più semplici per ottenere i dati. "

Lo stesso vale per le tecnologie cloud, ha detto Jacobs. Mentre ci sono state alcune violazioni che hanno coinvolto sistemi che sono ospitati nel cloud, non sono stati il ​​risultato di attacchi che sfruttano le tecnologie cloud, ha detto. "Se il tuo sito è vulnerabile all'iniezione SQL, non importa dove è ospitato, nel cloud o localmente. Il tipo di violazioni che stiamo riscontrando si verificherebbe indipendentemente dal fatto che il sistema sia nel cloud o meno. "

Il rapporto Verizon include un elenco di 20 controlli di sicurezza critici che dovrebbero essere implementati dalle aziende e che sono mappati al le azioni di minaccia più diffuse identificate nel set di dati analizzato. Tuttavia, il livello a cui ogni azienda dovrebbe implementare ciascun controllo dipende dal settore di cui fa parte e dal tipo di attacchi a cui è probabile che sia maggiormente esposto.