Mądry Amerykanin po szkodzie

Tak można by określić wyniki Verizon Data Breach Investigations Report 2008, przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm.

Tak można by określić wyniki Verizon Data Breach Investigations Report 2008, przedstawiającego analizę 500 przypadków kradzieży danych z dużych firm.

Raport Verizon Business to interesująca i pouczająca lektura, bo wykorzystuje nie badania ankietowe, czy statystyczne, a analizę 500 rzeczywistych i dobrze udokumentowanych przypadków wycieku danych z różnego typu dużych firm, które miały miejsce w ciągu ostatnich czterech lat. Spowodowały one dostanie się w ręce przestępców ok. 230 mln rekordów z baz danych zawierających informacje wrażliwe. Autorzy raportu pokusili się o zaprezentowanie listy najważniejszych, ich zdaniem, wniosków i rad, których przestrzeganie może istotnie zmniejszyć ryzyko utraty danych, i to najczęściej bez konieczności dużych inwestycji w zabezpieczenie infrastruktury IT.

Rodzaje skutecznych atakówChoć wiele wniosków z tej analizy jest powtarzanych w licznych wypowiedziach ekspertów ds. bezpieczeństwa, to niektóre mogą się wydawać zaskakujące, jak choćby ten, że zdecydowanie więcej udanych ataków zostało przeprowadzonych nie wewnątrz, a z zewnątrz lokalnej sieci. Druga ważna konkluzja dotyczy praktycznej efektywności systemów zabezpieczeń. Aż 90% włamań udałoby się uniknąć, gdyby w poszkodowanych firmach przestrzegane były podstawowe zasady bezpieczeństwa oraz ustalonej wcześniej polityki jej egzekwowania. Najbardziej zaawansowane i kosztowne systemy zabezpieczeń nie są do tego potrzebne. Choć są niezbędne, aby zmniejszyć prawdopodobieństwo sukcesu profesjonalnych i precyzyjnie skierowanych ataków, których jest niewiele.

Z analizy Verizon wynika, że większość, bo aż 63% poszkodowanych firm, dowiedziała się o wycieku wrażliwych informacji z ich systemu IT dopiero w kilka miesięcy po tym fakcie. Natomiast 75% skradzionych danych zostało wykorzystane w ciągu zaledwie kilku dni. Jednocześnie 70% przedsiębiorstw lub instytucji uzyskało informacje o kradzieży danych z zewnętrznych źródeł - od klientów lub banków, z którymi współpracują. Do tego czasu firmy nie zdawały sobie sprawy, że przechowywane w ich systemach wrażliwe dane wyciekły.

Co najbardziej bulwersujące, to fakt, że nawet gdy informacja o kradzieży została ujawniona, załatanie luki w systemie IT, w blisko połowie analizowanych przypadków, trwało co najmniej kilka tygodni, a zaledwie 37% firm udało się zabezpieczyć go w ciągu kilku dni, czasami kilku godzin.

Raport zaprzecza opinii, że najwięcej włamań do systemów IT jest dokonywanych wewnątrz, a zewnętrzne ataki rzadziej kończą się sukcesem, choć z drugiej strony dotyczy to tylko liczby włamań. Te wewnętrzne przynoszą bowiem znacznie większe szkody. Z analizy wynika, że zdecydowana większość, bo 73% włamań do systemów korporacyjnych miała zewnętrzne źródło, 18% zostało dokonanych bezpośrednio przez zatrudnionych w firmie administratorów IT lub innych pracowników, a 39% - przez partnerów biznesowych. Liczby nie sumują się do 100%, bo niektóre z włamań miały różne źródła. Jeśli chodzi o wewnętrzne włamania, to za połowę z nich odpowiedzialni są byli pracownicy działów IT.

Autorzy raportu zastrzegają się jednak, że liczb tych nie należy traktować bezkrytycznie, bo osoby działające wewnątrz systemu z reguły znacznie bardziej dbają o ukrycie swoich działań niż zewnętrzni hakerzy. Jednocześnie wewnętrzne ataki były bardziej efektywne i przyniosły znacznie większe szkody, bo spowodowały kradzież średnio aż 375 tys. rekordów z baz danych, podczas gdy w zewnętrznym ataku przeciętnie wyciekało tylko 30 tys. rekordów zawierających wrażliwe informacje.

Wiele firm opracowało dobrą politykę bezpieczeństwa, ale okazuje się, że w praktyce jej nie stosują i nie wymuszają, bo aż 83% wszystkich ataków na firmowe sieci była łatwa do odparcia bez potrzeby stosowania szczególnie zaawansowanych zabezpieczeń. Oprócz tego 85% przypadków wycieku danych było związane nie z celowym, dobrze przygotowanym atakiem skierowanym przeciwko systemowi konkretnej firmy, ale z przypadkowymi włamaniami wykorzystującymi standardowe mechanizmy statystycznego skanowania luk, czy takie popularne i dobrze znane techniki jak phishing. Co więcej, 82% analizowanych luk w systemach bezpieczeństwa było wcześniej opisanych i udokumentowanych, ale pracownicy poszkodowanych firm odpowiedzialni za system IT nie zwrócili na to uwagi lub też nie podjęli żadnych działań.

Najważniejsza rada autorów raportu to konieczność koncentracji osób odpowiedzialnych za bezpieczeństwo systemów korporacyjnych na podstawowych mechanizmach umożliwiających zabezpieczenie danych, takich jak aktywne monitorowanie logów, zanim w firmie zaczną być wdrażane dodatkowe systemy zabezpieczające przed zaawansowanymi atakami wykorzystującymi skomplikowane i trudne do przewidzenia metody.

Oprócz tego większość menedżerów IT odpowiedzialnych za bezpieczeństwo obsesyjnie dba o mechanizmy chroniące system przed atakami zewnętrznymi. Ale w 9 na 10 analizowanych w raporcie przypadków udałoby się uniknąć kradzieży danych, gdyby zadbano o prawidłowe działanie podstawowych mechanizmów ich ochrony w systemie wewnętrznym. "Silna ochrona brzegu sieci jest ważna, ale nie może być najważniejszym elementem, który ma zabezpieczać dane" - konkludują autorzy raportu.