ארכיון עבור יולי, 2008

18
יול
08

מחקר על חקירת נתוני פריצות של חברת Verizon

חברת Verizon פרסמה לא מזמן מחקר מרתק. המחקר שואב נתונים ממעל 500 מקרים של פריצות למערכות ארגונים שעברו חקירות (Forensics) ע"י קבוצת ה – Business RISK של חברת Verizon. המחקר נערך על מקרים שהתרחשו בפרק זמן של 4 שנים וכולל יותר מ – 230 מיליון רשומות גנובות שנותחו.

המחקר נערך בחברות שחוו פריצות והזמינו את החקירות. לכן, ייתכן והמספרים מעט מוטים, כיוון שייתכן ונוח יותר לחברות להזמין חקירות כאלה כאשר הן חושדות שמדובר בפריצה מבחוץ ולא מתוך הארגון או כאשר ברורה הסיבה לאובדן המידע (למשל עובד שאיבד מחשב נייד). למרות זאת, המספרים המוצגים כאן די מפתיעים. המחקר כתוב כמובן באנגלית ואורך 27 עמודים. הבאתי כאן תמצית של הנתונים עם מעט תוספות והערות שלי. הפוסט הזה ערוך מעט שונה מהדוח בכדי להקל על הקריאה. חילקתי את הממצאים למספר קטן של קטגוריות, אך שמרתי על רוח הדוח. תהנו. 

מקורות פריצה:
  73% מהפריצות שנחקרו אירעו ממקורות חיצוניים לארגון. בניגוד לפרסומים של חברות כגון גרטנר המציגים שבערך 70% מהאיומים מגיעים מתוך הארגון, רוב מוחלט של הפריצות שנחקרו הגיע דווקא מבחוץ.
  39% מהפריצות הגיעו מכיוון שותפים עסקיים.
  כאשר בוחנים את מקור הפריצות מגלים את הנתונים הבאים.

  1. בתוך הארגון, המקור העיקרי לפריצות היו IT Administrators, שהיוו 50%. צריך לזכור שיש להם את ההרשאות הכי גבוהות בארגון ולכן זה לא מפתיע.
  2. אחריהם ניצבים העובדים, 41%.
  3. שאר המקורות – הנהלה, מרגלים וכדומה – זניחים.
  בבחינת מוקד הפריצות משותפים העסקיים עולה כי:

  1. 57% מיוחסים לנכסי מידע אצל השותף או מהחיבור שלו לארגון.
  2. 16% מיוחסים, שוב, ל – IT Administrators מרוחקים עם גישה לארגון. עובדה זו רק מחזקת את המאבק שלי כנגד פתיחת הרשאות לחברות חיצוניות למערכות החברה בה אני עובד. אותם עובדים בחברות חיצוניות מתחברים עם הרשאות מאוד גבוהות ואין להם שום שיוך או נאמנות לארגון אותו הם משרתים.
  פריצות האקינג לארגון פולחו למספרים הבאים:

  1. 39% אירעו בשכבת האפליקציה/שרת
  2. 23% אירעו בשכבת מערכת ההפעלה
  3. 18% ניצלו חולשות
  רק 22% מהפריצות ניצלו חולשות (Vulnerabilities) במערכות. מתוכן, ל – 90%! מהחולשות שנוצלו היו טלאי אבטחה (Security Patches) זמינים להתקנה לפחות 6 חודשים לפני הפריצה. הנתון המדהים הוא ש – 71% מהטלאים היו זמינים מעל שנה.
אומדן הנזק:
  למרות שהיו פחות פריצות מתוך הארגון, אומדן הנזק מתוך הארגון המבוטא במספר החציון של הרשומות שנגנבו, גבוה באופן משמעותי מפריצות מבחוץ. מספר החציון מתוך הארגון גבוה יותר מפי 10 מפריצות מבחוץ. אם בהתקפה ממוצעת (יותר מדויק, חציונית) מתוך הארגון עמד על בערך 375,000 רשומות, הרי שמבחוץ המספר עמד על 30,000.
  המחקר מציג טבלה בה הוא מכפיל את הסבירות לפריצה במספר הרשומות שנפגע. התוצאה היא שהסיכון המגיע משותפים עסקיים הוא הגבוה ביותר ולא רחוק אחריו מתוך הארגון. כאן המספרים מתקרבים למספרים של גרטרנר ואחרים.
הסיבות לפריצה:
 
  1. 62% מהפריצות אירעו כתוצאה משגיאות משמעותיות.
  2. 59% מהפריצות אירעו כתוצאה מפריצות והאקינג לארגון.
  3. רוב הפריצות, 75%, אירעו מבלי שהארגון ישים לב במשך זמן רב. רובן התגלו ע"י צד שלישי ולא ע"י הארגון עצמו.
  4. 83% מהפריצות היו בדרגת קושי נמוכה עד סבירה ורובן ניצלו הזדמנות שנקרתה בפני הפורץ. ישנה אמרה ידועה בעולם אבטחת המידע: חוזק השרשרת (רמת אבטחת מידע) כחוזק החוליה החלשה.
  5. כמעט כל הפריצות, 87%, היו נמנעות אם מנגנוני אבטחה סבירים היו מוטמעים בזמן הפריצה. מכאן ניתן להסיק שפורצים לא היו מוכנים להשקיע מאמץ רב במקומות שהטמיעו מנגנוני אבטחה סבירים, בין אם מפני שאין להם את הידע, או מחשש להשאיר עקבות רבות מידי.
מקורות הפריצה:
  ניתוח של נתיבי הפריצה מגלה כי:

  1. 42% מהפריצות אירעו מגישה מרחוקת (Remote Access). במקרים רבים, חשבון משתמש מובנה (Default User Account) שיועד לשימוש הספק, נוצל ע"י הפורץ.
  2. אפליקציות Web גם היוו רוב, 34%. מתקפה נפוצה באפליקציות Web היתה SQL Injection.
  אופי המידע שנפגע:

המידע על אופי המידע שנפרץ מרתק. מספר הרשומות הממוצע שנפגע בפריצה עמד על 1.2 מיליון! החציון עמד על 45 אלף. מבלי לחזור לקורס סטטיסטיקה מימי האוניברסיטה, ההבדל נובע ממספר פריצות קטן שכלל מספר עצום של רשומות. עובדה זו גרמה לכך שבערך בחצי מהפריצות נפגעו כמה עשרות אלפי רשומות, אך הממוצע נראה הרבה יותר גבוה.

  התפלגות סוג המידע הכי נפוץ שנפרץ:

  1. 84% מהמידע שפגע הוא מידע על כרטיסי אשראי – שם המשחק הוא כסף!
  2. לאחר מכן, מידע אישי, 32%.
  3. סוגים נוספים כוללים מידע לא רגיש, נתוני הזדהות למערכות ועוד.
  4. הסיבה שההתפלגות עוברת 100% נובעת מכך שבסיס נתונים שנפרץ יכול להכיל גם מידע על כרטיסי אשראי וגם מידע אישי של לקוחות.
התפלגות זמנים בפריצה:
  משך הזמן עד לפריצה:

  1. 36% מהפריצות אירעו תוך שעות
  2. 28% תוך ימים
  3. 18% לקחו שבועות.
  4. לפורצים יש זמן והם עובדים על אש נמוכה כדי לא להתגלות או להיחשף.
  משך הזמן עד גלוי הפריצה:

  1. 63% מהפריצות התגלות תוך חודשים
  2. 18% התגלו תוך שבועות
  משך הזמן לתקן את החשיפות שהביאו לפריצה פשוט נוראי:

  1. 48% מהחולשות תוקנו תוך שבועות
  2. 27% תוך ימים
  3. 14% תוך חודשים.
  4. רק כ – 10% מהחשיפות תוקנו באותו היום. אני מניח שזה נובע מאפליקציות ישנות שכתובות באופן לא מאובטח.

 

מודעות פרסומת



יולי 2008
א ב ג ד ה ו ש
« יונ   אוג »
 12345
6789101112
13141516171819
20212223242526
2728293031