Guldklimpar är värda mycket, men har sina begränsningar

(Publicerad 2009-04-17)

För några dagar sedan kom Verizon Business ut med sin 2009 Data Breach Investigations Report. Rapporten är en guldklimp packad med pålitlig och högst användbar, statisitk, men statistiken måste tolkas i sitt rätta sammanhang.

Rapporten baseras på intrång utredda av Verizon Business under 2008 och analysen tar även med resultaten från förra årets rapport som baserades på 2004-2007. Den är GULD och jag rekommenderar varmt alla att läsa den. Några av höjdpunkterna:
  • 69% av intrången upptäcktes av tredje part
  • 81% av de som skulle vara PCI DSS-compliant var det inte
  • 83% av angreppen var inte särskilt svåra
  • 87% ansågs ha kunnats undvika genom enkla eller medelsvåra åtgärder ("intermediary controls")
Det öppnar för MASSOR av intressanta diskussioner:
  • Betyder det här att PCI DSS fungerar, eller är det så att 81% av alla som skall följa PCI DSS inte gör det? Frågan ansluter till min debattartikel i Internetworld från tidigare i år.
  • Hur många intrång begås som inte upptäcks av någon alls, om nu 69% har gett så uppenbara resultat att det upptäcks först av en tredje part? Hur stor andel av dessa 69% är det VISA eller MasterCard som upptäckt genom analys av bedrägerier?
  • Hur kommer det sig att man inte genomfört ens de enklaste åtgärderna? Den största orsaken till intrång var defaultkonton och delade konton. Det är tämligen lätt att genomföra engångsåtgärder och kräver i princip inget tekniskt kunnande alls - så varför görs det inte?

Vill någon diskutera dessa ämnen eller få min syn på det så skulle jag tyckta det vore jättekul att få kontakt. Hur som helst, det var en sak som fick mig att börja skriva om det här, och det var att rapportresultatet måste naturligtvis tolkas i sitt sammanhang.
  1. Data har enbart hämtats från intrång som har upptäckts
  2. Data är enbart hämtade från fall där man har valt att plocka in en extern part för att utreda vad som hänt
Några implikationer:
  • Det rör bara intrång som varit så "högljudda" att någon upptäcks och som bolaget inte kan förneka.
  • Enkla attacker blir då överrepresenterade. De som utför bättre attacker är rimligen också bättre på att dölja sina spår och inte bli upptäckta.
  • Tredje partsupptäckter kommer också bli överrepresenterade. Enligt min erfarenhet väljer många bolag att hålla ärendet internt om de upptäcker det själva, ofta vet bara en liten krets om det. Dessa fall kommer Verizon aldrig få med i sin rapport.
  • Insiders är bättre på att dölja sina spår eftersom de vet mer om hur systemet är skyddat och vad som kan göras utan att det upptäcks. Insider vs. externt angrepp kommer därför skevas upp till att visa en större andel externa angrepp än vad som är verkligheten på alla angrepp.
  • Kortdata och de som hanterar kortdata kommver vara överrepresenterade. Detta på grund av att VISA och MasterCard upptäcker intrång tack vare att kortdata som stjäls används vid bedrägerier, och sedan kräver extern utredning av det. Motsvarande mekanismer finns inte någon annanstans.
...och det finns troligen fler sådana vinklar man kan hitta. Icke desto mindre är det en mycket intressant rapport och jag hoppas Verizon fortsätter publicera dessa uppgifter.

--
Carl-Johan "CJ" Bostorp

Kommentarer

Kommentera inlägget här:

Namn:
Kom ihåg mig?

E-postadress: (publiceras ej)

URL/Bloggadress:

Kommentar:

Trackback

HPS säkerhetsblogg


High Performance Systems logo


RSS 2.0