Lärdomar från DBIR 2012

Jag gillar Verizons Data Breach Investigations Report (DBIR), framförallt för att de är medvetna om begränsningarna i sitt underlag. Man försöker t ex inte extrapolera ut sina (begränsade) data på hela populationen. Som vissa andra...

Givetvis ska man fortfarande ta Verizons data med en nypa salt, de har ju trots allt, precis som Symantec, incitament att överdriva problemen. Personligen tror jag dock inte att Verizon gör det i DBIR, de borde ha mer att förlora på osanning. Du får dock ta ställning själv.


Jag tänkte här dela med mig av mina lärdomar från fjolårets skörd av intrång som Verizons RISK Team åtagit sig. Följande kommer från mina anteckningar när jag läste rapporten för ett tag sedan så det kanske upplevs lite styltigt, ta det för vad det är och säg till ifall någon slutsats verkar orimlig.

Lärdomar
En viktig detalj som nämns redan i inledningen är att vi (säkerhetsbranschen) har de verktyg som behövs för att ta hand om problemen. Tyvärr används de inte. Det handlar alltså inte om att vi måste vänta på den sjunde (den kommer säkert) generationens brandväggar innan vi kan lösa det här. Det kanske snarare är en fråga om knarkarkvartar.

Tabell från sidan 3 i DBIR 2012.

Intrång skedde oftast mot mindre bolag. Krossar det här den vanliga ursäkten: "men vi är ju ingen bank"? Det verkar samtidigt som att angreppen mot de mindre bolagen huvudsakligen var targets of opportunity (läs: PoS med RDP/VNC och standardlösenord mot internet) och endast ledde till mindre förluster. Sammantaget stod de dock för majoriteten.

Det är ovanligt att systemadministratörer är inblandade som insiders vid intrång. (Eller så är de bra på att dölja vad de har gjort.)

Är det inte rätt anmärkningsvärt att majoriteten av all social engineering skedde över telefon och in-person? Mail kommer trea! Jag gissar att det rör sig om outliers, något gäng hade detta som modus operandi under en period i 2011, genomförde bedrägeriet på ett stort antal företag och Verizon tog hand om ett gäng av dem.

Nätverksinfrastruktur var inblandade i mindre än 1 % av intrången och förluster. Intrång i routrar och switchar är antingen olönsamma eller för svåra att genomföra (cost:benefit). Jag lutar åt olönsamma i jämförelse mot alternativen, en GRE-tunnel hem skulle kunna leda till mängder av data men är varken subtil eller särskilt praktisk. Det är rimligt att anta att denna kategori skulle inkludera sniff "på kabel" också, ett hot som ofta överdrivs. Att läsa Hacking Exposed: Cisco Networks kanske inte var väl investerad tid ändå.

Servrar stod för 64 % (där PoS-servrar dominerade webb- och databasservrar) och laptops/desktops för bara 19 % (där laptops bara utgjorde 1 %) av intrången. PoS-terminaler stod för 35 %. (Notera att summan kan överstiga 100 % då ett intrång kan påverka både en server och en desktop.) Mobiler tycks lysa med sin frånvaro i samband med intrång.

Det här tycks bara delvis stödja "CJ:s axiom": ju mer exotisk en enhet är desto sämre är lösenordet. Eller min generalisering av axiomet: desto sämre hålls säkerheten överlag. Av detta följer t ex att en Windowsarbetsstation är bättre än en SuSE-filserver som är bättre än en VoIP-switch som är bättre än en en grenkontakt. Det är mer sanolikt att intrånget sker i en PoS-ändpunkt eftersom de inte är lika väl omhändertagna.

Kul att Verizon också lutar sig mot "vem du är och vad du gör avgör vilka angripare som är aktuella", se sidan 48. Det såg jag att de gick ut med till IDG i veckan och det är något jag nämner i en debattartikel som (sedan länge) ännu inte är publicerad. Så går det när man inte är snabb på bollen. Det centrala i sammanhanget är förstås överrepresentationen av s k hacktivister. Betyder det här att den "gamla" klyschan att de riktigt trilskiga angriparna är "driven by financial gain" inte är lika trovärdig längre? Vi får se om ett år eller två ifall fenomen som Anonymous och Lulzsec är tillfälliga blippar på radarn eller något som kommit för att stanna.

Favoritfigurer är Figure 8-9, Table 6-8, Figure 21, Table 10, Figure 33, Figure 40-42, Figure 45, Table 14 och slutligen Figure 45. (Bedömningen baseras endast på att dessa figurer kunde ta betydligt mer än ett par sekunder att fundera över.)

Avslutningsvis, vad sägs om det här:

Brand damage, declines in market value, and loss of competitive advantage are always the top of mind “WIbeHI” (Wouldn't it be horrible if…) fears for executives with respect to data breaches. For most breaches—even ones that seem rather bad—these fears are unfounded. Breaches don't appear to typically have a major long-term impact on stock value.

Nyckelord: "typically", vi vet ju t ex vad som hände DigiNotar. Det var dock ett särfall i sammanhanget, det är förstås annorlunda när man har datasäkerhet som kärnverksamhet. Fallet HB Gary Federal, säkerhetsföretag som blev rejält tilltufsade av Anonymous, bekräftar teorin. Alltså, om du inte har säkerhet som en central del av din verksamhet, antingen att du sysslar med det eller att du beror av det i hög utsträckning, så kommer din finansiering förmodligen överleva ett allvarligt intrång.

Jag såg att Symantec kommit ut med volym 17 av sin rapport Internet Security Threat Report som beskriver deras bild av läget under 2011. Deras data kommer ju från i princip samma källor men är inhämtade i helt andra sammanhang. Det ska bli intressant att jämföra den med DBIR.

--
Stefan Pettersson
Jag gillar Verizons Data Breach Investigations Report, framförallt för att de är medvetna om begränsningarna i sitt underlag. Man försöker t ex inte extrapolera ut sina (begränsade) data på hela populationen. Som vissa andra...

http://se.norton.com/cybercrimereport/promo

Givetvis ska man fortfarande ta Verizons data med en nypa salt, de har ju trots allt, precis som Symantec, incitament att överdriva problemen. Personligen tror jag dock inte att Verizon gör det i DBIR, de borde ha mer att förlora på osanning. Du får dock ta ställning själv.

BILD FRAMSIDA

Jag tänkte här dela med mig av mina lärdomar från fjolårets skörd av intrång som Verizons RISK Team åtagit sig. Följande kommer från mina anteckningar när jag läste rapporten för ett tag sedan så det kanske upplevs lite styltigt, ta det för vad det är och säg till ifall någon slutsats verkar orimlig.

Lärdomar
En viktig detalj som nämns redan i inledningen är att vi (säkerhetsbranschen) har de verktyg som behövs för att ta hand om problemen. Tyvärr används de inte. Det handlar alltså inte om att vi måste vänta på den sjunde (den kommer säkert) generationens brandväggar innan vi kan lösa det här. Det kanske snarare är en fråga om knarkarkvartar.

http://highperformance.blogg.se/2010/december/ar-natverket-en-knarkarkvart.html

BILD COMMONALITIES

Intrång skedde oftast mot mindre bolag. Krossar det här den vanliga ursäkten: "men vi är ju ingen bank"? Det verkar samtidigt som att angreppen mot de mindre bolagen huvudsakligen var targets of opportunity (läs: PoS med RDP/VNC och standardlösenord mot internet) och endast ledde till mindre förluster. Sammantaget stod de dock för majoriteten.

Det är ovanligt att systemadministratörer är inblandade som insiders vid intrång. (Eller så är de bra på att dölja vad de har gjort.)

Är det inte rätt anmärkningsvärt att majoriteten av all social engineering skedde över telefon och in-person? Mail kommer trea! Jag gissar att det rör sig om outliers, något gäng hade detta som modus operandi under en period i 2011, genomförde bedrägeriet på ett stort antal företag och Verizon tog hand om ett gäng av dem.

Nätverksinfrastruktur stod för mindre än 1 % av intrången och förluster. Intrång i routrar och switchar är antingen olönsamma eller för svåra att genomföra (cost:benefit). Jag lutar åt olönsamma i jämförelse mot alternativen, en GRE-tunnel hem är varken subtil eller praktisk. Det är rimligt att anta att denna kategori skulle inkludera sniff på kabel också. Att läsa Hacking Exposed: Cisco Networks kanske inte var väl investerad tid ändå.

http://www.amazon.com/Hacking-Exposed-Cisco-Networks-Solutions/dp/0072259175

Servrar stod för 64 % (där PoS-servrar dominerade webb- och databasservrar) och laptops/desktops för bara 19 % (där laptops bara utgjorde 1 %) av intrången. PoS-terminaler stod för 35 %. (Notera att summan kan överstiga 100 % då ett intrång kan påverka både en server och en desktop.) Mobiler tycks lysa med sin frånvaro i samband med intrång.

Det här tycks bara delvis stödja "CJ:s axiom": ju mer exotisk en enhet är desto sämre är lösenordet. Eller min generalisering av axiomet: desto sämre hålls säkerheten överlag. Av detta följer t ex att en Windowsarbetsstation är bättre än en SuSE-filserver som är bättre än en VoIP-switch som är bättre än en en grenkontakt. Det är mer sanolikt att intrånget sker i en PoS-ändpunkt eftersom de inte är lika väl omhändertagna.

http://www.digital-loggers.com/vpdu.html

Kul att Verizon också lutar sig mot "vem du är och vad du gör avgör vilka angripare som är aktuella", se sidan 48. Det såg jag att de gick ut med till IDG i veckan och det är något jag nämner i en debattartikel som (sedan länge) ännu inte är publicerad. Så går det när man inte är snabb på bollen. Det centrala i sammanhanget är förstås överrepresentationen av s k hacktivister. Betyder det här att den "gamla" klyschan att de riktigt trilskiga angriparna är "driven by financial gain" inte är lika trovärdig längre? Vi får se om ett år eller två ifall fenomen som Anonymous och Lulzsec är tillfälliga blippar på radarn eller något som kommit för att stanna.

Favoritfigurer är Figure 8-9, Table 6-8, Figure 21, Table 10, Figure 33, Figure 40-42, Figure 45, Table 14 och slutligen Figure 45. (Bedömningen baseras endast på att dessa figurer kunde ta betydligt mer än ett par sekunder att fundera över.)

Avslutningsvis, vad sägs om det här:

Brand damage, declines in market value, and loss of competitive advantage are always the top of mind “WIbeHI” (Wouldn't it be horrible if…) fears for executives with respect to data breaches. For most breaches—even ones that seem rather bad—these fears are unfounded. Breaches don't appear to typically have a major long-term impact on stock value.

Nyckelord: "typically", vi vet ju t ex vad som hände DigiNotar. Det var dock ett särfall i sammanhanget, det är förstås annorlunda när man har datasäkerhet som kärnverksamhet. Fallet HB Gary Federal, säkerhetsföretag som blev rejält tilltufsade av Anonymous, bekräftar teorin. Alltså, om du inte har säkerhet som en central del av din verksamhet, antingen att du sysslar med det eller att du beror av det i hög utsträckning, så kommer din finansiering förmodligen överleva ett allvarligt intrång.

http://en.wikipedia.org/wiki/DigiNotar#Bankruptcy
http://en.wikipedia.org/wiki/HBGary

Jag såg att Symantec kommit ut med volym 17 av sin rapport Internet Security Threat Report som beskriver deras bild av läget under 2011. Deras data kommer ju från i princip samma källor men är inhämtade i ett helt annat sammanhang. Det ska bli intressant att jämföra den med DBIR.

--
Stefan Pettersson

Social authentication

Herrarna på Cambridge är på väg ut med en ny, spännande rapport; Social Authentication — harder than it looks!.

Det handlar huvudsakligen om Facebooks metod att autentisera dig genom att t ex låta dig peka ut vilka dina vänner är utifrån deras profilbilder. Som rubriken skvallrar om är det inte så effektivt. Tyvärr. I rapporten tar de upp många intressanta detaljer:

[...] Most people want privacy only from those close to them; if you’re having an affair then you want your partner to not find out but you don’t care if someone in Mongolia learns about it. And if your partner finds out and becomes your ex, then you don’t want them to be able to cause havoc on your account. Celebrities are similar, except that everyone is their friend (and potentially their enemy).

Givetvis knyter forskningen i viss utsträckning an till sådana "hemliga" lösenordsfrågor som används av de flesta, större webbplatserna. I något sammanhang, i samband med att Sarah Palin hade ett intrång på sitt Yahoo!-konto, skrev jag något i stil med: "när det skrivs böcker om ditt liv behöver du verkligen tänka efter innan du kan komma på en lämplig 'hemlig' fråga för att få tillbaka ditt lösenord". Nu kan jag naturligtvis inte hitta var jag skrivit det... Det kanske inte var på bloggen.

Anywho. Precis som rapporten om effekten av lösenordsbyten från i början av året, och av samma anledning, är det här viktig forskning.

--
Stefan Pettersson

Data om dataintrång under 2010

Verizon har släppt sin 2011 Data Breach Investigations Report (pdf) som beskriver vad som framkommit under förra årets utredningar och ställer det mot föregående år. Nytt är att Dutch National High Tech Crime Unit har ställt sig i ledet för att bidra med ytterligare data. Finns det något som hindrar nationella CERT-organisationer att gå med?

Jag räknar med intressant läsning och ber att återkomma efter påsken. Glad påsk!


--
Stefan Pettersson

Anställda är inte stora hot

I slutet av augusti förra året skrev jag två inlägg om "insiderbrott"; Inkompetens ett större problem än ondska (del 1) och (del 2). Det rörde sig om en rapport som RSA hade beställt om hur omfattande insiderbrott egentligen är. Då skrev jag bl a:

Det mest intressanta resultatet är att 52 % av de incidenter ett företags egen personal står för beror på misstag medan endast 19 % görs med avsikt. (Ingen av artiklarna nämner de återstående procenten och originalrapporten står ej att finna.) Det här förstås smaskens. Än en gång (se Verizons 2009 Data Breach Investigations Report) visar det sig att insiderbrott inte är så vanligt som det sägs.


Nu är det dags igen, 7Safe har släppt UK Security Breach Investigations Report 2010 (pdf). Rapporten sammanställer de fall där personal från 7Safes forensicsgrupp har varit inblandade. Sammanställningen är baserad på 62 fall över en period på 18 månader.

Majoriteten av incidenterna är hos återförsäljare (inte förvånande, de har kortnumren och 7Safe är inblandade i PCI DSS) och som en parentes hävdas att antalet card-not-present-bedrägerier har ökat med 350% mellan 2000 och 2008. Rapporten från förra veckan nämnde en 118%-ig ökning från 2003 till 2008.

Det finns massor av potentiellt intressant statistik i rapporten men intressant i sammanhanget är insiderbrotten. Två procent av incidenterna orsakades av en anställd, 18 % av en partner och 80 % av externa angripare.


Reagera på det här varje gång någon representant för företag som erbjuder Data Leakage Prevention (DLP) eller motsvarande hävdar att man måste skydda sig mot sina anställda. DLP hindrar huvudsakligen när man fumlar till det eller inte vet bättre än att maila utkastet till kvartalsrapporten till sin Gmail. Om någon verkligen är ute efter att stjäla data är DLP inte ett märkvärdigt hinder.

--
Stefan Pettersson

Gartner är på vår sida i bankfrågan

På TechWorld finns nu artikeln Hackare hotar överlista bankerna där det talas om Gartner-rapporten om tvåfaktorsautentisering från i december förra året; Where Strong Authentication Fails and What You Can Do About It. I korthet handlar det om att bankernas tvåfaktors inte kan stoppa en angripare som har kontroll över webbläsaren (populärt: Man In The Browser).

Det här stämmer alltså och är vad jag skrev om här och här och CJ gav rekommendationer om här.

Sammanfattningen av rapporten lyder så här [jag har lagt till numreringen]:

Fraudsters have definitely proved that strong two-factor authentication methods that communicate through user browsers can be defeated, and that the criminals can also figure out how to defeat out-of-band, telephony-based authentication and transaction verification using social-engineering techniques. While future attack types are unpredictable, one thing is very clear. Enterprises need to protect their users and accounts using a three-prong fraud prevention approach that employs (1) authentication, (2) fraud detection, and (3) out-of-band transaction verification and signing for high-risk transactions.

(1) och (2) är självklara. (3) handlar om ungefär det vi bloggat om tidigare; fokusera på transaktionen. Gartner kommer faktiskt med en viktig poäng i slutet:

[...] Further, enterprises should not deluge users with transaction verification requests, and should keep them simple and confined to high-risk transactions, so that users are sure to pay detailed attention to them.

--
Stefan Pettersson

Hur hackerintrång går till

Vi har tidigare bloggat om Verizons rapporter som redogör för hur dataförluster (huvudsakligen kortnummer) har gått till. Nu är Verizon ute med ett tillägg till den senaste rapporten, den har det (amerikanska namnet) 2009 Data Breach Investigations Supplemental Report, Anatomy of a Data Breach (pdf).


Den kompletterande rapporten syftar bl a till att förklara attackerna noggrannare, ge exempel på hur man bör skydda sig och "war stories". De slutsatser CJ drar i posten om föregående rapporten är fortfarande aktuella så jag tänkte istället rekommendera de "war stories" som finns för varje attacktyp. Som vi har hävdat tidigare är det generellt ganska skralt med exempel på hur attacker har gått till och varje tillfälle att läsa sådana bör tas.

Min favorit-war story under kategorin "don't complicate things":
A large e-commerce retailer contracted Verizon to conduct an investigation into recent fraud reports
and determine if a data breach had occurred within their online portal. Investigators examined access
logs from the e-commerce application and found over 600,000 failed attempts to authenticate to the
online shopping cart. This all occurred within a two-day period in the previous month and originated
from a single IP address in southeast Asia.

Well, as the old saying goes, the 600,003rd time’s a charm. The attacker landed on the correct
combination and nabbed 50,000+ credit card numbers, usernames and passwords, and other personal
information. A review of the application’s settings showed they allowed for infinite authentication
attempts. Interestingly, the application was configured to log failed attempts, which clearly showed a
dictionary-style brute-force attack. Failed passwords appeared in an alphanumeric, sequential order.

Värt att notera är hur rapporten ger två sorters rekommendationer; indicators and mitigators. Orden är svåra att översätta till svenska på ett bra sätt men det handlar om att upptäcka och mildra intrång. Jag brukar dela upp säkerhetsarbete i tre aktiviteter;
  • man kan försöka förebygga intrång,
  • man kan försöka upptäcka intrång och
  • man kan försöka göra något åt intrång som redan inträffat.
Det är förstås en ständig debatt kring vad du ska lägga dina pengar på men det gläder mig att Verizon täcker de två tidigare på ett bra sätt. Jag hoppas kunna skriva om mina åsikter i frågan i framtiden.

Välkommen till en ny vecka!

--
Stefan Pettersson


Guldklimpar är värda mycket, men har sina begränsningar

(Publicerad 2009-04-17)

För några dagar sedan kom Verizon Business ut med sin 2009 Data Breach Investigations Report. Rapporten är en guldklimp packad med pålitlig och högst användbar, statisitk, men statistiken måste tolkas i sitt rätta sammanhang.

Rapporten baseras på intrång utredda av Verizon Business under 2008 och analysen tar även med resultaten från förra årets rapport som baserades på 2004-2007. Den är GULD och jag rekommenderar varmt alla att läsa den. Några av höjdpunkterna:
  • 69% av intrången upptäcktes av tredje part
  • 81% av de som skulle vara PCI DSS-compliant var det inte
  • 83% av angreppen var inte särskilt svåra
  • 87% ansågs ha kunnats undvika genom enkla eller medelsvåra åtgärder ("intermediary controls")
Det öppnar för MASSOR av intressanta diskussioner:
  • Betyder det här att PCI DSS fungerar, eller är det så att 81% av alla som skall följa PCI DSS inte gör det? Frågan ansluter till min debattartikel i Internetworld från tidigare i år.
  • Hur många intrång begås som inte upptäcks av någon alls, om nu 69% har gett så uppenbara resultat att det upptäcks först av en tredje part? Hur stor andel av dessa 69% är det VISA eller MasterCard som upptäckt genom analys av bedrägerier?
  • Hur kommer det sig att man inte genomfört ens de enklaste åtgärderna? Den största orsaken till intrång var defaultkonton och delade konton. Det är tämligen lätt att genomföra engångsåtgärder och kräver i princip inget tekniskt kunnande alls - så varför görs det inte?

Vill någon diskutera dessa ämnen eller få min syn på det så skulle jag tyckta det vore jättekul att få kontakt. Hur som helst, det var en sak som fick mig att börja skriva om det här, och det var att rapportresultatet måste naturligtvis tolkas i sitt sammanhang.
  1. Data har enbart hämtats från intrång som har upptäckts
  2. Data är enbart hämtade från fall där man har valt att plocka in en extern part för att utreda vad som hänt
Några implikationer:
  • Det rör bara intrång som varit så "högljudda" att någon upptäcks och som bolaget inte kan förneka.
  • Enkla attacker blir då överrepresenterade. De som utför bättre attacker är rimligen också bättre på att dölja sina spår och inte bli upptäckta.
  • Tredje partsupptäckter kommer också bli överrepresenterade. Enligt min erfarenhet väljer många bolag att hålla ärendet internt om de upptäcker det själva, ofta vet bara en liten krets om det. Dessa fall kommer Verizon aldrig få med i sin rapport.
  • Insiders är bättre på att dölja sina spår eftersom de vet mer om hur systemet är skyddat och vad som kan göras utan att det upptäcks. Insider vs. externt angrepp kommer därför skevas upp till att visa en större andel externa angrepp än vad som är verkligheten på alla angrepp.
  • Kortdata och de som hanterar kortdata kommver vara överrepresenterade. Detta på grund av att VISA och MasterCard upptäcker intrång tack vare att kortdata som stjäls används vid bedrägerier, och sedan kräver extern utredning av det. Motsvarande mekanismer finns inte någon annanstans.
...och det finns troligen fler sådana vinklar man kan hitta. Icke desto mindre är det en mycket intressant rapport och jag hoppas Verizon fortsätter publicera dessa uppgifter.

--
Carl-Johan "CJ" Bostorp

RSS 2.0