Verizon: En av fem dataöverträdelser är resultatet av cyberspionage

Även om majoriteten av dataöverträdelser fortfarande är resultatet av ekonomiskt motiverade cyberkriminalattacker, cyberespionage Verksamheten är också ansvarig för ett betydande antal datortyckshändelser, enligt en rapport som kommer att släppas på tisdag av Verizon.

Verizon's 2013 Data Break Survey Report (DBIR) omfattar dataöverträdelser som undersöktes under 2012 av företagets RISK-team och 18 andra organisationer från hela världen, inklusive nationella datorberedskapsslag (CERT) och brottsbekämpande organ. Rapporten sammanställer information från över 47 000 säkerhetsincidenter och 621 bekräftade dataöverträdelser som resulterade i minst 44 miljoner komprometterade register.

Utöver att inkludera det största antalet källor hittills är rapporten också Verizons första innehållsinformation om överträdelser som härrör från statliga anslutna cyberespionage attacker. Denna typ av attack riktar sig mot immateriella rättigheter och står för 20 procent av de dataöverträdelser som omfattas av rapporten.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Utöver Kina

I över 95 procent av fall cyberespionage attacker härstammar från Kina, säger Jay Jacobs, en senior analytiker med Verizon RISK team. Teamet försökte vara mycket noggrant när det gällde tillskrivning och använde olika kända indikatorer som kopplade till de tekniker och skadlig kod som användes vid dessa överträdelser tillbaka till kända kinesiska hackergrupper. Men det skulle vara naivt att anta att cyberespionage-attacker bara kom från Kina, sa Jacobs. "Det händer bara att de data vi kunde samla för 2012 återspeglade fler kinesiska aktörer än från någon annanstans."

De mer intressanta aspekterna av dessa attacker var de typer av taktik som användes, liksom storleken och industrin i de riktade organisationerna, sade analytikern.

VerizonVerizins undersökningsrapport om dataöverträdelser visar industrier riktade mot hackare. (Klicka för att förstora.)

"Vi ser vanligtvis vad vi ser i vår dataset är ekonomiskt motiverade överträdelser, så målen innehåller vanligtvis detaljhandel, restauranger, livsmedelsföretagstjänster, banker och finansinstitut, säger Jacobs. "När vi tittade på spionagefallen sjönk branscherna plötsligt ner till botten av listan och vi såg mestadels mål med en stor mängd immateriella rättigheter som organisationer från tillverkningsindustrin och professionella serviceindustrier, datorkonsulter och ingenjörskonsulter och så vidare. "

En överraskande upptäckt var den nästan femtiofemdelade splittringen mellan antalet stora organisationer och små organisationer som upplevde brott mot cyberspionage, säger analytikern." När vi tänkte på spionage tänkte vi på stora företag och den stora mängden immateriella rättigheter de har, men det fanns många små organisationer riktade mot exakt samma taktik, sade Jacobs.

Det finns mycket intelligenssamling involverad i valet av mål av dessa spionagrupper, Jacobs sa. "Vi tror att de väljer de små organisationerna på grund av deras anknytning eller jobbar med större organisationer."

I jämförelse med cyberspionage var finansiellt motiverad cyberkriminalitet ansvarig för 75 procent av dataskyddsincidenterna i rapporten och hacktivisterna var bakom de återstående 5 procent.

Frågor om lösenord

Ett anmärkningsvärt resultat av denna rapport är att alla hotaktörer riktar sig till giltiga referenser, sa Jacobs. I fyra av fem överträdelser stal attackerna giltiga legitimationsuppgifter för att upprätthålla en närvaro på offrets nätverk, sade han.

Detta kommer förhoppningsvis att börja höja några frågor om den utbredda förlitningen på enkelfaktor-lösenordsbaserad autentisering, sa Jacobs. "Jag tror att om vi byter till tvåfaktors autentisering och slutar vara så beroende av lösenord, kan vi se en minskning av antalet attacker eller åtminstone tvinga angriparna att ändra" några av deras tekniker ".

Femtiofem procent av dataskyddsincidenterna involverade hackningstekniker, 40 procent involverade användningen av skadlig kod, 35 procent användningen av fysiska attacker, till exempel ATM-skimming och 29 procent användningen av sociala taktik som phishing.

VerizonDetta tabellen från Verizons dataskydd Undersökningsrapport kartlägger hot aktörer till sina mål. (Klicka för att förstora.)

Antalet överträdelser som innebar phishing var fyra gånger högre 2012 jämfört med föregående år, vilket förmodligen är resultatet av att denna teknik används vanligtvis i riktade spionagekampanjer.

Trots alla uppmärksamhet på mobila hot under det gångna året, bara ett mycket litet antal överträdelser som omfattas av Verizon-rapporten involverade användningen av mobila enheter.

"Vi ser för det mesta inte brott mot hävstångseffektiva mobila enheter än, "Sa Jacobs. "Det är ett ganska intressant funderande som är snällt motintuitivt mot bakgrund av alla rubriker som säger hur osäkra mobila enheter är. Det är inte att säga att de inte är sårbara, men attackerna har för närvarande andra enklare metoder för att få data. "

Det samma gäller för molnteknologi, sa Jacobs. Även om det har funnits några överträdelser som involverar system som är värd i molnet, var de inte resultatet av attacker som utnyttjar molnteknik, sa han. "Om din webbplats är sårbar för SQL-injektion spelar det ingen roll var det är värd - i molnet eller lokalt. Den typ av överträdelser vi ser skulle uppstå oberoende av om systemet skulle vara i molnet eller inte. "

Verizon-rapporten innehåller en lista med 20 kritiska säkerhetsåtgärder som bör genomföras av företag och som är mappade till mest förekommande hothandlingar som identifierats i det analyserade datasetet. Nivån som varje företag ska genomföra varje kontroll beror emellertid på branschen som de är en del av och typen av attacker som de kommer att bli mer utsatta för.