2012 Data Breach Investigations Report A study conducted by the Verizon RISK Team with cooperation from the Australian Federal Police, Dutch National High Tech Crime Unit, Irish Reporting & Information Security Service, Police Central e-crime Unit, and United States Secret Service. Peter Granlund Konsultchef GRC Robert Lorentzson Lead Consultant RISK Team 2012-04-18
Frågeställningar Vilka incidenter ska vi lägga tid och pengar på att skydda oss emot? Hur kan jag använda rapporten som en del av informationsinsamlingen vid riskanalysarbetet Hur kan jag använda rapporten vid revisonsplanering, dvs. vilka kontroller ska man lägga större vikt vid baserat på rapportens resultat En av de stora utmaningarna är att kommunicera denna typ av information till ledningen vad är ett intrång i den egna verksamheten, vika risker ser vid med molntjänster etc. Hur presenterar internrevisorn det på bästa sätt?
Agenda Rapportens bakgrund Deltagare Metod Nytt för i år Hur kan man som internrevisor använda rapporten? Rekommendationer Bidrar cloud till dataintrång?
Data Breach Investigations Report (DBIR) series An ongoing study into the world of cybercrime that analyzes forensic evidence to uncover how sensitive data is stolen from organizations, who s doing it, why they re doing it, and, of course, what might be done to prevent it. Available at: http://verizonbusiness.com/databreach Updates/Commentary: http://securityblog.verizonbusiness.com
Hold on Wha??? Why is my telco investigating breaches?
Enterprise Solutions to Meet Business Imperatives IT Services Security Services Communications Services Networking Services Mobility Cloud-based Services Data Center Services Managed Applications Managed IT Equipment and Services Professional Services Government, Risk and Compliance Identity and Access Management Managed Security Equipment and Services ICSA Labs Professional Services RISK Team falls here Contact Center Services Unified Communications Video, Web and Audio Conferencing Traditional Voice Emergency Communications Services Equipment and Services Professional Services Internet Private WAN Private Point to Point Access Services Managed Networks Equipment and Services Professional Services Advanced Communications Applications and Content Global Communications Hardware Mobile Data Voice and Messaging Professional Services
2012 DBIR Contributors
Methodology: Data Collection and Analysis DBIR participants use the Verizon Enterprise Risk and Incident Sharing (VERIS) framework to collect and share data. Enables case data to be shared anonymously to RISK Team for analysis VERIS is a (open and free) set of metrics designed to provide a common language for describing security incidents (or threats) in a structured and repeatable manner. VERIS: https://verisframework.wiki.zoho.com/
Unpacking the 2012 DBIR An overview of our results and analysis
Major findings 855 breaches More contributors Increased activity Targeting smaller victims Hacktivism 174 million records Mega Breach & hacktivists Agents Internal breaches (4%) external (98%) Actions Hacking and Malware continue to dominate Larger orgs saw more social and physical attacks Assets and Attributes Servers, but end-user devices (desktops, laptops, POS terminals, ATMs) have nearly caught up. POS more easily targeted in smaller organizations Web and Database server dominate as source of record loss Payment cards and cashable forms of info still big target Thanks to hacktivisim, personal information flew to the top of records lost
Threat Agents
Threat Agents
Threat Agents: External
Threat Actions
Compromised Assets
Compromised Data
Compromised Data
Breach Discovery
2012 DBIR -Hur kan man som internrevisor använda rapporten?
Förstå angriparen, analysera risker - utför, granska resultatet Organisationer Val av mål Attackerade resurser Attack svårighet Angreppsmetoder Tidslinje 3-dagars arbetsvecka Indicators & mitigators Top 10 Större Organisationer Rekommendationer Mindre Organisationer, Större Organisationer Bidrar cloud till dataintrång?
Branscher i fokus Fig 3 samma som förra rapporten Fig 4 Ett fåtal stora intrång mot Information & Manufacturing (misstänker varumärken I fokus) Fig 5 Dessa intrång borttagna
Val av mål Opportunistic: 85% av målen är organisationer med <1000 anställda Nästan 66% av dessa inom Retail/Trade samt Accomodation/Food Targeted: Sektorerna Finance/Insurance samt Information är oftast målen 70% av attacker mot större organisationer
Attackerade resurser Användarutrustning ofta en väg in i en organisation Vanligt scenario keylogger på en workstation eller laptop för att stjäla interna applikationers ID & PWD Servrar involverade I nästan alla större förluster av data BYOD kan förändra detta
Attack svårighet Figure 36: De flesta metoder för att få initial access på ett system är inte särskilt sofistikerade Figure 37: 99% av all angripen data blev komprometterat via medel till svåra postinfiltration metoder. Angriparna hittar datat! Slutsats: Förhindra access I första läget!
Angreppsmetoder Alla organisationer 855 vs 60 intrång Stora organisationer Mindre klump runt Malware och Hacking Social och Physical Top 10
Tidslinje
3-dagars arbetsvecka -Vad har ni för incidentresponstid utanför kontorstid?
Indicators & Mitigators Top 10 Stora Organisationer Indicators: Varningssignaler och kontroller som kan detektera eller indikera att en attack är på väg eller pågår. Mitigators: Kontroller som kan avskräcka eller förhindra attacker eller hjälpa till att hantera, återställa eller begränsa skada. Största möjligheterna för stora organisationer att minska risk Keyloggers and the use of stolen credentials Backdoors and command control Tampering Pretexting Phishing Brute force SQL injection
Rekommendationer: Små Organisationer Ändra Admin lösenord på kassasystem -Hackare letar på Internet efter system med enkla lösenord Implementera brandvägg eller filter på trafik från Internet -Om hackare inte kan nå systemen, kan de inte stjäla från dem Samt Surfa inte på Internet från kassasystem Använd PCI DSS certifierade kassasystem Om tredje part sköter era system, kräv att de rapporterar att de gjort vad de ska.
Rekommendationer: Stora Organisationer Radera onödig information, håll koll på resten Säkerställ att nödvändiga kontroller uppfylls, testa regelbundet Monitorera och sök i event loggar Utvärdera hotladskapet för att prioritera din åtgärdsstrategi Referera till denna rapport, samt Indicators & Mitigators för vanligaste hoten
Bidrar cloud till dataintrång? Handlar mer om att ge upp kontrollen över tillgångar och data än cloud teknik Resurs Ägarskap, Hosting och Management
Frågeställningar Vilka incidenter ska vi lägga tid och pengar på att skydda oss emot? Hur kan jag använda rapporten som en del av informationsinsamlingen vid riskanalysarbetet Hur kan jag använda rapporten vid revisonsplanering, dvs. vilka kontroller ska man lägga större vikt vid baserat på rapportens resultat En av de stora utmaningarna är att kommunicera denna typ av information till ledningen vad är ett intrång i den egna verksamheten, vika risker ser vid med molntjänster etc. Hur presenterar internrevisorn det på bästa sätt?
DBIR: www.verizonbusiness.com/databreach VERIS: https://verisframework.wiki.zoho.com/ Blog: securityblog.verizonbusiness.com Email: dbir@verizonbusiness.com