24.6.08

Verizon: Izvještaj o sigurnosnim incidentima

Poslovne obveze i Euro 2008 bile su razlog što su se prorijedili napisi na ovim stranicama, no, obećajem, vraćam se uobičajenom tempu.

Nedavno se pojavio jedan veoma zanimljiv tekst tvrtke Verizon - značajnog globalnog pružatelja telekomunikacijskih usluga, o računalnim sigurnosnim incidentima. Naime, prošlogodišnjom akvizicijom tvrtke Cybetrust, Verizon je postao i jedan od vodećih pružatelja sigurnosnih usluga. Njihovi su timovi vodili forenzičku istragu u više od 500 slučajeva tijekom protekle četiri godine. Dokument na koji vas upućujem donosi sintetičku analizu ovih slučajeva i na tridesetak stranica pruža zanimljive zaključke.

Jedan od osnovnih zaključaka izazvao je ponajviše komentara u web prostoru. Verizon iznosi podatak da je 73% incidenata izazvano vanjskim prijetnjama, 18% slučajeva je rezultat unutarnjih prijetnji a 39% slučajeva je rezultat djelovanja poslovnih partnera (neka vas ne zbuni činjenica da zbroj ovih znamenaka prelazi 100%, Verizon tvrdi da je veliki broj incidenata uzrokovan djelovanjem iz više od jednog izvora). Neki autori u web i blog prostoru su iskoristili ovaj podatak kao argument koji bi trebao potvrditi kako je strah od insiderskih prijetnji pretjeran. Naravno, vanjske prijetnje su postale sve prisutnije i sofisticiranije, a zbog sve neposrednije povezanosti i, praktički, neprekinutog korištenja Interneta servisa, učestalost vanjskih prijetnji, bez sumnje, dominira. No, ne bi trebalo izvlačiti pogrešne zaključke o prestanku insiderskih prijetnji i to iz nekoliko razloga.

Kategorizacija izvora prijetnji kako je definira Verizon pomalo je dvojbena. Naime, u stručnoj javnosti je prihvaćena definicija insidera kao svih osoba koji pristupaju informacijskom sustavu neke organizacije s određenom i formalno dodjeljenom razinom privilegija. Formalni odnos (zaposlenje) ne bi trebao biti kriterij, pa tako pojam insideri obuhvaća i privremene zaposlenike, konzultante, servisno osoblje pa i vanjske partnere. Prema tome, prije spomenuti postoci poprimaju druge omjere.

No, treba reći da ni Verizon ne ohrabruje zaključke o manjoj prisutnosti insiderskih prijetnji. U dokumentu je istaknuto da su njihovi timovi nastupali kod složenih slučajeva, dok se neki jednostavniji slučajevi - krađa laptopa, fizički incidenti - rješavaju izvan forenzičkih aktivnosti. Tome, svakako treba pribrojiti sve druge jednostavne, a svakako učestale, insiderske incidenate koji nisu ušli u ovu statistiku.

Sama analiza dodatno potvrđuje realne rizike od insiderskih prijetnji. Jedan od nalaza govori o prosječnom kapacitetu ugroženih podataka (specificiran je kao broj kompromitiranih slogova) ovisno o izvoru prijetnje. Eksterne prijetnje su rezultirale s prosječno 30.000 kompormitiranih slogova, prijetnje partnera s prosječno 187.500 ugroženih slogova, a prijetnje "insidera" s prosječno 375.000 ugroženih slogova.

Umjesto zaključka o manjoj kritičnosti insiderskih prijetnji, pravi bi zaključak trebao sugerirati potrebu za cjelovitim pogledom na prijetnje, ranjivosti i potencijalne gubitke (dakle, za "risk managementom"). Pri tome, treba odbaciti i generaliziranja koja idu u drugu stranu, te prenaglašavaju insiderske prijetnje bez opipljivih argumenata.

Preostali dio teksta jako je zanimljiv. Umjesto prepričavanja, istaknuti ću samo nekoliko zanimljivih zaključaka:
  • Glavni vektor djelovanja prijetnji su greške žrtve - pri čemu su propusti u definciji i konfiguraciju prisutni u 79% grešaka. Drugi i tek nešto niže plasirani vektor je hackerska aktivnost napadača (39% slučajeva se odnosi na hackiranje aplikacija, a preostali slučajevi su distribuirani na razne oblike ranjivosti operativnog sustava)
  • Čak 52% slučajeva zahtjevalo je nisku razinu ekspertize napadača, a visoka ekspertiza je primjenjena samo u 17% slučajeva. Ovaj podatak svakako treba otvoriti oči svima.
  • Samo 15% napada je bilo direktno fokusirano i usmjereno na izabrane žrtve, preostali napadi su bili ipak rezultat slučaja te direktne ili indirektne prigode koja se ukazala napadaču
  • Meni je posebno zanimljiv podataka da je čak 70% incidenata otkriveno nakon dojave treće strane. Interna ili eksterna revizija utvrdila je 5% slučajeva, a praćenje i analiza logova utvrdila je 4% slučajeva.
Svaka tržišna analiza sadrži potencijalne nepreciznosti, često su prisutni brojni faktori koju mogu utjecati na konačni zaključak, a treba uzeti u obzir takve analize imaju najčešće i svojeg - direktno zainteresiranog - sponzora. No ipak, ovaj dokument ima dovoljno argumenata za čitanje.

Nema komentara:

Objavi komentar