S miliónmi osobných záznamov a informácií o platobných kartách, ktoré sa pravidelne kradnú, niekoľko nedávno zverejnených správ nezávisle potvrdzuje hlavné zdroje porušení. Nie je prekvapením, že to nie sú chyby zero day, dokonca ani zasvätení, ale staromódne SQL injekcie vedľa malvéru.
Spoločnosti investujú viac zdrojov do zabezpečenia ochrany svojich sietí a zamestnancov pred najnovšími hrozbami jasne prehliadajú najzákladnejšie hrozby, ktoré si zvyčajne vyžadujú jednoduché alebo priemerné sofistikované útoky kyberzločinec.
Pozrime sa na správy podrobne o skutočnom vplyve injekcií SQL a malvéru v kontexte narušenia údajov.
- Správa o vyšetrovaní narušení bezpečnosti Spojeného kráľovstva - Analýza prípadov ohrozenia údajov - 2010
7Safe bol nedávno vydaný Správa o porušení za rok 2010uvádza, že na základe analýzy vykonanej ich forenznými vyšetrovaniami sa 40 % všetkých útokov spoliehalo na injekcie SQL a ďalších 20 % na kombináciu útokov vstrekovaním SQL a malvéru. Nielenže zdroj útoku bol v 80 % prípadov externý, ale aj slabinou webového rozhrania využívané v 86 % prípadov, pričom väčšina dotknutých spoločností pôsobí na zdieľanom hostingu životné prostredie.
- Pozrite sa, ako čínski hackeri a majstri botnetov spúšťajú masívne útoky SQL injection pomocou verejných vyhľadávačov: Masívne SQL vstrekovacie útoky - čínsky spôsob; Injekcia SQL prostredníctvom prieskumu vyhľadávacích nástrojov; Masívne SQL injekcie prostredníctvom prieskumu vyhľadávacieho nástroja – druhá časť
- Správa spoločnosti Trustwave o globálnej bezpečnosti za rok 2010
Správa spoločnosti Trustwave o globálnej bezpečnosti za rok 2010, ponúka podobné poznatky súvisiace s používaním injekcií SQL (tretie miesto v zozname počiatočných útokov) na získanie neoprávneného prístupu k informáciám o platobných kartách. Správa prináša zaujímavé pozorovanie a uvádza, že na základe ich analýzy v 81 % prípadov napadnuté počítače spravovala tretia strana v porovnaní s 13 % počítačov, ktoré sa sami spravovali.
Okrem toho správa podrobne popisuje najbežnejšie typy malvéru, ktoré prispeli k strate údajov o zákazníkoch, pričom uvádza, že v 54 % prípadov útočníci získali údaje počas prenosu.Na aké typy malvéru sa útočníci spoliehali? Analyzátory pamäte (67 % prípadov), nasledovaný malvérom využívajúcim keylogging (18 % prípadov) a sieťovým sniffovaním (9 %) taktík a 6 % prípadov využívajúcich poverený malvér, známy aj ako malvér ATM (Bankomaty Diebold infikované škodlivým softvérom na skimming kreditných kariet).
- Súvisiace príspevky: Podvodníci chytili zadné vrátka čipových a PIN terminálov; Podvodníci zavádzajú ATM skimmery so zabudovanou SMS notifikáciou; Štúdia spoločnosti Microsoft odhaľuje ziskovosť podzemnej ekonomiky; CardCops: Ukradnuté údaje o kreditnej karte sú lacnejšie
- The Poneman Institute - Náklady na porušenie údajov
Napriek tomu správa zdôrazňuje odporúčania a obsahuje hodnotné metriky na posúdenie v analýze nákladov a výnosov sa v ňom tiež uvádza, že na základe ich výskumu sa úniky údajov v dôsledku útokov škodlivého softvéru od roku 2008 zdvojnásobili do roku 2009, pričom náklady na porušenie údajov v dôsledku zlomyseľného útoku sú vyššie ako náklady na porušenia spôsobené nedbanlivosťou zasvätených osôb alebo systémovými chybami. Je zaujímavé, že sa v ňom tiež uvádza, že okamžité upovedomenie dotknutých zákazníkov stojí viac ako oddialenie oznámenia. To je, samozrejme, z pohľadu zákazníka, nie dotknutého zákazníka, ktorého finančné údaje už mohli byť zneužité na podvodné nákupy v závislosti od predmetného porušenia údajov.
- Správa Verizon Anatomy of a Data Breach Report za rok 2009
V neposlednom rade je Správa Verizon z roku 2009 Anatomy of a Data Breach, podľa ktorej bol malvér a injekcie SQL hlavnými zdrojmi narušenia údajov, ako aj zodpovedné za väčšinu odhalených záznamov. Je zrejmé, že táto priemerná kombinácia útočných taktík je prekvapivo účinná proti spoločnostiam, ktoré nielen predpokladajú, ale sú zo zákona povinné, aby riadne zabezpečili svoju infraštruktúru.Ako môžu počítačoví zločinci vedieť, že tieto korporácie sú náchylné na také ľahké a často zneužiteľné módne chyby typu point'n'click? Strieľajú do tmy, alebo sa spoliehajú na nejakú metodiku, ktorá predpokladá, že nízko visiace ovocie je neoddeliteľnou súčasťou každej myšlienky na bezpečnú sieť? Tu je niekoľko kľúčových problémov, ktoré treba zvážiť:
- Princíp KISS (Keep It Simple Stupid) v rámci ekosystému počítačovej kriminality
Kyberzločinec, ktorý nemá potuchy o tom, čo robí – vládou sponzorovaní/tolerovaní kyberšpióni a jednotky kybernetického boja sú výnimkou, hoci princíp KISS stále platí – by strávil mesiace prípravou, možno by investoval obrovské množstvo peňazí do nákupu zraniteľnosti zero day v populárnom webovom prehliadači s cieľom pokúsiť sa ju použiť na získanie prístupu k siete. Na druhej strane by bol pragmatický kyberzločinec "udržať to jednoducho", a logicky by predpokladal, že existuje správna pravdepodobnosť, že spoločnosť prehliadla najjednoduchšie hrozby, ktoré môže ľahko zneužiť.
- Prejdite si súvisiace príspevky: Výskum: Malé DIY botnety prevládajúce v podnikových sieťach; Prieskum: 80 % používateľov webu používa neopravené verzie Flash/Acrobat; Secunia: Priemerná sadzba za nezabezpečený program na PC zostáva vysoká
S takouto realistickou mentalitou a vzhľadom na to, že náklady na vykonanie týchto útokov sú také malé, úmyselne, resp. neúmyselne dospeje k záveru, že vnímaná úroveň bezpečnosti v rámci organizácie sa zdá byť zavádzajúce. V tomto prípade sa proti komplexnosti bojuje jednoduchosťou, vychádzajúc zo základného predpokladu, že technológie riadia ľudia a sú preto náchylné na ľudské chyby, ktoré by po odhalení a zneužití mohli podkopať oveľa komplexnejšiu bezpečnostnú stratégiu miesto.
Rovnaká mentalita platí pre veľké percento „príbehov úspechu botnetov“ za posledných niekoľko rokov. Namiesto toho, aby sme predpokladali, že milióny potenciálnych obetí opravili svoje operačné systémy (Vedie softvérové pirátstvo k vyššej miere infikovania škodlivým softvérom?), vedľa všetkého softvéru tretích strán spusteného na ich hostiteľoch a začnite hľadať spôsoby, ako získať veľmi žiadanú zraniteľnosť zero day, kyberzločinca by v podstate predpokladalo, že čím viac zraniteľností na strane klienta je pridaných do konkrétnej súpravy na zneužívanie webového škodlivého softvéru, tým vyššia je pravdepodobnosť infekcia.
A žiaľ, mal by pravdu.
- Úloha automatizovaného skenovania zraniteľnosti webových aplikácií v procese dosiahnutia (falošného) pocitu bezpečia
Správa "Analýza presnosti a časových nákladov bezpečnostných skenerov WebApplication“ zverejnené začiatkom tohto mesiaca naznačujú, že Point and Shoot, ako aj trénované skenovanie vykonané so skenermi, prehliadlo 49 % zraniteľností, ktoré mali odhaliť. Správa tiež poukázala na to, že skenery, ktoré prehliadli väčšinu zraniteľností, hlásili aj najvyšší počet falošne pozitívnych, najhoršiu možnú kombináciu. Je jasné, že čo je nebezpečnejšie ako neistota vo všeobecnosti (Prehľad zabezpečenia webových aplikácií a detekcie narušenia v systémoch riadenia letovej prevádzky), je falošný pocit bezpečia.
Pamätajte Čínsky toľko špekulovaný „nehacknuteľný OS“ Kylin, ktorý bol vnímaný ako hrozba pre útočné schopnosti kybernetického boja iných krajín, ktoré ich roky budovali na základe známych operačných systémov? Rovnako ako každý iný operačný systém, jeho slabinou je v tomto prípade rovnováha – alebo nedostatok – použiteľnosti a bezpečnosti sú to neisto nakonfigurované webové aplikácie, ktoré by útočníkom umožnili dosiahnuť úroveň použiteľnosti ponúkanú legitímnym používateľov.
Nie investovaním zdrojov do hľadania nedostatkov špecifických pre OS, ale využívaním „horné vrstvy modelu OSI". Nie je to len nákladovo efektívnejšie, ale niekedy to útočníci robia jednoducho.
Prečo si myslíte, že spoločnosti zanedbávajú najjednoduchšie hrozby, ktoré sú zároveň tými s najvyšším rizikovým faktorom kvôli ich ľahkému využitiu? Co si myslis?
Odvrávať.