Trustwave har analysert 450 etterforskninger av alvorlige datainnbrudd. Selskapet er partner med politiorganer i flere land.

– Dataranere tar det med ro

Det går måneder eller år før bedrifter oppdager et innbrudd.

Det typiske datainnbruddet er ikke som et brekk. Poenget er ikke å raske med seg verdisaker og så løpe ut igjen. Poenget er å snike seg inn, ta seg den tiden man trenger til å få god oversikt, og bli værende så lenge det er håp om å fange opp informasjon det går an å tjene penger på.

I sin innledning til RSAs sikkerhetskonferanse i San Francisco for ti dager siden, fortalte senior visepresident Nicholas Percoco i Trustwave at det i 2012 tok gjennomsnittlig 210 dager fra et datainnbrudd skjedde, til det ble oppdaget av bedriften.

Det er 35 dager lenger enn i 2011.

– Selv der det gjøres en god jobb med snokvern, tar det gjennomsnittlig 10 dager å oppdage et innbrudd, sa Percoco.

Trustwave tilbyr driftede sikkerhetstjenester og løpende innsikt i trusselbildet til bedrifter, og etterforskningsassistanse til politiorganer i USA, Storbritannia, Mexico og Australia. Selskapet har nettopp utgitt en 79 siders rapport, 2013 Trustwave Global Security Report, som oppsummerer deres arbeid og deres kunders erfaringer i 2012.

    Les også:

I rapporten heter det at 64 prosent av ofrene for datainnbrudd brukte minst 90 dager på å oppdage innbruddet, mens 5 prosent brukte minst tre år før de ble klar over at kriminelle var inne i deres nettverk.

Bare 5 prosent av bedriftene oppdager et datainnbrudd innen ti dager. 64 prosent vet ingenting før det har gått minst 90 dager.
Bare 5 prosent av bedriftene oppdager et datainnbrudd innen ti dager. 64 prosent vet ingenting før det har gått minst 90 dager. Bilde: Trustwave

Et annet viktig poeng er at kriminelle ikke bruker nulldagssårbarheter til vanlige kyberran.

– Det er ingen grunn til å brenne av sårbarheter som ingen andre kjenner til, særlig ikke når de fleste bedrifter kan angripes effektivt gjennom langt enklere metoder.

To innbruddsmetoder, henholdsvis fjerntilgang og SQL-injisering, brukes i 73 prosent av tilfellene som Trustwave undersøkte i 2012.

Sikkerhetssituasjonen i typiske ofre er preget av dårlige passordrutiner, kritikkløs utsetting av IT-tjenester og utilstrekkelige verktøy for overvåking av intern og utgående trafikk. Rapporten konstaterer at Trustwaves folk ofte opplever å oppdage skadevare straks de begynner å undersøke kunders systemer. Kundens IT-administratorer har da oversett den samme skadevaren i månedsvis.

Manglende oversikt over bruken av interne servere og arbeidsstasjoner er en gjenganger hos ofrene.

Percoco fortalte om et tilfelle der kriminelle samlet opp kolossale mengder informasjon på én utvalgt server i en bedrift. Da de IT-ansvarlige oppdaget at serveren var i ferd med å gå tom for lagringsplass, gikk de til innkjøp av flere disker. Dette skjedde to ganger før noen stusset nok over tilfellet til å se nærmere på hva som kunne være årsaken til den uventede veksten i lagringsbehov.

Utvidelsen av tiden kriminelle hackere har til rådighet, har sammenheng med at de har utviklet nye metoder for å skjule trafikken de genererer i offerets nettverk. Det er sjelden de potensielt mest innbringende informasjonskildene angripes først. Innbruddet retter seg først mot svake ledd. Når man har kommet seg på innsiden, starter jakten på den mest verdifulle informasjonen.

Trustwave advarer følgelig at angrep ikke lengere kan beskrives i de tre stadier de brukte i tidligere rapporter, det vil si innbrudd, datasamling og dataeksport. Nå er det fire stadier: Innbrudd, spredning, datasamling og dataeksport.

Det er også en tendens til at angriperne i mindre grad samler opp data i egne filer på servere eller arbeidsstasjoner i offerets interne nettverk.

I stedet har de utviklet rutiner som automatisk identifiserer interessant informasjon, og straks kopierer den til deres egne servere, heter det i rapporten.

– De fleste datainnbruddene [som Trustwave undersøkte] i 2012, og de fleste penetrasjonstestene, viste at offeret ikke hadde tilstrekkelig filtrering av utgående trafikk, heter det rapportens kapittel om angripernes dataeksport.

Ofrene forklarer gjerne at det ikke er et poeng å kontrollere utgående trafikk. Trustwave mener denne tenkingen bare kan forsvares dersom det er 100 prosent sikkert at et datainnbrudd er umulig.

– Siden et innbrudd alltid er mulig, må det gjennomføres tiltak for å sikre at angriperen møter enda et lag med utfordringer for å lykkes.

I stedet ser det ut til at det er de kriminelle som ligger fremst når det gjelder å utfordre motparten. Rapporten forteller at trafikken som de kriminelle sender ut av ofrenes nett – for eksempel forretningshemmeligheter og følsom personinformasjon – i stadig større grad krypteres. Andelen i 2012 var 26 prosent.

Gitt at mange bedrifter ikke overvåker utgående trafikk i det hele tatt, vil det nok ta lang tid før de skaffer seg verktøy som får alarmbjellene til å ringe ved unormal utførsel av krypterte dokumenter.

Til toppen