[ad_1]

Le nombre de dossiers financiers et confidentiels compromis à la suite de violations de données en 2010 a chuté de façon spectaculaire par rapport aux années précédentes, une diminution que les enquêteurs sur la cybercriminalité attribuent à un changement radical dans les motivations et les tactiques utilisées par les criminels pour voler des informations. Dans le même temps, les organisations de toutes tailles sont confrontées à des violations plus fréquentes et plus petites que jamais auparavant, et la plupart des vols de données continuent de résulter de failles de sécurité relativement peu sophistiquées et faciles à prévenir.

Voici quelques-unes des conclusions tirées de Verizonest la quatrième année Rapport d’enquête sur les violations de données. Le rapport mesure les violations de données sur la base d’enregistrements compromis, y compris le vol de numéros de sécurité sociale, de propriété intellectuelle et de numéros de carte de crédit, entre autres.

Il est important de noter dès le départ que le rapport de Verizon ne mesure la perte qu’en termes de records violés. De nombreuses entreprises touchées par des cyber-escrocs l’année dernière ont perdu des centaines de milliers de dollars chacune lorsque des voleurs ont volé un ensemble de documents, tels que leurs informations d’identification bancaires en ligne.

L’étude de 74 pages riche en données est basée sur des informations glanées auprès de Verizon et Services secrets américains enquêtes sur environ 800 nouveaux incidents de compromission de données depuis le rapport de l’année dernière (l’étude comprend également une annexe détaillant 30 cas de cybercriminalité enquêtés par le Unité nationale néerlandaise de lutte contre la criminalité high-tech).

Bien que le rapport examine les données de plus de violations en une seule année que jamais auparavant (l’ensemble de données Verizon / US Secret Service de toutes les années précédentes comprenait un peu plus de 900 violations), Verizon a constaté que le nombre total d’enregistrements violés est passé de 361 millions en 2008 à 144 millions en 2009 à seulement 4 millions l’an dernier.

Une bonne partie du rapport est consacrée à l’hypothèse de ce qui pourrait être responsable de ce déclin surprenant, mais ses auteurs ne semblent pas disposés à laisser l’industrie de la sécurité s’en attribuer le mérite.

« Un optimiste peut interpréter ces résultats comme un signe que l’industrie de la sécurité est GAGNANTE ! Désolé, Charlie », indique le rapport. « Bien que nous aimerions vraiment que ce soit le cas, un an n’est tout simplement pas suffisant pour une telle amélioration globale des pratiques de sécurité nécessaire pour réduire de manière drastique la perte de données. »

L’étude suggère un certain nombre d’explications possibles. Par exemple:

-Il y a eu relativement peu d’énormes cambriolages de données. Ceux qui étaient responsables de la majorité des dossiers violés au cours des dernières années étaient des violations impliquant des dizaines de millions de cartes de crédit et de débit volées. Ces attaques très médiatisées ont peut-être rendu gloire et fortune aux attaquants, mais elles ont également attiré beaucoup d’attention indésirable. Bon nombre des méga-violations passées se sont soldées par la capture et l’arrestation des responsables, comme le cas de Albert Gonzalesl’ancien informateur des services secrets qui a été condamné l’an dernier à 20 ans de prison pour son rôle dans le vol de 130 millions de numéros de cartes de crédit et de débit du géant du traitement des cartes Systèmes de paiement Heartland. « Ceux qui souhaitent rester en dehors de la prison ont peut-être changé leurs objectifs et leurs tactiques pour rester sous le radar », note le rapport. « Cela pourrait être l’une des principales raisons de l’éruption de ‘mini violations’ impliquant de plus petites organisations. »

-Megabreachs des années passées souterrain criminel inondé marchés avec tellement de numéros de cartes volés que leur valeur a chuté. L’attention des criminels peut s’être tournée vers le vol d’autres types de données de profil inférieur, telles que les identifiants de compte bancaire, les informations personnelles et la propriété intellectuelle. En d’autres termes, les criminels pourraient choisir de laisser les marchés s’équilibrer avant de voler des quantités plus importantes ou de vendre ce qu’ils ont déjà dérobé. « Il convient de noter qu’un grand nombre des cartes qui ont été volées au cours des dernières années dans ces méga-violations vont probablement commencer à expirer bientôt », a déclaré Bryan Sartin, directeur de la réponse d’enquête chez Verizon Business. « Nous pourrions donc être dans un schéma d’attente en ce moment. »

Non pas que les voleurs ne soient plus intéressés par le vol des données de carte de paiement, ils ne le font tout simplement pas dans les mégaheists. Les résultats de Verizon montrent que le vol de données de cartes de paiement conserve sa prédominance dans l’ensemble des cas combinés, représentant 98 % des enregistrements violés et volés dans 78 % de tous les incidents de violation. De plus, près du tiers de toutes les infractions examinées dans le rapport impliquaient des activités nécessitant une proximité physique ; la majorité d’entre eux impliquaient des écumeurs de cartes de crédit de distributeurs automatiques de billets et de pompes à essence, ou des terminaux de point de vente compromis dans des établissements de vente au détail.

« L’écrémage des distributeurs automatiques de billets et des pompes à essence est mené en grande partie par des groupes criminels organisés et une » virée « peut cibler 50 à 100 sites commerciaux différents », indique le rapport. « Ces attaques se produisent depuis des années, mais sont en augmentation dans de nombreux domaines selon les rapports publics et la charge de travail des services secrets. »

Si les e-voleurs ne sont pas aussi enclins à s’en prendre aux géants du transport de données, alors qui ciblent-ils ? Les lecteurs qui connaissent ma couverture des prises de contrôle apparemment incessantes de comptes bancaires en ligne ciblant les petites et moyennes entreprises connaissent déjà la réponse : le rapport de Verizon cite une « explosion virtuelle des violations impliquant de plus petites organisations », l’année dernière.

« Il semble que les cybercriminels se contentent actuellement de compromettre les systèmes de point de vente (POS) et d’effectuer des prises de contrôle de compte et des fraudes sur les transactions de la chambre de compensation automatisée (ACH). Il y a eu une augmentation dans ces domaines en 2010. Par rapport aux années précédentes, il est apparu qu’il y avait plus de violations de données en 2010, mais les données compromises ont diminué en raison de la taille des bases de données de l’entreprise compromise. Cela montre la volonté des cybercriminels clandestins de s’attaquer aux cibles plus petites et plus faciles qui leur fournissent un flux plus petit mais régulier de données compromises.

Comme il l’a fait dans des rapports précédents, Verizon continue de minimiser l’importance de certains des plus grands mots à la mode qui animent le marché de la sécurité aujourd’hui, notamment « sécurité cloud », « sécurité mobile » et « menace persistante avancée ».

Concernant l’attention récente des médias sur les entreprises de sécurité mettant en garde contre la menace naissante des escrocs informatiques ciblant les appareils mobiles, le rapport indique :

« Bien que nous reconnaissions la croissance de l’informatique mobile et l’attrait croissant de la plate-forme pour les menaces potentielles, nous devons également reconnaître que cette année encore, nous n’avons aucune représentation des smartphones ou des tablettes comme source d’une violation de données. »

Répondre aux problèmes de sécurité soulevés par le déplacement des données « vers le cloud » :

« Nous n’avons pas encore vu de brèche impliquant une attaque réussie contre l’hyperviseur. D’un autre côté, nous voyons constamment des failles impliquant des systèmes hébergés, une gestion externalisée, des fournisseurs malhonnêtes et même [virtual machines] (bien que les vecteurs d’attaque n’aient rien à voir avec le fait qu’il s’agisse ou non d’une machine virtuelle). Il s’agit plus d’abandonner le contrôle de nos actifs et de nos données (et de ne pas contrôler le risque associé) que de n’importe quelle technologie spécifique au Cloud.

Concernant les menaces persistantes avancées (APT), Verizon déclare :

« Les APT méritent un traitement spécial ici. Certains se souviendront que nous avons exprimé notre inquiétude dans le DBIR 2010 et les articles de blog suivants concernant l’hystérie APT qui balaie la communauté de la sécurité. Nous croyons toujours qu’il existe une « dérive de portée » dans la définition d’APT. Les créateurs du terme l’utilisent principalement en référence aux attaques parrainées par l’État de la République populaire de Chine. D’autres l’utilisent pour décrire toute menace possédant une compétence et une détermination supérieures à la moyenne. Le résultat logique du premier est d’évaluer sérieusement et d’aborder sérieusement la posture de sécurité au sein des agences gouvernementales et de la base industrielle de la défense (ce qui est juste et bon). Le résultat logique de ce dernier est de conclure que « tout le monde est une cible » d’APT (qui est un oxymoron et conduit à des peurs irrationnelles à propos du boogeyman tandis que les voleurs ordinaires vous nettoient de la maison et de la maison). Il n’est tout simplement pas possible que tout le monde soit une cible. Il est sans aucun doute vrai (sur la base de l’expérience des enquêtes) que certains sont la cible d’attaques parrainées par l’État (provenant de Chine et/ou d’ailleurs). Il est également sans aucun doute vrai (également basé sur l’expérience) que certains qui pensent être victimes d’APT sont en réalité les victimes de criminels organisés, d’hacktivistes, de script kiddies glorifiés et de leurs propres erreurs. Parce que les « APT » (toutes les définitions) sont réelles, il est temps que nous devenions réalistes pour les définir et nous défendre contre elles. »

Le rapport Verizon regorge d’autres découvertes intéressantes. En voici quelques-unes que j’ai trouvées fascinantes :

  • 50% des violations impliquaient un type de piratage. Pas moins de 71 % des attaques dans la catégorie piratage ont été menées via des services d’accès à distance et de bureau, tels que pcAnywhere et RDP. Les entreprises les plus souvent touchées par l’accès à distance non sécurisé et les services de bureau se trouvaient dans les secteurs de la vente au détail et de l’hôtellerie.
  • Seules cinq vulnérabilités distinctes ont été exploitées sur les 381 violations attribuées au piratage. Et deux des cinq étaient des failles pour lesquelles des correctifs sont disponibles depuis plus de deux ans.
  • Seulement 17 % des violations de l’année dernière impliquaient des initiés. Quatre-vingt-huit pour cent des violations internes impliquaient des employés réguliers ou des utilisateurs finaux. Les administrateurs système et réseau ont volé beaucoup moins d’informations que les employés ordinaires.

Une copie du rapport est ici (PDF). Découvrez-le et partagez vos réflexions dans la section des commentaires ci-dessous. Si vous souhaitez lire le rapport de l’année dernière, je l’ai présenté ici.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *