This morning I attended a call discussing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 new Verizon Business 2008 Data Breach Investigations Report. I'd like to quote cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 linked blog post and a previous article titled I Was an Anti-MSS Zealot, both of which I recommend reading in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir entirety. First I cite some background on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study.Verizon Business began an initiative in 2007 to identify a comprehensive set of metrics to record during each data compromise investigation. As a result of this effort, we pursued a post-mortem examination of over 500 security breach and data compromise engagements between 2004 and 2007 which provided us with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast amount of factual evidence used to compile this study. This data covers 230 million compromised records. Amongst cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are roughly one-quarter of all publicly disclosed data breaches in both 2006 and 2007, including three of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 five largest data breaches ever reported.
The Verizon Business 2008 Data Breach Investigations Report contains first-hand information on actual security breaches... (emphasis added)
That's awesome -- a study based on what Verizon's Incident Response Team found during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir work. Next let's read some thoughts from one of Verizon's security team.
I used to think that Intrusion Detection Systems (IDS) and Managed Security Services (MSS) were a waste of time. After all, most attacks that I had worked on began, and were over, within seconds, and were typically totally automated...
But cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verizon Business 2008 Data Breach Investigations Report tells a very different story. The successful attacks were almost universally multi-faceted and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 various timeframes are truly astounding. The series of pie charts in Figure 21 are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most interesting data.
The first chart shows that more than half of attacks take days, weeks, or months from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of entry of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first successful attack step) to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point of data compromise (not simply system compromise, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point at which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 criminal has actually done material harm). 90% take more than hours and over 50% take days or longer. Clearly if an appropriate log was instrumented and being regularly reviewed or an IDS alarm occurred, you would notice and could stop cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vast majority of our cases.
The second pie chart in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 series reveals that 63% of companies do not discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise for months and that almost 80% of cases do not learn of attacks for weeks after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y occur. In 95% of cases it took cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 organization longer than days after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 compromise to learn of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. There are hundreds of cases in which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside team eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r didn’t look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs (in 82% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breaches in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evidence was manifested in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir logs), or for some ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r reason (were frustrated, tired, overwhelmed by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 logs, found cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m to be not-interesting, felt cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were too noisy after a few days or weeks) simply quit looking... (emphasis added)
That is amazing. Consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following regarding patching.
[O]nly 22% of our cases involved exploitation of a vulnerability, of which, more than 80% were known, and of those all had a patch available at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 attack. This is not to say that patching is not effective, or necessary, but we do suggest that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis on it is misplaced and inappropriately exaggerated by most organizations. For cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sake of clarity, 78% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breaches we handled would have still occurred if systems had been 100% patched cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 instance a patch was available. Clearly patching isn’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of breaches we investigated.
How about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source of attacks?
While criminals more often came from external sources, and insider attacks result in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest losses, criminals at, or via partner connections actually represent cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest risk. This is due to our risk equation: Threat X Impact = Risk
- External criminals pose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest threat (73%), but achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least impact (30,000 compromised records), resulting in a Psuedo Risk Score of 21,900
- Insiders pose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 least threat (18%), and achieve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 greatest impact (375,000 compromised records), resulting in a Pseudo Risk Score of 67,500
- Partners are middle in both (39% and 187,500), resulting in a Pseudo Risk Score of 73,125
While cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se are rudimentary numbers, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 relative risk scores are reasonable and discernable. It is also worth noting that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Partner numbers rose 5-fold over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study, making partner crime cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 leading factor in breaches. This is likely due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ever increasing number of partner connections businesses are establishing, while doing little to nothing to increase cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir ability to monitor or control cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir partner’s security posture. Perhaps as expected, insider breaches are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of your IT Administrators 50% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. (Note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 original blog post doesn't say 39%, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report and briefing does.)
I think that's consistent with what I've said: external attacks are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most prevalent, but insiders can cause cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worst damage. (The authors note cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 definition of "insiders" can be fuzzy, with partners sometimes considered insiders.)
This chart is one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 saddest of all.
Unfortunately, it confirms my own experience and that of my colleagues.
I'll add a few more items:
- Three quarters of all breaches are not discovered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim
- Attacks are typically not terribly difficult or do not require advanced skills
- 85% of attacks are opportunistic racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than targeted
- 87% could have been prevented by reasonable measures any company should have been capable of implementing or performing
Sounds like my Caveman post from last year.
I am really glad Verizon published this report and I look forward to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 next edition in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 fall.
16 comments:
My experience with investigating a fairly large number of breaches jives pretty much with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report - if I exclude common desktop bots & malware. Those are a different animal as far as I am concerned.
We typically see days, weeks or months from exploit to detection, which drives us toward long retention on netflow & firewall logs.
The breaches could have been detected in logs, if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 signal to noise ratio were reasonable.
The more recent exploits tend to be non-patch related, I suspect simply because computers tend to be better patched now than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y were 5 years ago.
The partner risk is interesting & worthy of attention.
Interestingly - cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 last few breaches I looked at have been bandwidth & SEO related. The systems were targeted because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r lots of free bandwidth for serving up warez/pornez, or because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y had very high search engine placement, making links to illicit pharmaceuticals cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end goal.
This report is full of juicy nuggets, here is one of my favorites...
On Page 23 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report buried in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom paragraph is an interesting statistic and analysis note....
In 82% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cases cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 victim possessed cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ability to discover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breach had cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y been more diligent in monitoring and analyzing event-related information available to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m!
They indicate that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 breakdown is in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 process, that organizations lack procedures for collection, analysis and reporting on event information.
Interesting spin on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 report
http://www.verizonbusiness.com/about/news/displaynews.xml?newsid=25135&mode=vzlong&lang=en&width=530
Verizon Business Releases Trailblazing Data-Breach Study Spanning 500 Forensic Investigations
Key Findings Indicate 87 Percent of Breaches Avoidable through Reasonable Security Measures Businesses Urged to Be Proactive
June 11, 2008
Highlights:
Key Findings Examine Basic Security Tenets
Growing Worldwide Black Market for Stolen Data
Recommendations for Enterprises
Hey Rocky, how ya doing? Long time no see.
Richard, thanks for pointing out my mistake in my blog post (73 instead of 39), that's what happens when you do a copy/paste! I've corrected it now.
Your post is a good read. Its interesting to see which numbers are jumping out to various people.
Cheers,
Russ
Richard: Legally speaking, what is "reasonable security?" FTC punished TJX for not having it, but FTC was wrong. Verizon says 9 of 10 data breaches could have been avoided if "reasonable security" were present. That implies 9 in 10 breach victims were in violation of law. The study's outlook is that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 solution to identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft is locking down corporate data. But a security consultant/solution provider like this Verizon unit naturally sets a high bar for what is reasonable. And when Verizon evaluates if reasonable security could have prevented a break-in, it does so with benefit of hindsight. Yet cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 study goes on to say that in modern systems knowing where all your data reside is "an extremely complex challenge." In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 shere problem of locating data (so you can apply security) is very expensive, and mistakes by data-holders who act in good faith are easy. The reasonable measures expected by FTC and Verizon are extravagantly hard to implement in practice. Hence, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 portion of incidents preventable by FTC/Verizon's reasonable procedures is much lower than 90%. We need to focus more attention on ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r solutions to identity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ft. --Ben http://hack-igations.blogspot.com/2008/03/ftc-treats-tjx-unfairly.html
For an explanation of what we mean by "reasonable controls," please visit cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verizon Business Security Blog post referenced below.
What do we mean by "Reasonable Controls?"
Although excellent reports like this gives us insight into breaches that are found, one wonders cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 number of additional breaches that are NEVER detected.
-Rob L
This report is highly misleading.
Every ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r security report shows you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 majority of breaches are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 result of insiders who accidentally lose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir laptops, memory sticks.
I work for my state government and even though it may not be a significant sample size to speak for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire country but I've seen enough newspaper articles to know that that majority of breaches aren't from external.
I can't explain why cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is a discrepancy with this report but I highly recommend reconciling this report with anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r report such as http://www.darkreading.com/security/government/showArticle.jhtml?articleID=211201426
@Anonymous
By "reconciling", I assume you want us to ignore our 5 years of data from 600 cases and just go with what ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365rs are reporting? Unlikely.
We've reported what we found - what else can we do? I've always been straightforward about our dataset and it's limitations. Maybe govs are different (we don't work many cases in that sphere so I don't have a data-based opinion) but as for me and any organization I steer or advise...I'll continue to follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 data.
I can feel that you have put in hard efforts. Good job!!
Post a Comment