Thursday, May 07, 2009

Highlights from 2009 Verizon Data Breach Report

Last year I posted Verizon Business Report Speaks Volumes, providing excerpts that resonated with me. Verizon released anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r edition last month, with plenty of commentary on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir blog and elsewhere. I wanted to record a few highlights here for my own reference but also to counter arguments I continue to see elsewhere about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 so-called prevalence of insider threats.

This is a polite way of trying to demolish cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most deeply entrenched urban myth in security history.



This shows cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 2009 results.



This is an historical way to look at breach source data.



The following chart is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one that insider threat proponents will try to use to justify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir position. It shows that, on average, a breach caused by a single insider will result in many more records being stolen than one caused by an outsider. Incidentally, this is what I have said previously as well!



However, when looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem in aggregate, outsiders cause more damage.



If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 big red dot doesn't say it all, I don't know what will.

Verizon captures this scenario using a "pseudo-risk" calculation.



Pete Lindstrom makes an interesting point about this calculation, but I don't think it is necessarily without merit.

I'd like to briefly turn to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 detection and response elements I found interesting.

The following shows someone from Verizon has been to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Best Single Day Class Ever. That big red dot shows "months" from compromise to discovery is dominant.



Detection methods continue to be pacá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365tic.



This is probably because, although logs are collected, hardly anyone reviews cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m.



This is probably because only a third of companies have an IR team.



Most companies are probably relying on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir anti-virus software to save cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. This is too bad, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 explosion in customized malware means it probably won't.



All of this is why my TCP/IP Weapons School 2.0 class teaches students how to analyze data to detect and respond to intrusions, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than rely on automated tools which fail.


Richard Bejtlich is teaching new classes in Las Vegas in 2009. Regular Las Vegas registration ends 1 July.

11 comments:

A. Thulin said...

Well, without an authoritative statement of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's little point in trying to demolish it.

It could be a simple case of confusing damage costs and nr of incidents: insider incidents tend to produce larger damage costs, while outsiders produce a lot of incidents. (I think an IBM study in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 90s made that point: cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y found insider incidents are more costly.)

Then, it may simply be a question of accounting: insider incidents may go through a more thorough investigation, which possibly may be charged to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 department or unit, and so are easy to sum up. While outside incidents (say, a simple port scan) may simply be chalked up as statistics and ignored, and so produce minimal damage costs.

And that big red dot you refer to doesn't really settle cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 matter: it only emphasizes cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 question if damage is measured in records compromised or in costs to restore normal state of affairs? After all, a compromised data base server may easily produce millions of compromised records (but easily reastored from trusted backups), while one major embezzlement only compromises one record/account.

Figure 8 really needs to be complemented by one showing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage costs for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same data.

Anonymous said...

Just a little nit-pick ... those red dots are so big because are scaled by dimension, not by area. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, if stat X is 4 times larger than stat Y cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n it gets a dot 16 times bigger. I'd have expected better visualisation from Verizon given that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rest of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 charts are pretty good.

Anonymous said...

My take on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Verizon study is that you need to be equally concerned about internal, external and partner breaches. The internal ones lost far more records than external. And of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sample is only of cases where Verizon was involved - internal breaches might not be detected, or might be covered up.

RWeiss said...

Does it really matter? Attacks come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outside. Attacks come from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 inside. Sometimes attackers user insider credentials to look like insiders and insiders use external credentials\methods to look like outsiders.....


Eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage is done. The data is compromised and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company has to deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effects eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way.

Implementing effective monitoring, logging, detection, analysis, documentation, battlefield assessment, and proactive response ( all cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 things you talk about Richard) can help solve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem whereever it comes from.

All I know is that when I deal with clients..... I have to investigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 damage and\or cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 loss of data however it happens.
And cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 proper monitoring techniques apply to both.

Richard Bejtlich said...

rwuiuc, it absolutely matters. If we stopped focusing on vulnerabilities and looked at threats, we would help reduce cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem instead of deal with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mess. Please see Of Course Insiders Cause Fewer Security Incidents and How Many Spies? for background.

RWeiss said...

Richard,


I guess I was not clear enough......... I was saying we should focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 threats! Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are outsiders or insiders........... eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r way you have to investigate. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 appropriate monitoring, analysis,and IR functions are in place an organization should be able to respond to eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

I do think a lot of business underestimates outside attacks........ but I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m underestimate inside attacks as well.

Richard Bejtlich said...

rwuiuc, what I mean is that if we want to STOP this problem we need to properly identify cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 culprits.

Anonymous said...

Folks, you should focus on RISK. On what is important, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n segment cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 infrastructure, never rely on one control, and do not use inductive logic.

Alex Hutton said...

@anonymous3: ET Jaynes pretty much proved that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is no significant difference between inductive and deductive in 'Probability Theory: The Logic of Science'.

@rwuiuc: I'd have a tough time saying that we should focus on one particular aspect of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 risk landscape. Focusing on threats without looking at asset, control, and impact gives you a racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r myopic perspective.

@A. Thulin: The IR teams don't usually stick around for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 duration of incident impact (it can take several quarters to really get just a rough estimate of actual $ impact). So we use # of records as a "pseudo-risk" component to describe impact. Yes, that makes certain assumptions, but I don't think it's non-informative as long as you're wise to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 limitations of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information (which, like yourself, most folks seem to be).

FWIW - we'd *love* to have real impact values. But even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n, I would suggest that most organizations can develop significantly informative $ based impact values internally by bringing ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r lines of business into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 room (doughnuts help).

@anonymous2: I hope we've been pretty forthright about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 types of incidents we get asked to help with vs. an aggregate taxonomy of incidents you might use internally at an organization. As I believe you are suggesting, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some "internal" frequency of occurrence numbers that just aren't represented - those incidents that don't require an external IR team (those that might not require disclosure, those that do require disclosure but don't require an external IR team like lost or stolen laptops, for example), etc. just aren't represented in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DBIR.

That said, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information represented should be useful in putting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "myth" in context. If you're talking about those incidents that tend to fit our case-load profile, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re's a significant gap between our experience and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "fact" bandied about in trade press.

Bottom line, VZDBIR is not meant to be some sort of biblical authority, just (hopefully significantly) informative within context.

Anonymous said...

I will grant you that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth exists. One cannot find cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 source because we never said it.

What we said was that insiders represented cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest RISK, not "threat." Insiders attack less often but do more damage. What we said was that outsiders damage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 brand, insiders bring down cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 business.

Two caveats: 1) In cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 origins of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 myth, before most of you were born, insiders were also cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest threat. Before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Internet, outsiders simply had too little access to do much damage. Dial-in to time-share systems allowed people to steal computer time but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re was little data leakage and almost no fraud (except that used to get IDs and passwords). 2) Until Cardsystems, last year, we had not had a business brought down by outsiders. (Given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management failures at Cardsystems, even that one is questionable.)

A great portion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 problem rests with security pretenders who cannot distinguish between threat, attack, vulnerability, and risk, much less use cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in a consistent and mutually exclusive way. Last year everything was a "vulnerability" and this year everything is a "threat" but it is still risk that counts.

William Hugh Murray, CISSP

Richard Bejtlich said...

Mr Murray, maybe you'll care to cite some documentation for your claim? I just posted mine here.