Verizon Databreach rapport 2015 – trends die koppig zijn of niet lijken te bestaan

vdbr2106Elk jaar stelt Verizon een omvangrijk rapport op over databreaches. Met deze term wordt zowel verlies als diefstal afgedekt. Het rapport beschrijft wat de trends zijn en doet dat op basis van de input van veel overheids-instellingen zoals het NCSC, maar ook van commerciële partijen als Juniper.

Elk jaar weer wordt rapport met een klein mediaoffensief in de markt gezet. Voor Nederland betekent dat de mogelijkheid onder embargo vooraf de concept versie in te zien en daar met een van de auteurs over te praten. Het team kent het nodig verloop, dus eigenlijk is er elk jaar iemand anders die daarover uitleg geeft. Dit jaar was het Robinson Delaugerre (Lead Forensic Investigator), die vanuit Parijs antwoord gaf op alle vragen die we hadden na het 85 pagina’s tellende document te hebben doorgenomen. Het is rapport is dit jaar toch weer anders van opzet. Het leest wat minder snel dan vorige edities. Er is wat de opzet betreft wel een pluspunt, het is makkelijker onderwerpen over te slaan die niet relevant zijn. Voor ISP Today zijn de ontwikkelingen rond betaalterminals weinig interessant, dat hoofdstuk kun je overslaan zonder dat er verderop nog naar verwezen wordt.

De schrijvers slaan zelf ook bepaalde onderwerpen over. In de inleiding staat dat het IoT, in weerwil van alle horrorscenario’s, nog nergens op betrapt is. Dat was voor ISP Today de eerste vraag: kijken jullie wel naar alle mogelijke scenario’s die aan IoT te linken zijn?

Robinson: “Die vraag stellen we ons zelf ook, maar vooralsnog wijst alles er op dat IoT gewoon nog oninteressant is. Een C&C server breng je veel makkelijker elders onder en er zijn doelwitten die bewezen makkelijker zijn”. Via een korte verhandeling over het zwaar onderschatte risico dat printers en copiers vormen, met deze actuele case van gehackte printers in Duitsland als voorbeeld, kwam het gesprek weer terug bij de onderzoeksbevindingen en de volgende vraag: waarom zien we evenveel databreach incidenten bij grote en kleine bedrijven in healthcare en information? Bij financials zie je juist dat de grote bedrijven eerder slachtoffer worden en bij retail zijn het juist de kleinere. Een verklaring daarvoor, anders dan dat voor deze twee sectoren duidelijk opgaat dat “size doesn’t matter”, is er niet. Nuttig is de bevinding wel: als je in deze sectoren werkzaam bent (of leverancier ervan bent) weet je dat je je als kleinere speler absoluut niet veiliger mag voelen, de cybercriminelen kijken niet alleen naar de grote spelers.

Wat voor de hostingsector goed te weten is: de onderzoekers hebben vastgesteld dat in 2015 de neergaande lijn doorzet dat servers de directe oorzaak van een databreach zijn. Servers an sich worden steeds veiliger en dat is goed nieuws. Nu het slechte nieuws. Het aantal databreaches waarbij personal devices (riep daar iemand BYOD?) als einddoel of als steppingstone voorkomt neemt explosief toe. Dat je via een lekke tablet uiteindelijk ook weer toegang tot een dichtgetimmerde server kunt krijgen spreekt voor zich. De onderzoekers zien dat ook voorkomen, maar wat er op de tablet zelf staat is in de regel al genoeg om een fors datalek te veroorzaken.

Een andere trend die de sector raakt: steeds vaker zijn het externe partijen die het datalek als eerste signaleren. Het lijkt er dus op dat externe monitoring echt werkt en de “onkunde” van partijen die de data lekken deel compenseren. Wat niet duidelijk werd is hoeveel lekken dit soort externen voorkomen.

Laatste punt waar we uitgebreid bij stil stonden: inside jobs. Dat is, als het gaat om databreaches (vooral in de betekenis van opzettelijk lekken en ontvreemden), een verschijnsel waar weinig verbetering zichtbaar is. Het ontdekken ervan duurt lang en de makkelijkste manier om dat tegen te gaan wordt vaak over het hoofd gezien: continue controleren op onterechte privileges.

Voor inzichtelijke grafieken is het doorbladeren van het rapport voldoende. Voor meer details, ook over de boven genoemde trends, is het doorlezen van de betreffende hoofdstukken noodzakelijk. De eindversie van rapport is later deze week via deze link te downloaden.