Verizon: una de cada cinco infracciones de datos es el resultado de ciberespionaje

A pesar de que la mayoría de las violaciones de datos continúan siendo el resultado de ataques cibernéticos motivados financieramente, ciberespionaje Las actividades también son responsables de una cantidad importante de incidentes de robo de datos, según un informe que será publicado el martes por Verizon.

El Informe de Verizon 2013 de Incumplimiento de Datos (DBIR) cubre las infracciones de datos investigadas durante 2012 por el equipo RISK de la compañía. otras organizaciones de todo el mundo, incluidos los equipos nacionales de respuesta a emergencias informáticas (CERT) y las agencias encargadas de hacer cumplir la ley. El informe compila información de más de 47,000 incidentes de seguridad y 621 infracciones de datos confirmadas que resultaron en al menos 44 millones de registros comprometidos.

Además de incluir la mayor cantidad de fuentes hasta la fecha, el informe también es el primero en contener información sobre infracciones resultado de ataques de ciberespionaje afiliados al estado. Este tipo de ataque se dirige a la propiedad intelectual y representó el 20 por ciento de las violaciones de datos cubiertas por el informe.

[Lectura adicional: cómo eliminar el malware de su PC con Windows]

Más allá de China

En más del 95 por ciento Los casos de ataques de ciberespionaje se originaron en China, dijo Jay Jacobs, un analista senior del equipo Verizon RISK. El equipo intentó ser muy cuidadoso con respecto a la atribución y utilizó diferentes indicadores conocidos que relacionaban las técnicas y el malware utilizados en esas infracciones con conocidos grupos de piratas informáticos chinos, dijo.

Sin embargo, sería ingenuo suponer que los ataques de ciberespionaje solo vienen de China, dijo Jacobs. "Ocurre que los datos que pudimos recopilar para 2012 reflejaban más actores chinos que de cualquier otro lado".

Los aspectos más interesantes de estos ataques fueron los tipos de tácticas utilizadas, así como el tamaño y la industria de las organizaciones objetivo, dijo el analista.

El Informe de Verizon Verizon Verizon Verizon Verizon muestra industrias dirigidas por hackers. (Haga clic para agrandar)

"Típicamente, lo que vemos en nuestro conjunto de datos son infracciones motivadas financieramente, por lo que los objetivos generalmente incluyen organizaciones minoristas, restaurantes, firmas de servicios de alimentos, bancos e instituciones financieras", dijo Jacobs. "Cuando miramos los casos de espionaje, esas industrias cayeron repentinamente al final de la lista y vimos principalmente objetivos con una gran cantidad de propiedad intelectual, como organizaciones de la industria manufacturera y de servicios profesionales, consultorías de informática y de ingeniería, etc.. "

Un hallazgo sorprendente fue la división de casi cincuenta y cincuenta entre el número de grandes organizaciones y pequeñas organizaciones que experimentaron infracciones relacionadas con ciberespionaje, dijo el analista.

" Cuando pensamos en espionaje, pensamos en grandes compañías y la gran cantidad de propiedad intelectual que tienen, pero había muchas pequeñas organizaciones con las mismas tácticas ", dijo Jacobs.

Hay una gran cantidad de inteligencia involucrada en la selección de objetivos por parte de estos grupos de espionaje, Jacobs dijo. "Creemos que eligen las pequeñas organizaciones debido a su afiliación o trabajan con organizaciones más grandes".

En comparación con el ciberespionaje, el cibercrimen con motivación financiera fue responsable del 75 por ciento de los incidentes de violación de datos cubiertos en el informe y los hacktivistas estaban detrás del resto 5%.

Preguntas sobre contraseñas

Un hallazgo digno de mención de este informe es que todos los actores amenazan con credenciales válidas, dijo Jacobs. En cuatro de cada cinco infracciones, los atacantes robaron credenciales válidas para mantener una presencia en la red de la víctima, dijo.

Se espera que esto comience a plantear algunas preguntas sobre la dependencia generalizada de la autenticación basada en contraseñas de un solo factor, dijo Jacobs. "Creo que si cambiamos a autenticación de dos factores y dejamos de depender de las contraseñas, podríamos ver una disminución en el número de estos ataques o al menos forzar a los atacantes a cambiar" algunas de sus técnicas.

Cincuenta y dos el porcentaje de incidentes de violación de datos involucró técnicas de piratería, 40% involucró el uso de malware, 35% el uso de ataques físicos -por ejemplo robo de cajeros automáticos- y 29% el uso de tácticas sociales como phishing.

Verizon Esta tabla de Verizon Data Breach El Informe de Investigaciones mapea a los actores amenazantes con sus objetivos. (Haga clic para agrandar)

El número de infracciones que involucraron phishing fue cuatro veces más alto en 2012 en comparación con el año anterior, que es probablemente el resultado de que esta técnica se usa comúnmente en campañas de espionaje dirigidas.

A pesar de todo atención prestada a las amenazas móviles durante el año pasado, solo un número muy pequeño de infracciones cubiertas por el informe de Verizon involucró el uso de dispositivos móviles.

"En general, no vemos que las infracciones aprovechen los dispositivos móviles hasta el momento, "Dijo Jacobs. "Es un hallazgo bastante interesante que es contraintuitivo a la luz de todos los titulares que dicen lo inseguros que son los dispositivos móviles. Eso no quiere decir que no sean vulnerables, pero los atacantes actualmente tienen otros métodos más fáciles para obtener la información ".

Lo mismo ocurre con las tecnologías de la nube, dijo Jacobs. Si bien ha habido algunas brechas que involucran sistemas alojados en la nube, no fueron el resultado de ataques que explotan las tecnologías de la nube, dijo. "Si su sitio es vulnerable a la inyección de SQL, no importa dónde está alojado, en la nube o localmente. El tipo de infracciones que estamos viendo ocurriría independientemente de si el sistema estaría en la nube o no ".

El informe de Verizon incluye una lista de 20 controles de seguridad críticos que deberían implementar las empresas y que están mapeados al acciones de amenaza más frecuentes identificadas en el conjunto de datos analizado. Sin embargo, el nivel al que cada empresa debe implementar cada control depende de la industria de la que forman parte y del tipo de ataques al que puedan estar más expuestos.