A Bedfordshire Egyetem kutatói a napokban tették közzé a legutóbbi, informatikai biztonságot érintő felmérésük eredményeit. A vizsgálataik során elsősorban arra voltak kíváncsiak, hogy a biztonsági incidensekhez milyen tényezők járulnak hozzá, ezen belül pedig a külső, illetve a szervezeteken belüli támadások megoszlása miként alakul. A UK Security Breach Investigations Report címet viselő jelentés elkészítése során a szakemberek összesen 62 darab, az elmúl másfél év során tapasztalt biztonsági eseményt vizsgáltak meg.

A tanulmány érdekessége, hogy nem korlátozódott a biztonsági események technológiai szempontból történő elemzésére, hanem arra is választ keresett, hogy az üzleti folyamatok változása milyen hatással van a biztonsági eseményekre. Ahogy az egyre karcsúbb költségvetésből a hatékonyabb és pontosabban működő szolgáltatások fejlesztésére kerül a hangsúly, úgy kerülnek egyre jobban előtérbe az ügyfélszolgálati megoldások; az egyre nagyobb mennyiségű digitális információ természetesen az adatlopás, -vesztés vagy -szivárgás megelőzésének területén is kihívásokat támaszt.

Ellenállhatatlan webáruházak  |  A kutatás során kiderült, hogy az esetek 80 százaléka külső támadásokra volt visszavezethető, és 18 százalékában az incidenseket kiváltó fenyegetettségek gyökerei üzleti partnerekhez vezettek. A kutatók előzetes várakozásaira azonban rácáfolt, hogy a felmérésbe bevont biztonsági események mindössze 2 százalékának bekövetkezéséért voltak okolhatók a szervezeteken belüli támadások. Ugyanakkor az is okkal feltételezhető, hogy a belső támadások sokkal kisebb valószínűséggel kerülnek nyilvánosságra, mint a külső akciókra visszavezethető incidensek. Egy másik hivatkozott tanulmány szerint a vizsgált időszakban az összes vállalkozás 84 százaléka számolhatott be hasonló eseményről, 44 százalékuk több támadást is elszenvedett.

A felmérés alapjául szolgáló biztonsági események 69 százaléka kereskedelmi cégek (főleg webáruházak) ellen irányult, az áldozatok között azonban megtalálhatók voltak pénzügyi, informatikai és különféle szolgáltatásokat nyújtó vállalkozások is. A tanulmány rávilágít, hogy a támadások 66 százaléka irányult a 100 főnél kevesebb alkalmazottat foglalkoztató vállalkozások ellen, és a hekkerek 85 százalékban a felhasználók bankkártya-adataira utaztak; vállalati információk vagy szellemi tulajdon megszerzése mindössze az esetek 10 százalékában motiválta őket.

Megkönnyítik a támadók dolgát  |  A webáruházak és az elektronikus kereskedelmi szolgáltatások elleni akciók magas száma többek között a támadási módszerekkel magyarázható. A vizsgálatok során ugyanis a szakértők rendszerint olyan esetekkel találkoztak, amelyek nem tartoztak a kifinomult támadási technikák közé; utóbbi kategóriába mindössze a támadások negyedét sorolták. A leggyakoribb módszer programozási hiányosságokra vezethető vissza - az úgynevezett SQL injection lényege, hogy a megfelelő adatbázist használó alkalmazásnak valamilyen módon olyan adatokat juttatnak be, hogy az a tervezett SQL parancsok helyett vagy mellett a támadó által megadottakat végezze el. A vizsgálat szerint a támadások 86 százaléka valamilyen webes alkalmazás hiányosságait használta ki

A kutatók arra is felhívták a figyelmet, hogy tapasztalataik szerint sokan jobban megbíznak az automatikus sebezhetőség-felderítő eszközökben, mint kellene. Ezek az alkalmazások ugyanis korántsem tudnak minden olyan biztonsági résre fényt deríteni, mint amire egy leleményes hekker képes. A vizsgált biztonsági eseményeknek egyébként mindössze a 13 százaléka volt visszavezethető a helyből, Nagy-Britanniából kezdeményezett támadásokra - a legtöbb incidens Vietnámból és az Egyesült Államokból indult.
 

Nem elszigetelt feladat  |  A tanulmány egyik legfontosabb következtetése, hogy sok olyan szervezet és vállalkozás, amely saját bevallása szerint megfelel a bankkártya-adatok feldolgozására vonatkozó Payment Card Industry (PCI) Data Security Standard (DSS) szabványnak, valójában meg sem közelíti az elégséges szintet. Ennek okát a kutatók abban látják, hogy a vezetők a sok esetben bonyolult és speciális szakértelmet igénylő feladatokat teljes egészében a rendelkezésre álló, "mezei" informatikai stábra bízzák. A felmérésben segédkező 7Safe IT-biztonsági cég tapasztalatai szerint azok a szervezetek igazán sikeresek a hatékony ellenőrzés implementációjában, amelyek vállalati szinten menedzselt projektként kezelik a kérdést.