The Black Reportが主に重点を置いたのは「データ侵害の各ステージを実行するのに、どの程度の時間がかかるか」だった。71%の回答者が、10時間以内で標的のシステムに侵入できると答えた。ただしシステムへの侵入は、データ侵害の最初のステップでしかない。
回答者の79%は、システム侵入後10時間未満で重要データを発見できると答え、73%が5時間以内にデータを抽出できると答えた。全業界平均では、回答者の54%がデータ侵害全体のプロセスに、少なくとも15時間をかけている。ただしクラッキングのしやすさは業種によって差があり、データ侵害プロセス全体が5時間以内に完了するとの回答が多かったのは「病院/医療関係業」「小売業」「飲食業」などの業種だった。
前述の「15時間」は、回答者の大半が標的について調査し、侵入し、目的の情報を見つけて持ち出すのにかかる時間だ。「侵害を発見するのに『平均で7〜8カ月』という、多くの業界が受け入れている数字を考えると、事態はより一層深刻になる」とポーグ氏は語る。「データが漏えいしてから、その事実に気付くまでがあまりにも遅過ぎる」
Verizonのセキュリティ報告書「2018 Data Breach Investigations Report」(DBIR)は、イベントチェーンにおける最初の行為から、初回の資産侵害に至るまでの時間は「大体が数秒か数分だ」という見解を示す。これは「ファクトベースのフォレンジックデータを得た上で侵害を調べるインシデントレスポンスチームと、ハッカーの見方の違いを表している」とポーグ氏は語る。前者がDBIR、後者がThe Black Reportの視点だ。
ハッカーが標的の有効なユーザー名とパスワードを既に取得している場合、ログインには「ほんの少しの時間しかかからない」とポーグ氏は語る。またWebサーバにSQLインジェクションの脆弱(ぜいじゃく)性があると分かっていれば、この攻撃を実行する時間はわずかで済む。
Verizonの報告書では「情報収集や、敵に対するその他の備えにかかる時間が除外されている」とポーグ氏は主張する。ハッカーがパスワードを取得したり、WebサーバにSQLインジェクションの脆弱性があることを知ったりするために必要な、偵察にかける時間がデータサンプルから抜けているという。
ポーグ氏は、Verizonの報告書では「攻撃の失敗やアクセス試行なども考慮に入れていない」と指摘する。その他、以下の作業にかかる時間も含まれていないという。
- 初回の侵害後に実行する権限の昇格
- ネットワークのスキャン
- 有益なデータが保存されている場所の特定
- データの収集
- ハッカーが制御するシステムへのデータ持ち出し
0 件のコメント:
コメントを投稿