Twee punten uit Verizon DBIR die iedere dienstverlener moet onthouden

Verizon publiceert een keer per jaar het DBIR. Het Data Breach Investigations Report. Over de jaren is inhoud veranderd. De online bedreigingen en risico’s waar overheden en bedrijven mee te maken hebben zijn dat immers ook. In de 2021 editie staan naast bedreigingen ook kort twee punten aangestipt die elke IT dienstverlener moet onthouden.

Verplicht leesvoer

De DBIR cijfers en tabellen zijn verplicht leesvoer voor iedereen die op professionele wijze met IT security te maken heeft. Het rapport dat dit jaar 119 pagina’s dik is baseert zich op data van ruim 80 bedrijven en instellingen. Data van onder andere Kaspersky en F-Secure, maar ook Atos en Shodan is geanalyseerd. Op basis daarvan kan het team bij Verizon een goed beeld schetsen van regionale trends, sectoren en het soort aanvallen en risico’s.

Hoeveelheid data uniek

Het is de hoeveelheid data (uiteraard nergens tot een bedrijf of persoon herleidbaar) waarmee men aan de slag gaat die DBIR redelijk uniek maakt. Daarbij moet wel worden opgemerkt dat de input niet stabiel is. Enkele jaren terug waren er ook (inter-) nationale politiediensten die de data verstrekten. Die logo’s zijn niet meer terug te vinden. De consolidatie van het aantal AV vendoren heeft eveneens geleid tot minder input uit doe hoek. Maar dat doet verder weinig af aan de kwaliteit van het rapport.

Menig CISO en security vendor zal het afgelopen lange weekend dan ook de 2021 Verizon DBIR hebben doorgelezen, zoekend naar nieuwe inzichten of citaten die gebruikt kunnen worden. Dat is namelijk ook een van de pluspunten van het rapport: delen van de info, mits met bronvermelding, is zeer welkom.

De 119 pagina’s bevatten meer tabellen en grafieken dan tekst. Dat is prettig, ook voor wie nog geen ervaring met DBIR heeft. In de 2021 editie staan twee punten kort genoemd die echter makkelijk over het hoofd worden gezien. Dat komt omdat ze eigenlijk eerder voor een andere doelgroep aanspreken.

Oude kwetsbaarheden

Zo staat op pagina 20 een overzicht van kwetsbaarheden. De meeste kwetsbaarheden zijn niet van recente datum. Het zijn juist oudere, en dus bekende, zwaktes die het meest worden aangetroffen op omgevingen die in contact staan met het internet. Dat kunnen dus webservers zijn met een WordPress website of ook een complexere e-commerce omgeving.

Wat dit precies zegt over het uitrollen van patches en vooral de controle daarop vertelt het rapport niet. Maar het maakt (wederom) korte metten met het idee dat websites en dergelijke vooral gehackt worden omdat er nieuwe zwaktes bekend worden. Achterstallig onderhoud speelt echt een grotere rol.

Bedrijven met website zijn uitzondering

Op die zelfde pagina staat ook nog een goede reminder over online. Het DBIR team heeft zich niet laten verleiden door de rankings van Alexa. Daar worden alleen domeinnamen met inhoud (“websites”) bijgehouden. Het team is aan de slag gegaan met 1 miljoen willekeurig gekozen bedrijfsnamen. Daarvan is men gaan onderzoeken hoeveel er een domeinnaam en website hadden.

“Out of a million companies, only 1.4% had a web presence (a domain connected to the organization).”

De boodschap die daarbij hoort is deze. We zijn zelf online en hebben elke dag contact met klanten die dat ook zijn. We vergeten daardoor makkelijk dat voor de meeste ondernemers online zijn met een eigen website nog steeds geen need to have is. Dit is gewoon een goede reminder van Verizon die bijna letterlijk in de DBIR staat te lezen.

Die constatering heeft ook consequenties voor het “online risico profiel’ van de meeste ondernemers. Die zullen meer baat hebben bij goed advies over een regelmatige back-up  van office 365 en dan iets anders.