De meeste beveiligingsincidenten waar bedrijven en organisaties in 2012 mee te maken kregen waren van ongekende eenvoud en tien procent was zelfs zo simpel dat ze door bijna iedereen waren uit te voeren. Van de 47.000 gerapporteerde beveiligingsincidenten en 621 bevestigde gevallen van gegevensdiefstal die Verizon voor het DBIR 2013 verzamelde, werd minder dan 1% als complex aangemerkt.

Het Data Breach Investigations Report (DBIR) 2013 verdeelt de aanvallen in vier niveaus: 'Very low', 'Low', 'Moderate' en 'High'. In het geval van 'Very low' zijn er geen speciale vaardigheden of middelen vereist. Verizon stelt dat deze aanvallen door doorsnee gebruikers zijn uit te voeren. Toch valt 10% van de aanvallen in deze categorie.

De meeste aanvallen werden in de Low-categorie geplaatst. Het gaat hier om aanvallen waarbij er basale aanvalsmethoden worden gebruikt en de aanvallers vooral met geautomatiseerde tools en scripts werken. Ook zijn er amper middelen voor het uitvoeren van deze aanvallen vereist. 68% van alle incidenten in het rapport valt in deze categorie.

Voordeur
22% werd als 'Moderate' bestempeld. Het gaat dan om aanvallen waarbij de aanvallers meer vaardigheden hebben, deels zelf geschreven tools, malware of scripts gebruiken en er de nodige middelen vereist zijn. Minder dan 1% valt in de categorie 'High', oftewel aanvallen van zeer geavanceerde hackers die over uitgebreide middelen beschikken en voornamelijk 'maatwerk' toepassen.

"Als je nagaat dat de methoden waarmee aanvallers toegang tot organisaties krijgen, zoals brute force, gestolen inloggegevens en phishing, is het niet echt verwonderlijk dat geen van de aanvallen als 'High' werd beoordeeld. Zou je een lasergestuurde raket op een open voordeur afschieten?", aldus de auteurs van het rapport.

Verder blijkt dat de veruit de meeste aanvallen (75%) opportunistisch van aard zijn. Het slachtoffer wordt niet bewust als doelwit gekozen, maar aangevallen vanwege een beveiligingslek waarvan de aanvallers wisten hoe ze het konden misbruiken.