當前位置：安全 → 行業動態 → 正文

關于《2016數據泄露報告》：你需要知道的

責任編輯：editor005 作者：nana |來源：企業網D1Net 2016-05-03 15:19:31 本文摘自：安全牛

備受期待的威瑞森《2016數據泄露報告》(DBIR)終于出臺。今年的報告在67家貢獻合作伙伴支持下編譯完成，包含了對82個國家，超過10萬起安全事件和2260起已證實數據泄露事件的分析。

640.webp (18)

雖然業內幾乎每天都會有只服務自身的報告和調查數據涌現，威瑞森的年度DBIR依然是一份必讀報告，還有火眼旗下曼迪安特的《M-Trends》和其他極少數安全公司的年度報告也頗值得一看。

不過，即使被認為是必讀物，對長期關注業內趨勢和整體威脅態勢的人而言，今年的DBIR并沒有包含太多驚艷之處。但報告本身及其結論還是很重要的。

毫無意外，威瑞森及其合作伙伴在2015年調查的大量數據泄露事件中表示，人的因素是其中最弱的一環。

網絡罪犯在依靠諸如網絡釣魚之類熟悉的攻擊模式的同時，一直持續利用著人類的本性弱點。今年的報告中，公司終端用戶的各種小失誤，占據了安全事件根源榜首位置。

這些多種多樣的用戶失誤包括不恰當的公司信息丟棄、IT系統的錯誤配置，以及遺失和被盜的筆記本、智能手機等公司資產。此類失誤中26%都涉及敏感信息誤發行為?？梢哉f，今年報告的所有發現，歸根結底都指向了一個共同的主題——人的因素。雖然在信息安全研究和網絡檢測解決方案及工具方面有了長足的進步，我們卻依然見證著十幾年前就熟到不能再熟的那些錯誤一犯再犯。簡直不能忍!

登錄憑證讓入侵變得如此輕松

在2260起已證實數據泄露事件的分析過程中，可以確定，63%都涉及到弱口令、默認口令或被盜口令。

弱口令、默認口令或被盜口令的利用問題不是什么新鮮事，一點都不前沿，也不令人著迷，但確實有用。靜態身份驗證機制從來都是攻擊目標。從信息安全角度出發的密碼猜解，至少從莫里斯蠕蟲開始就有了，并且進化到了像狄厄(Dyre)和宙斯這類能捕獲擊鍵動作的主流惡意軟件。

另外，93%的案例中，攻擊者只需要幾分鐘就能攻破系統。而公司企業卻需要數周乃至更長的時間才會發現自家防線早已破洞——而且通常是客戶和執法機構敲響的警鐘，而不是他們自己的安全措施發出警報。

報告囊括的領域很龐雜，鑒于每個安全從業人員都應該自己讀讀這份報告，此處就僅列出幾條必知亮點了。

零日漏洞使用不頻繁——盡管利用零日漏洞的高級攻擊很能抓人眼球，威瑞森卻發現大多數攻擊利用的還是補丁早已推出數年卻依然沒被打上的那些已知漏洞。成功漏洞利用案例中，僅前10位已知漏洞就占據了85%的份額。

Web應用攻擊是痛點——Web應用攻擊總計5334起(另外19389起伴隨有衍生動機)，其中908起造成了數據泄露。95%的已證實Web應用數據泄露都是出于經濟原因。更大的復雜性，包括Web應用代碼和其下的業務邏輯，以及作為通向存儲器或進程中敏感數據的跳板潛力，都讓Web應用服務器成為了攻擊者的明顯標靶。

網絡釣魚依然是主要攻擊手段——由于是特別有效的技術，還能為攻擊者提供諸如快速滲透和精準定位之類優勢，網絡釣魚長盛不衰，甚至有所增長。

移動設備和物聯網是未經證實的攻擊方法——就如去年的DBIR報道，移動設備和物聯網攻擊在今年的企業攻擊中依然幾乎蹤影全無。

那些期待今年曝出移動設備攻擊令人跪服，或物聯網攻擊殺人無數的人，大概會比較失望。使用此類技術作為企業攻擊手段的現實例子依然匱乏。不過，移動和物聯網威脅不應該被忽視，依然需要納入風險管理決策考慮過程中。概念驗證例子都是真的，影響移動和物聯網設備的大規模數據泄露發生只是時間問題。這意味著公司企業應繼續保持對智能手機和物聯網設備防護的警惕性。

三步攻擊法的興起——網絡罪犯頻繁重復使用一種“三步攻擊法”：

發送網絡釣魚電子郵件，內含指向惡意網站的鏈接，或惡意附件;

下載惡意軟件到目標PC，建立突破橋頭堡，為后續針對敏感信息的進一步惡意軟件鋪路;

利用竊取的憑證進行進一步攻擊，比如，登錄到網銀或網購第三方網站。

640.webp (19)