威瑞森《數據泄露調查報告》(DBIR),是業界年安全事件和成功數據泄露的專業分析。最新一期的報告于4月27日剛剛發布。
威瑞森DBIR 報告算上今年已走過了10個年頭。在過去10年里,DBIR從威瑞森自己的泄露數據分析知識庫,成長到如今包括65家不同公司泄露數據分析的大型知識庫。
最新一期報告中,通過綜合威瑞森收到的關于已發現安全事件和數據泄露的報告,并對來自84個國家的42,068起安全事件和1,935其數據泄露進行了分析,揭示了信息安全領域的新模式、發展趨勢和有趣的發現。
所有被分析的事件都發生在2016年,且符合《事件記錄與共享詞匯表》框架中至少一類威脅行為分類。威瑞森希望這些統計數據能夠幫助安全實踐者更好地保護他們的公司企業。
喬治·費舍爾,威瑞森企業解決方案總裁,稱:“DBIR提供的洞見改變了網絡安全攻防局面。我們的數據,給了政府和企業預測網絡攻擊、有效緩解網絡風險所需的信息;通過分析來自我們安全團隊和全球其他頂尖安全從業者的數據,我們得以提供有價值情報,并幫助企業扭轉風險態勢。”
而對多個不同垂直行業攻擊方法的解析,則進一步增強了威瑞森保護企業網絡安全的意圖。例如,該報告指出,住宿餐飲業POS數據泄露肆虐。這些數據泄露大多是機會性的,受經濟利益驅動,通常涉及惡意軟件和黑客威脅團伙的活動。侵入耗時很短,而發現耗時和控制耗時往往長達數月之久。
最突出的攻擊方法之一,是Web應用攻擊,這也是金融保險業、信息行業和零售業里最常見。“在利用昂貴的零日漏洞和復雜的APT進行攻擊之前,攻擊者總是會優先找尋企業IT基礎設施中的薄弱環節。” High-Tech Bridge 首席執行官伊利亞·克羅琴科解釋道,“今天,大部分大型企業和政府,都可以通過攻擊他們的Web和移動(后端)應用,輕易入侵。”
這種攻擊方法隨著第三方云服務及云應用的普及而不斷增長,黑客利用這些云服務和應用侵入可信第三方,然后獲得公司企業數據的訪問權。DBIR與谷歌的研究結果相同,均認為2016年網站黑客活動增加了32%,而應用安全成為了企業首要問題,應被當做高優先級事務加以解決。
若說DBIR作為當下行動指南有什么弱點的話,那就是“DBIR只是對過去一年已發生事件的歷史性分析”。一個例子是,該報告稱51%的數據泄露涉及惡意軟件,但這個數字本身只能說服企業加強自身反惡意軟件防御,卻因為并未對當下威脅進行分析,而無法提供非惡意軟件攻擊當前發展形勢的明確指示。反惡意軟件防御是無法檢測此類攻擊的,因為這里面根本就沒涉及任何惡意軟件(這些攻擊通常使用操作系統本身自帶的應用,比如PowerShell)。
勒索軟件是另一個例子。分析中很難對勒索軟件給出一個準確定位,因為它不在威瑞森對數據泄露(其實是數據滲漏)的定義之中,但又明顯不僅僅是個別事件。另外,感染惡意軟件的企業往往不愿曝光此類事件。這兩個因素都會影響到威瑞森的統計數據。為解決這個問題,威瑞森采用了來自邁克菲的遙測數據作為信息源。
邁克菲的數字與威瑞森自己的統計相印證,即勒索軟件發生率持續上升。但邁克菲的數據則要更為詳細。區別在于,邁克菲遙測提供威脅統計數據,而DBIR提供數據泄露統計。想要獲得當前情勢的完整視圖,公司企業需考慮近期數據泄露和持續進化的各類威脅。
盡管如此,DBIR仍然是安全從業者的寶貴資源。從頭到尾,威瑞森的主要目標,都是幫助企業理解面臨的威脅,讓他們可以做出基于證據的明智風險管理決策。
具體數據詳解如下:
一、數據全景圖
內部人威脅依然頻發,占數據泄露原因的25%,但有75%的數據泄露都是外部人所為。外因數據泄露中,涉及有組織犯罪團伙的51%,國家支持的黑客組織18%,3%涉及多方勢力,2%涉及公司的合作伙伴。
62%的數據泄露都有黑客活動身影,81%利用了被盜口令或弱口令。很明顯,至少在2016年,公司企業和個人依然沒有保持足夠的口令健康度,沒有使用強口令,也沒有定期更換口令。
總體上,涉及外部黑客的數據泄露有所下降,而內部人導致的數據泄露有上升。該情況的一個解釋是,2016年有兩種外部攻擊類型在消退:口令盜取僵尸網絡和銷售終端(POS)入侵。即便如此,受內部合作伙伴驅動的數據泄露,依然相對恒常發生。
威瑞森數據顯示,金融行業是最經常被入侵的垂直行業,24%的數據泄露影響金融公司;醫療健康行業緊隨其后,占15%;零售和酒店業加起來占15%;公共實體占12%。另外,絕大多數惡意軟件都是通過惡意電子郵件投放的(66%);73%的數據泄露出于經濟原因;21%與網絡間諜相關。
攻擊者的動機,決定其所用技術和所針對的目標。例如,大多數受經濟利益驅動的有組織犯罪團伙,都會使用被盜憑證、命令與控制服務器(C2)或鍵盤記錄器,去黑Web應用、獲取后門網絡訪問,或利用電子郵件附件在受害者計算機中植入惡意軟件。這同樣的攻擊方法,國家支持的黑客間諜組織也會用——雖然網絡釣魚之類社會工程攻擊才是他們這種黑客組織的慣用手法。
口令盜取僵尸網絡和POS入侵的減少,不僅僅降低了外部數據泄露的比例,還減少了秒級或分鐘級入侵時間數據泄露的數量。盡管有所減少,這些事件卻依然占據了所有入侵事件的98%。
在數據泄露曝光方面,威瑞森觀測到司法部門2016報告中某激增數值的修正。去年暴漲的數值,是由Dridex僵尸網絡驅動的,如今已因銀行卡盜刷和POS犯罪的減少而平穩下來了。同時,員工報告,依然是最常見的內部發現方式。外部審計和第三方檢測與揭示的比例也有所上升。
二、社會工程攻擊
2016年社會工程攻擊數量為,616起,其中半數(828)起證實有數據泄露。這些事件占據了 2017 DBIR 數據集里所有數據泄露的43%。幾乎全部社會工程事件(99%)都涉及外部攻擊者。
95%的案例中,攻擊者在成功的網絡釣魚之后緊跟惡意軟件植入。2/3的社會工程攻擊者追逐的是經濟利益,另外1/3從事網絡間諜活動。兩種動機的社會工程攻擊都涉及憑證盜取、個人信息和商業秘密獲取。
為威瑞森報告貢獻了數據的公司企業中,其用戶群的7.3%曾中過網絡釣魚。其中15%兩次中招,1%點擊可疑鏈接或郵件附件的次數超過3次。認識到此類個人行為的持續性,公司企業不能僅僅關注網絡釣魚預防,還要重視檢測,鼓勵員工在誤點時及時報告。
三、勒索軟件
網絡釣魚攻擊的一個常見載荷就是勒索軟件。威瑞森報告中將勒索軟件歸在了第5類最常見惡意軟件中。勒索軟件的興起,有部分原因是新勒索軟件技術和敲詐方法的出現。
比如說,有些勒索軟件,會鎖定主引導扇區而不是加密一個個文件。另外一些勒索軟件則采用非預期命令行參數之類的技術來逃避檢測,或者依賴RIG之類漏洞利用工具包進行網上傳播。還有一些會利用勒索軟件即服務(RaaS)平臺,增加它們在技術盲罪犯中的曝光率,供他們定制勒索軟件以感染個人電腦和目標公司。
2016年,勒索軟件在前2個季度有所上升,第3季度稍有下降,第4季度大幅下滑了70%。下滑原因是通用勒索軟件檢測,以及2016兩大勒索軟件家族Locky和CryptoWall變種的減少。
公司企業也不會放任勒索軟件肆無忌憚地生長。安全行業在工具中增加早期檢測功能,并推進與司法部門的協作和威脅情報共享。有些安全公司還發起了“拒絕勒索( No More Ransom )”之類倡議,旨在幫助勒索軟件受害者在不支付贖金的情況下拿回自己文件的訪問權。
四、行業細分數據的引入
10周年報告中,威瑞森首次引入了“行業”章節,分行業給出統計數據。報告中表1展現了他們的新嘗試。
威瑞森的研究人員特別強調了要把數據放進上下文中考慮:
“表1中的總計欄數據,給出的是本年度研究的樣本規模信息,并不代表某個行業就比其他行業更安全或更不安全。它展現出的,我們的數據貢獻者對該行業的代表程度。可以將表1看做打開冰箱看看有什么原材料可以做菜,看看你是否掌握了足夠的行業樣本得出正確的結論。”
綜合來看,信息、零售、金融和教育行業,均遭到大量DDoS攻擊。這些依賴網絡來做業務和跟客戶溝通的行業,同樣見證了最大的DDoS攻擊規模。但僅因為其他行業沒經歷如此之多或如此之大的攻擊,并不意味著它們就對DDoS攻擊免疫。
僅有6家貢獻者向威瑞森發來了漏洞掃描數據。但該信息確實揭露了某些重要的行業修復周期情況。比如說,信息、制造、醫療健康、餐飲食宿和零售業,均在第一周就修復了25%到50%的漏洞;而公共事業、金融和教育行業,則稍慢那么一些,修復漏洞的比例也小些。
對此,威瑞森的見解是:
在具體公司環境里,修復周期長短取決于被發現的具體漏洞,以及該漏洞影響的資產。公司企業需要將威脅評級和潛在影響,納入確立自身修復耗時的考慮因素,以便及時完成。
報告接著描繪了行業細分的發現。比如,酒店和餐飲服務業主要遭遇了經濟利益驅動的攻擊者,其POS終端成為了攻擊目標。同時,金融和保險業經歷了很多拒絕服務攻擊。
五、事件分類模式
報告末尾回歸了威瑞森9大事件分類模式。整整一章專門用來講這些攻擊類型,因為88%的數據泄露落入這9類之一。其中3種值得詳細解讀。
1. Web應用攻擊
2017 DBIR 里最普遍的攻擊類型。該類型包含6,502起經證實的事件,3,583起附帶衍生動機,571起有經證實的數據泄露。從Dridex僵尸網絡涉及的數據貢獻者提供的信息來看,這些攻擊針對金融、公共事業和信息公司,采用社會工程方法探路,然后利用Dridex惡意軟件盜取客戶憑證操控他們的行動。
與2015年相比,Web應用事件的數量有所上升,但數據泄露事件有所下降。事實上,大多只是網頁遭篡改和使用偷來的憑證、網絡釣魚和C2/后門。
2. 拒絕服務
威瑞森發現,拒絕服務攻擊超過了 2016 DBIR 中排名第一的事件分類——混雜錯誤。拒絕服務分類中有11,246起事件,其中5起涉及數據泄露。娛樂、專業服務、公共事業、信息和金融業,包攬了該分類中最多的事件實例,大公司承包了該分類里98%的攻擊。
總的來說,DoS攻擊的平均規模在減小。大多數攻擊的持續時間不超過幾天。但安全行業依然見證了幾起IoT僵尸網絡驅動的大型攻擊,包括2016年10月21日Dyn公司遭受的 Mirai DDoS 攻擊。
3. POS機入侵
酒店餐飲業和零售業是POS入侵重災區。事件數不多,總共212起,其中207起牽涉數據泄露。很多此類攻擊都用到了內存刮取。然而,鍵盤記錄/間諜軟件依然在其中有著重要作用。
六、結論
縱觀全篇,讀者可能會陷入絕望,哀嘆這總是不安全的世界。但威瑞森希望讀者對未來抱有期待:
“我們注意到還有很多成功案例,也并不全是壞消息。我們的希望來自于我們竟然連續10年公開這些安全事件,我們的希望來自于DBIR從單個公司發展到了包含65個貢獻源,提供了詳實的安全事件和數據泄露語料庫。”
所有讀者都可以利用該報告來更好地保護自家公司的安全。同時,更多公司應考慮在來年貢獻數據,幫助威瑞森展現更全面的數字威脅全景圖。
京公網安備 11010502049343號