2016年Verizon數據泄露調查報告（DBIR）開始回歸基本面。此前（例如去年）Verizon調查報告試圖估算數據泄露事故的成本，這是非常困難的事情，而今年Verizon DBIR則意在強調IT安全需要關注常見的攻擊媒介，包括網絡釣魚攻擊、漏洞和被盜憑證等。

2016年Verizon DBIR是Verizon公司第9份年度基準報告，它提供了對上一年數據泄漏事故的全面分析，并為企業提供建議來避免今后的數據泄露事故。

在過去幾年，該報告中所有事件數據都使用VERIS事件共享框架，VERIS是Verizon使用常見類別（包括攻擊者、事件類型、發現、緩解和影響）分析安全事件數據的模式。

今年的報告包括67個企業組織貢獻的數據泄露事故數據，這比去年70個貢獻者略有減少，其中還包括17個新貢獻者。

盡管貢獻者減少，Verizon發現數據泄露事故比去年同期增長48%，達到3141起，安全事件漲幅超過25%，超過10萬次。Verizon對安全事件的定義是任何破壞信息資產保密性、完整性或可用性的事件。

Verizon公司全球調查經理Dave Ostertag坦陳這些數據“主要依靠貢獻數據的合作伙伴，并非自己進行的深入研究”，因此具有更嚴格規定的行業可能有準確的報告，而其他可能會出現少報事件的狀況。

多向量攻擊上升

Ostertag表示，今年的報告是關于持續發展趨勢，包括多向量攻擊的日益增加。

“今年并沒有什么突出或全新的內容，我們只是看到了同樣的趨勢，這讓我們開始談論攻擊者使用的方法來了解他們在做什么，并將此用于我們的檢測和預防中，”Ostertag稱，“在攻擊者使用的方法中，我們在大量數據泄露事故中看到，攻擊者會感染基礎設施，再利用它用于惡意目的--使用它作為命令控制點，作為數據聚合或數據滲出點。”

IDC公司全球安全服務項目主管Christina Richmond表示同意并指出這個報告有一個新的方面。

“我認為新方面在于他們開始整合數據，例如，在過去幾年中，我們看到多向量攻擊呈上升趨勢，”Richmond稱，“攻擊正變得越來越復雜，你開始在數據中看到，攻擊比例最大的數據出現按行業計算時，并開始看到攻擊類型的模式以及它們如何整合。”

Verizon DBIR事件模式（按行業）

Richmond指的是報告中按每個行業的攻擊向量細分事件百分比的圖表，以及已證實數據泄露事故百分比圖表。她指出整個行業看到大量拒絕服務（DoS）事件，但實際數據泄露事故來自其他類型的攻擊。

Verizon DBIR事件模式：只有證實的數據泄露事故

例如，娛樂行業有99%的事件是DoS攻擊，但該行業絕大多數數據泄露事故來自Web應用（50%）和PoS攻擊（47%）。同樣，制造業的主要事件來自DoS（33%）以及“其他”類別（33%），但數據泄露事故來自網絡間諜（47%）、特權濫用（24%）以及Web應用攻擊（21%）。

“這就像是聲東擊西，當你遭遇DDoS攻擊，你看到流量減少或者網站中斷，你會把所有注意力放在這里，而與此同時，攻擊者通過惡意軟件入侵你的系統，拿走你的知識產權或客戶數據，”Richmond稱，“這會讓安全人員很崩潰，因為很難判斷哪里真正出現問題。”

Verizon DBIR：按威脅活動類別的數據泄露事故數據

在Verizon DBIR過去10年按威脅活動類別的數據泄露事故數據圖表中也可發現這一趨勢，其中攻擊（包括竊取憑證、后門程序、暴力破解和DoS）惡意軟件以及社會工程學在過去五年飆升；現在這些是到目前為止最普遍的威脅活動。

“任何數據泄露事故或者在任何這些圖表中，指標可包括多個類別，”Ostertag稱，“攻擊者可能使用惡意軟件和攻擊及憑證作為攻擊事件的一部分。”

Richmond稱，這些調查結果說明攻擊者日趨復雜。

“無論是民族國家還是網絡罪犯，他們有網絡和市場可以共享工具，他們還有論壇互相學習，”Richmond表示，“大約在2010年或2011年，他們分享和互相學習的做法開始更多地轉移到互聯網，他們開始了解可使用多向量執行更有效而不易察覺的攻擊。這也是為什么我們看到這三種攻擊方法開始飆升。”

網絡釣魚仍然是一個問題

Richmond指出她很驚訝的是，社會攻擊（包括網絡釣魚）沒有更多的被報告。

“網絡釣魚是網絡攻擊者研究其目標的方法之一，這里涉及很多偵查和有針對性攻擊，”Richmond說道，“這個方法可幫助攻擊者收集憑證、姓名、出生日期或任何可用于獲取訪問權限的信息。”

Verizon DBIR：網絡釣魚郵件數據

根據今年的報告顯示，30%網絡釣魚信息被攻擊目標打開，這與去年的23%相比是顯著增加；12%攻擊目標點擊了惡意附件或鏈接，這與去年的11%基本保持持平。

然而，Ostertag證實需要考慮的更重要的統計數據是點擊惡意附件或鏈接的用戶數量，因為打開消息的行為可能只不過是選擇消息刪除它以及讓它在預覽窗格自動打開。

“我們發現，無論我們對員工進行多少培訓，打開網絡釣魚郵件、點擊鏈接、打開附件的用戶數量基本保持一致。所以，攻擊者越來越多地使用網絡釣魚攻擊，因為它很有效，”Ostertag稱，“他們不需要改變，網絡釣魚就已經非常有效。”

在Verizon DBIR中，為了減少網絡釣魚攻擊，Verizon建議更嚴格地進行郵件過濾、提供更多培訓，并在網絡釣魚得逞的情況下，通過隔離網絡以及部署強大的身份驗證來盡可能地阻止攻擊者。

憑證丟失、被盜以及易于猜測

該報告指出絕大多數網絡釣魚都旨在竊取登錄憑證，63%的數據泄露事故涉及使用低強度、默認的密碼或密碼被盜的情況。

Verizon指出，41%的數據泄露事故涉及登錄憑證被盜，13%利用默認或暴力破解的憑證；這些總量超過63%，因為單個數據泄露事故可能涉及多個攻擊方式。

很多企業知道最好使用多因素身份驗證以及更改默認密碼，但總是未能做到。

漏洞管理

與去年的報告一樣，2016年Verizon DBIR顯示，僅10個漏洞占所有成功漏洞利用流量的85%。更糟的是，這10個漏洞種有6個漏洞是在1999年和2003年之間被披露，包括影響著Windows 98、98SE、ME和XP的通用即插即用漏洞。在這些漏洞中較新的漏洞包括Windows Secure Channel和OpenSSL中的漏洞。

Qualys公司首席技術官Wolfgang Kandek認為，傳統的漏洞披露方法可能是罪魁禍首。

“對于漏洞管理，我們要使它更容易訪問，讓防御者準確知道漏洞情況，并確定最嚴重的漏洞，”Kandek稱，“傳統方法不夠嚴格，并產生大量漏洞，而且所有都被標記為嚴重。”

我們應該意識到，緩解和修復同樣重要，有時候，這是你唯一的選擇。

Richmond稱，今年Verizon數據泄露事故報告的重要信息是“你真的要做好基礎工作，但很多人還是沒有做到。”

“有人稱，現在仍然沒有足夠的理由讓某些行業的某種規模的企業重視安全性。你可能不想考慮安全性，因為你需要思考如何降低成本以及保持業務運作，直到你發現你正在遭遇數據泄露事故。”