Verizon日前公布了其《数据泄露报告》。该报告基于全球67个机构,包括安全人员和执法部门发生的53000起安全事件,对去年的安全漏洞进行了深入而广泛的分析研究。
导致泄露的最常见的攻击类型为对被盗证书的恶意使用,其次是内存抓取,再次是钓鱼和权限滥用。尽管如此,为了给受害公司带来损失,攻击不一定非要制造数据泄露事件。
勒索软件概况
这份报告的重点为勒索软件。在去年的报告中,勒索软件为第五大与安全事件有关联的常见恶意软件类型,而在今年的报告中,勒索软件的排名已经上升到了首位。该报告的共同作者,Verizon信息安全数据科学家、研究员兼架构师 Gabriel Bassett 称:“在与恶意软件有关的安全事件中,39%的事件涉及这类软件。”
此外,勒索软件已经不再仅仅将目标锁定为用户桌面。为了勒索更高的赎金和攫取更多的犯罪利益,攻击者正逐步将目标转向关键的业务系统。
图1 勒索软件的攻击目标:用户设备(User device)、个人(Person)、服务器(Server)、网络(Network)和嵌入系统(Embedded)
这些并不代表勒索软件已经成为了组织机构在去年面对的最大类型的攻击。拒绝服务(DoS)攻击是常见攻击的27倍。意外损失和错误也是安全事件中的常见因素,如钓鱼攻击。
Bassett指出,勒索软件并不是造成数据泄露的一个因素,因为它们通常与任何数据外泄都没有联系。DoS攻击也与许多数据泄露无关。实际上,虽然我们常常听到攻击者使用DoS攻击来掩盖数据窃取行为的说法,但是在今年的数据中仅有一起数据泄露涉及DoS攻击。
在这起数据泄露事件中,DoS攻击也没有被用于掩护数据窃取行为,它们是以另外一种方式被加以利用,即数据泄露导致资产被盗用,进而这些被盗用的资产被用于发动分布式拒绝服务攻击(DDoS)。
在DDoS攻击方面,随着时间的推移,攻击规模正由中等程度向小型化转变,大部分攻击的时间正在缩短,仅持续数分钟。呈现上升趋势的是放大攻击的百分比,由2013年的25%稳步上升到了目前的80%。
在放大攻击中,黑客利用系统漏洞放大了发送给受害者的信息的数量或规模。Bassett 称:“这就引出了一个问题,而这对于IT行业以及希望看到这份报告的人而言尤为重要。那就是,不要成为这一问题当中的一部分。”
例如,在公司披露web应用带有已知漏洞后,攻击者就能够利用这些漏洞。另一些被DDoS攻击者使用的向量包括DNS和NTP服务。他称:“攻击者将你的基础设施变成了他们的基础设施,使用你的设备攻击别人。这是一个重要的考虑事项。你可能并不是系统被侵害的唯一受害者。”
外国网络间谍
虽然去年的许多新闻都充斥着俄罗斯黑客的消息,但是政府和与政府有联系的人仅占已识别黑客数量的14%。62%的攻击者与有组织犯罪有关联,20%的攻击者与任何组织都没有联系。
经济上的收益是这些攻击者的最大动机,约占数据泄露事件的76%。间谍活动是排名第二的动机,约占数据泄露事件的13%。这一数据与去年相比已经有了大幅下降,当时21%的数据泄露事件是由网络间谍造成的。
图2 泄露事件攻击者的行为动机:经济收益(Financial)、间谍活动(Espionage)、发泄不满(Grudge)、追求刺激(Fun)等
Bassett称,与网络间谍相关的数据泄露并不仅仅是在百分比上出现了下降,其绝对值也同时出现了下降。今年的报告时间涵盖范围为2016年11月至2017年10月。这段时间内与网络间谍相关的数据泄露事件为171起。而在上一年度的报告中,与网络间谍相关的数据泄露事件为292起。
他指出,由于许多数据泄露事件并不会立即被发现,因此在这些事件中,有一些在近期才被披露出来。例如,与网络间谍有关的数据泄露可能并不会像出现在网上黑市上的被盗信用卡号那样马上产生影响。
在今年的报告中,网络间谍攻击的主要行业——制造、公共部门、教育的数据泄露事件在数量上均出现了下降。而在去年的报告中,所有数量都比上一年度有所增加。
Bassett称,去年的网络间谍攻击未必都与DNC泄露和2016年其他备受瞩目的攻击有关联。他还表示,对单一机构的攻击无论会造成多大的影响都被仅按一次数据泄露事件统计。但是尽管如此,对一个POS技术厂商的攻击可能会导致大量的零售机构出现数据泄露事件。
与此同时,与单独的行业垂直领域故障率相比,所有行业受到网络间谍攻击的平均值并没有什么用处。“我认为,我们有时候会为了整个森林而错过了一些树。总的来说,网络间谍行为毫无疑问是第二大动机。虽然低于经济动机,但是高于其他的动机。零售业中与网络间谍行为有关的数据泄露已经下降了约12倍,而在制造业和政府机构中,因网络间谍行为导致的数据泄露仍占其数据泄露事件的一半左右。”
例如,在公共部门,与网络间谍有关的数据泄露事件在今年高于因其他网络攻击形式导致的数据泄露。此外,网络间谍行为也是制造业中最为常见的数据泄露因素。
通过观察产生重大影响的攻击,Bassett发现攻击者已经开始专攻一些行业领域。“不同的行业就如同不同的孤岛。”他以酒店服务业为例称,“在住宿方面,我们看到PoS数据泄露正成为一个重大趋势。攻击者在他们擅长的领域发动攻击可以花最少的精力获得最大的回报。”
侵害路径比人们预想的要短
Verizon在今年首次开始绘制从攻击者最初入侵到最终数据泄露的路径。这需要收集事件链条中的数据。Bassett称,迄今为止,数据集还不足以通过行业或攻击者类型进行细致的分析,也不足以进行历史比对。
目前最大的收获是多数攻击并不是按照以往人们认为的需要经过侦察、初次侵害、权限提升、横向扩展、数据收集、指挥控制、数据外泄这一多步骤的链条实现的。实际上,多数攻击路径都非常短。Bassett 称:“大多数的攻击只有一到两个步骤。”
图3 泄漏事件的原因:黑客攻击(Hacking)、恶意软件(Malware)、操作不当(Misuse)、人为错误(Error)、社交攻击(Social)、物理攻击(Physical)
这一研究结果与数据泄露是长期而复杂的事件的主流观点相左。Bassett将其比喻为高尔夫球,场地设计者希望选手经过一个较长且充满障碍的路径到达球洞,如积水区和沙坑等。但是如果选手能够保持一杆进洞,那么这些障碍没有一个能够发挥阻挡作用。
电子邮件是最薄弱的环节
钓鱼、冒充老板诈骗(CEO fraud)等社区攻击在过去几年一直呈上升势头,比重从2010年不足10%已经发展到在2017年的报告中占到了近40%。
今年这一趋势出现了下降。在最新的关于社交策略的报告中,这一部分导致的数据泄露仅占17%。实际上,报告显示,大多数人从未点击过钓鱼邮件。模拟钓鱼攻击得出的分析结果表明,78%的人全年都不会点击一封钓鱼邮件,但是只要一个人点击就会让攻击者得逞。
尽管如此,以财务为幌子的攻击正在上升,由去年的61起上升至今年的170起,其中很大一部分攻击将目标锁定为HR员工。电子邮件也是恶意软件传播的最常见形式。报告称,92%的被发现的恶意软件是通过电子邮件形式传播的,其次是通过web浏览器,约占6%。Bassett 称:“如果你正在运营一个机构并惹来恶意软件,那么你知道它们会在哪里。”
该报告的目的是给安全人员提供可行动的情报。作为其中的一部分,Verizon列出了最常见的带有恶意软件的文件类型。其中最常见的是JavaScript,占总数的37%;其次是Visual Basic,占21%;Windows可执行文件占15%,微软Office文件占14%。
与去年一样,Verizon建议让补丁程序保持最新,加密敏感数据,使用双因素认证。虽然去年与未修补漏洞有关的数据泄露仅占6%,但是其中有一起是当年最大的数据泄露事件,即Equifax数据泄露事件,事件导致近1.5亿条记录被泄露。
相比之下,与被盗证书有关的数据泄露事件占22%,这使得其成为了主要的行为类型。Verizon 在报告中指出“密码本身就存在不足,这与长度或复杂性无关。”报告还将默认密码和容易破解的密码等同于未设密码,并指出这种情况非常普遍。
来源:中国物联网,由 宋淑杰 整理编辑!