您所在的位置: 首頁(yè) >
安全研究 >
安全通告 >
讀懂 Verizon 2020年數(shù)據(jù)泄露調(diào)查報(bào)告
“2008年以來(lái),Verizon(中文“威瑞森”)作為美國(guó)最大的無(wú)線通信服務(wù)供應(yīng)商,每年都會(huì)如期推出數(shù)據(jù)泄露調(diào)查報(bào)告,由于其業(yè)務(wù)廣泛(在全球45個(gè)國(guó)家經(jīng)營(yíng)電信及無(wú)線業(yè)務(wù)),對(duì)數(shù)據(jù)泄露事件的分析較為深入,可以說(shuō)每年的《數(shù)據(jù)泄露調(diào)查報(bào)告》都頗具參考意義,當(dāng)之無(wú)愧成為數(shù)據(jù)安全從業(yè)者必讀的報(bào)告之一。由于報(bào)告本身描述眾多,本文選取了其中重要的部分進(jìn)行解讀、匯總,以供各位讀者參考?!?/span>
Verizon報(bào)告的事件來(lái)源:Verizon研究咨詢中心(VTRAC)、合作伙伴、其它組織、互聯(lián)網(wǎng)公開披露的事件等。
今年數(shù)據(jù)泄露調(diào)查報(bào)告的研究對(duì)象增大
本次的Verizon報(bào)告相較于過(guò)去兩年,采用更多的事件做研究分析支撐,趨勢(shì)分析會(huì)更加接近準(zhǔn)確:
2018年數(shù)據(jù)泄露調(diào)查報(bào)告:53,000起事件(其中2,216起數(shù)據(jù)泄露事件)
2019年數(shù)據(jù)泄露調(diào)查報(bào)告:41,686起事件(其中2,013起數(shù)據(jù)泄露事件)
2020年數(shù)據(jù)泄露調(diào)查報(bào)告:157,525起事件(32,002起事件符合報(bào)告分析的要求,其中3,950起被確認(rèn)為數(shù)據(jù)泄露事件)
各類攻擊來(lái)源占比相對(duì)穩(wěn)定,部分有小幅上升/下降
1、根據(jù)Verizon近三年的數(shù)據(jù)泄露報(bào)告來(lái)看,外部入侵依然是數(shù)據(jù)泄露的最大來(lái)源。
一直以來(lái),“外部入侵”始終是數(shù)據(jù)泄露事件背后最熱門的手段之一,但內(nèi)部數(shù)據(jù)泄露事件仍然值得各行業(yè)、各單位重點(diǎn)關(guān)注。
有組織的犯罪團(tuán)伙。這類群體的數(shù)量遠(yuǎn)遠(yuǎn)大于其它可能導(dǎo)致數(shù)據(jù)泄漏的組織/個(gè)人,但通過(guò)Verizon的報(bào)告來(lái)看,此類犯罪團(tuán)伙中大部分黑客可能是無(wú)意中成為犯罪分子,事實(shí)上,這群人缺乏職業(yè)發(fā)展規(guī)劃,對(duì)未來(lái)沒有明確的方向,如果給予適當(dāng)?shù)恼f(shuō)服和激勵(lì)措施,他們很有可能可以遠(yuǎn)離黑暗,并被納入安全人才庫(kù)。
2、各類攻擊手段此起彼伏,形勢(shì)依然嚴(yán)峻
從上圖可以看出,唯一一種逐年遞增的行為類型是錯(cuò)誤,人會(huì)經(jīng)常犯錯(cuò)誤,如錯(cuò)誤操作、錯(cuò)誤配置等,這些錯(cuò)誤通常是由安全研究人員和第三方發(fā)現(xiàn)的,其中錯(cuò)誤配置相比于上一年增加了2倍多。
黑客攻擊數(shù)量仍然接近過(guò)去幾年統(tǒng)計(jì)的水平,但社交網(wǎng)絡(luò)攻擊、物理攻擊、特權(quán)賬戶濫用等行為的攻擊占比小幅度下降,這個(gè)下降比例可以忽略。但從黑客的攻擊行為看,超過(guò)80%的數(shù)據(jù)泄露事件中,黑客使用了暴力破解憑證、使用丟失/盜竊的憑證(簡(jiǎn)單的如“admin/admin”或“root/ hunter2”等),其余還有使用后門或C&C服務(wù)器、桌面共享軟件、命令窗口、漏洞攻擊(如SQL注入、PHP注入漏洞)等攻擊手法。
惡意軟件在近幾年有所下降,Verizon認(rèn)為并不是因?yàn)閻阂廛浖臄?shù)量在減少,而是因?yàn)楹诳涂梢栽谌粘9艉蜕缃痪W(wǎng)絡(luò)攻擊中竊取憑證獲益,而無(wú)需靠添加惡意軟件來(lái)維持?jǐn)?shù)據(jù)泄露的通道。常見的惡意軟件有密碼轉(zhuǎn)儲(chǔ)程序、app數(shù)據(jù)捕獲、勒索軟件、下載器、木馬等,黑客常常通過(guò)電子郵件、網(wǎng)絡(luò)鏈接、網(wǎng)絡(luò)傳播等方式誘導(dǎo)受害者安裝這些惡意軟件。
如上所述,勒索軟件也成為當(dāng)前數(shù)據(jù)泄露的手段之一,數(shù)據(jù)加密不一定會(huì)導(dǎo)致數(shù)據(jù)泄露,但勒索攻擊事件的成功意味著相關(guān)憑證的泄露/丟失,同時(shí)除了軟件自身可以在受害者服務(wù)器中安裝,受害者的個(gè)人信息也可以隨意被黑客訪問。值得一提的是,目前出現(xiàn)了諸多“勒索服務(wù)”,大大降低了入侵的門檻,黑客只須租賃勒索服務(wù)即可實(shí)現(xiàn)勒索攻擊,受害者往往難以采取有效的措施進(jìn)行攔截。
特權(quán)濫用,包括“誤用”行為,即內(nèi)部員工操作安全事件發(fā)生的惡意行為,雖然圖中顯示2019年有所下降,但Verizon認(rèn)為這并不能說(shuō)明實(shí)際中這類比例也相應(yīng)下降(與分析的數(shù)據(jù)粒度有關(guān)),其預(yù)測(cè)在2021年,特權(quán)濫用的現(xiàn)象依然嚴(yán)重。
3、攻擊意圖有針對(duì)性,各行各業(yè)需要嚴(yán)加防范
出于“財(cái)務(wù)動(dòng)機(jī)”,即盜賣數(shù)據(jù)等行為是當(dāng)前數(shù)據(jù)泄露事件普遍存在的動(dòng)機(jī)。
WEB應(yīng)用程序漏洞導(dǎo)致的數(shù)據(jù)泄露現(xiàn)象也不容忽視,當(dāng)今隨著黑客群體、黑客水平的不斷提高,加之社交媒體披露的更多漏洞信息,使得漏洞的利用門檻大大降低,數(shù)據(jù)泄露事件此起彼伏。
4、數(shù)據(jù)泄露的受害者
數(shù)據(jù)泄露影響的行業(yè)十分廣泛,如住宿、零售行業(yè)、教育、金融、信息、制造業(yè)、政府部門等。
僵尸網(wǎng)絡(luò)主要攻擊金融、信息和專業(yè)服務(wù)垂直市場(chǎng)。所有這些行業(yè)都應(yīng)該關(guān)注客戶和自身的安全。
關(guān)于行業(yè)
以下為各行業(yè)的數(shù)據(jù)泄露相關(guān)信息,包括分析的攻擊事件及數(shù)據(jù)泄露的事件數(shù)量、占比較大的攻擊手段、威脅來(lái)源、驅(qū)動(dòng)因素、泄露的數(shù)據(jù)信息。
住宿和餐飲服務(wù)行業(yè)
在此行業(yè)中,使用惡意軟件(犯罪軟件和PoS都依賴于惡意軟件)進(jìn)行攻擊的事件相對(duì)較多,除此之外,還有今年流行的網(wǎng)絡(luò)應(yīng)用程序(包括竊取憑證信息、漏洞利用)。
住宿和餐飲服務(wù)行業(yè)中的PoS攻擊方式自2015年調(diào)查以來(lái)超過(guò)80%的占比下降到了16%,呈連年下降的趨勢(shì),這很可能也表明了一種趨勢(shì):相比于需要長(zhǎng)期潛伏在受害者的網(wǎng)絡(luò)中進(jìn)行持續(xù)攻擊、傳播病毒,黑客通過(guò)部署勒索軟件會(huì)更能夠快速地獲得金錢變現(xiàn),尤其是對(duì)于支付數(shù)據(jù)如此豐富的行業(yè),黑客的野心會(huì)更大。通常情況下,在此行業(yè)中除了支付數(shù)據(jù)被泄露,附帶的還有個(gè)人數(shù)據(jù)。
藝術(shù)、娛樂和休閑
文娛行業(yè)中,網(wǎng)絡(luò)應(yīng)用程序攻擊占位榜首(尤其是DDOS攻擊),其次還有社會(huì)工程攻擊和雜項(xiàng)錯(cuò)誤。不得不說(shuō)DDOS攻擊,這個(gè)行業(yè)在2019年遭受了史無(wú)前例的DDOS攻擊,北美工業(yè)分類制度(NAICS)中所涉及的在線博彩業(yè)也許是推動(dòng)這一趨勢(shì)的群體。
造假者的愚弄。在信息化的長(zhǎng)河中,電子通信的合法性依然是重中之重,如今文娛行業(yè)中還存在諸多社會(huì)工程學(xué)主導(dǎo)的使用各類偽造身份進(jìn)行攻擊、欺詐的事件。
2019年,惡意軟件在文娛行業(yè)中也是罪魁禍?zhǔn)字?,增長(zhǎng)幅度最大的為勒索軟件的傳播,惡意軟件還包括一些其它的危害,如捕獲用戶應(yīng)用程序的數(shù)據(jù)、協(xié)助黑客進(jìn)入系統(tǒng)獲取隱私數(shù)據(jù),并且留下蠕蟲病毒在受害者網(wǎng)絡(luò)環(huán)境中傳播。通常這些惡意軟件通過(guò)網(wǎng)絡(luò)服務(wù)器、郵件傳播。
建筑業(yè)
建筑業(yè)是拉動(dòng)經(jīng)濟(jì)增長(zhǎng)的一大行業(yè)之一,支撐著國(guó)家的基礎(chǔ)設(shè)施,但實(shí)際中考慮安全時(shí),建筑業(yè)卻是最容易被忽視的一個(gè)行業(yè)。根據(jù)Verizon對(duì)于少數(shù)事件進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)大多數(shù)案件出于經(jīng)濟(jì)動(dòng)機(jī),通常是由有組織的犯罪集團(tuán)實(shí)施。如黑客可以通過(guò)構(gòu)建虛假的網(wǎng)絡(luò)環(huán)境、網(wǎng)絡(luò)釣魚等方式誘導(dǎo)受害者,于此同時(shí),勒索病毒也逐漸在建筑行業(yè)中盛行。
社會(huì)工程學(xué)在建筑行業(yè)中也相對(duì)較多,黑客可以讓建筑企業(yè)的員工在網(wǎng)頁(yè)上輸入賬戶密碼、下載各種惡意軟件等各種手段誘導(dǎo)員工向他們匯錢,而事實(shí)證明,建筑行業(yè)的員工會(huì)比普通人更加容易上當(dāng)。
建筑行業(yè)中員工將賬戶密碼重復(fù)應(yīng)用于多個(gè)平臺(tái)(包括專業(yè)賬號(hào)、個(gè)人賬號(hào)),會(huì)增加組織的風(fēng)險(xiǎn),有效應(yīng)對(duì)措施之一是多因素身份驗(yàn)證方法,確保即使丟失憑據(jù),也無(wú)法對(duì)基礎(chǔ)架構(gòu)造成進(jìn)一步的威脅。
相比于其他行業(yè),可以看出內(nèi)部威脅在此行業(yè)中所占的比例較少,通常我們認(rèn)為違規(guī)有惡意的誤用和意外的操作兩類,但無(wú)論從哪種手段來(lái)看,占比均小。
教育行業(yè)
與其它行業(yè)一樣,網(wǎng)絡(luò)釣魚也是事件攻擊在教育行業(yè)的手段之一。
金融和保險(xiǎn)
金融和保險(xiǎn)行業(yè)一直以來(lái)都是出于經(jīng)濟(jì)動(dòng)機(jī)的有組織犯罪分析的最愛,毋庸置疑,web應(yīng)用程序攻擊和雜項(xiàng)錯(cuò)誤是導(dǎo)致黑客的最熱門手段。在此行業(yè)中,內(nèi)部攻擊的占比相對(duì)較大,盡管報(bào)告中顯示“濫用權(quán)責(zé)”的比例大幅度下降,但并不表示現(xiàn)實(shí)中這類現(xiàn)象有所緩和,相反,比例的下調(diào)是由于諸多“濫用權(quán)責(zé)”事件沒有被暴露,依然需要引起重視。
金融和保險(xiǎn)行業(yè)存在的另一大安全隱患即是郵件的錯(cuò)誤發(fā)送,例如在發(fā)送郵件前,“收件人:”一欄自動(dòng)填充陌生的收件人,甚至是群發(fā),具體的損失取決于電子郵件附帶的文件重要等級(jí),以及郵件的發(fā)送范圍。
配置錯(cuò)誤也是金融和保險(xiǎn)行業(yè)的一大安全隱患之一,管理員可能會(huì)在本地/云上錯(cuò)誤配置防火墻,動(dòng)機(jī)絕大多數(shù)是粗心大意。
還有一種攻擊不可被忽視,即釣魚攻擊,黑客通常會(huì)使用偽裝公司管理層的釣魚郵件欺騙正式員工支付金錢,往往在諸多組織中,員工安全是整體建設(shè)最薄弱的環(huán)節(jié),一般員工絲毫不會(huì)質(zhì)疑郵件的真實(shí)性,給了黑客有機(jī)可乘的機(jī)會(huì),這類攻擊的目的幾乎是來(lái)源于經(jīng)濟(jì)驅(qū)動(dòng),少量為間諜活動(dòng)。
醫(yī)療保健和社會(huì)保障
醫(yī)療保健和社會(huì)保障領(lǐng)域的數(shù)據(jù)泄露事件與去年的304起相比,大幅增加。同時(shí),其仍然是內(nèi)部惡意行為者數(shù)量最多的行業(yè)之一,而醫(yī)療數(shù)據(jù)、個(gè)人數(shù)據(jù)、個(gè)人憑證都是其覬覦的信息。但是,往往這類濫用職權(quán)的內(nèi)部人員并不會(huì)破壞系統(tǒng)本身或?qū)ο到y(tǒng)造成顯而易見的傷害,其更傾向于少量、多次的數(shù)據(jù)提取及盜賣,買方可以用這些數(shù)據(jù)對(duì)醫(yī)療行業(yè)的其它內(nèi)部人員進(jìn)行財(cái)務(wù)欺詐,這類現(xiàn)象往往很難被發(fā)現(xiàn),潛伏的時(shí)間也相對(duì)較久。
其次,隨著醫(yī)療行業(yè)向患者開放越來(lái)越多的門戶、使用越來(lái)越多新的技術(shù)方式與患者互動(dòng),使得網(wǎng)絡(luò)應(yīng)用程序攻擊持續(xù)成為常見的攻擊手段之一。
醫(yī)療行業(yè)中也不容忽視網(wǎng)絡(luò)釣魚攻擊,黑客常常會(huì)制造虛假的場(chǎng)景欺騙員工,達(dá)到成功轉(zhuǎn)移其資產(chǎn)的目的(可以通過(guò)電子匯款、禮品卡或其它方式)。
信息行業(yè)
在信息行業(yè)中,無(wú)論從原始的事件數(shù)量還是從所占的百分比來(lái)看,利用網(wǎng)絡(luò)應(yīng)用程序進(jìn)行攻擊的事件數(shù)量攀升,黑客通常利用網(wǎng)絡(luò)漏洞和竊取憑證的手段來(lái)獲取應(yīng)用程序的訪問權(quán)利,以進(jìn)行進(jìn)一步的攻擊,這一現(xiàn)象和趨勢(shì)需要引起重視。
錯(cuò)誤也是第二類常見的違規(guī)類型,在信息領(lǐng)域中,錯(cuò)誤配置常常最頻繁,主要與數(shù)據(jù)庫(kù)、文件存儲(chǔ)不安全,以及使用云服務(wù)的過(guò)程中暴露弱點(diǎn)有關(guān)。
對(duì)網(wǎng)絡(luò)帶寬的攻擊。黑客深知網(wǎng)絡(luò)帶寬對(duì)于消費(fèi)者的巨大影響,因此其常常通過(guò)DOS攻擊來(lái)破壞服務(wù)能力,而信息行業(yè)面臨著排名第二高的平均BPS,這也意味著這些攻擊往往是致命的,因此保障高可用性是至關(guān)重要的。
制造業(yè)
制造業(yè)一直是黑客夢(mèng)寐以求的網(wǎng)絡(luò)攻擊目標(biāo),其中包含大量可供攻擊者竊取的寶貴數(shù)據(jù)。而使用犯罪軟件是最主要的攻擊手段,如密碼轉(zhuǎn)儲(chǔ)器、捕獲應(yīng)用程序數(shù)據(jù)和下載器等,黑客的常見思路用通俗的語(yǔ)言表達(dá),即獲取憑證、滲透網(wǎng)絡(luò)、下載軟件、獲取數(shù)據(jù)。
其次,網(wǎng)絡(luò)應(yīng)用程序攻擊也是主要的威脅之一,黑客利用竊取的憑證來(lái)使用企業(yè)中的各類應(yīng)用程序,這些憑證通常是通過(guò)黑客的網(wǎng)絡(luò)釣魚攻擊中的惡意鏈接獲取的。
誤用,例如內(nèi)部人員的誤操作、越權(quán)操作也是制造業(yè)中面臨的威脅,通常他們會(huì)使用合法的訪問權(quán)限做一些違法、不合規(guī)的事情,甚至做一些高危操作(增、刪、改),其中最典型的例子有:通過(guò)個(gè)人電子郵件發(fā)送公司的數(shù)據(jù)、將數(shù)據(jù)放在云上以便在家辦公。
攻擊來(lái)源中,來(lái)自于地區(qū)/民族的黑客占比38%,來(lái)自于間諜/競(jìng)爭(zhēng)產(chǎn)商的黑客占比28%,通常在制造業(yè)中,含有超高價(jià)值的設(shè)計(jì)信息可以被拷貝。
采礦、采石、石油和天然氣開采與公共事業(yè)
在這類行業(yè)中,其它攻擊方式(主要是網(wǎng)絡(luò)釣魚主導(dǎo),動(dòng)機(jī)主要是獲取經(jīng)濟(jì)利益)、網(wǎng)絡(luò)應(yīng)用和網(wǎng)絡(luò)間諜都是較為頻繁的入侵模式,很難判斷哪種攻擊手段更為普遍。
在此行業(yè)中,出于間諜動(dòng)機(jī)的違法行為占比8%-43%,需要引起特別重視。
擁有漏洞的web應(yīng)用程序基礎(chǔ)架構(gòu)也是隱患之一,黑客可以通過(guò)工具發(fā)現(xiàn)、利用這些漏洞,因此需要持續(xù)修補(bǔ)補(bǔ)丁。
其他服務(wù)(除公共管理以外)
內(nèi)部人員如系統(tǒng)管理員/數(shù)據(jù)庫(kù)管理員可以大量訪問數(shù)據(jù)給數(shù)據(jù)安全造成了極大的威脅,包括在云平臺(tái)上建立數(shù)據(jù)實(shí)例卻無(wú)有效措施進(jìn)行嚴(yán)格的訪問控制。
專業(yè)、科學(xué)和技術(shù)服務(wù)
這類群體十分廣泛,如律師、會(huì)計(jì)師、建筑師、各類研究實(shí)驗(yàn)室和咨詢公司等,主要面向客戶提供服務(wù),很長(zhǎng)一段時(shí)間內(nèi),由于其中存儲(chǔ)著大量的個(gè)人隱私信息,Web應(yīng)用程序攻擊模式會(huì)依然保持頻繁。
公共管理
勒索軟件是最常見的攻擊手段之一,占比61%。
零售行業(yè)
對(duì)零售行業(yè)的攻擊幾乎是出于財(cái)務(wù)動(dòng)機(jī),黑客們?cè)噲D從零售行業(yè)獲取大量的支付卡數(shù)據(jù),其次是個(gè)人數(shù)據(jù)(個(gè)人數(shù)據(jù)的獲取有助于其實(shí)施進(jìn)一步的金融欺詐)。這些數(shù)據(jù)常常被打包售賣。
近幾年,隨著網(wǎng)絡(luò)支付方式的改變,黑客的攻擊手法也隨之改變,如攻擊對(duì)象從PoS設(shè)備和控制器轉(zhuǎn)向了網(wǎng)絡(luò)應(yīng)用,但PoS設(shè)備依然是攻擊的主流對(duì)象之一。
零售行業(yè)中已被竊取的憑證和薄弱的網(wǎng)絡(luò)應(yīng)用程序基礎(chǔ)設(shè)施是引起數(shù)據(jù)泄露的起因之一,我們通常認(rèn)為別人丟失的憑證與自己無(wú)關(guān),事實(shí)上,黑客可以從他人丟失的憑證來(lái)對(duì)付新的受害者。同時(shí),我們需要額外注意漏洞的修補(bǔ),需要及時(shí)、高效地處理,否則會(huì)引起SQL注入、PHP和本地文件注入等問題。