/ 中存储网

Verizon发布2016年数据泄露报告

2016-04-27 12:55:02 来源:中存储

4月26日,Verizon发布了其第九个年度数据泄露报告("DBIR")。在这份报告中,Verizon对过去一年中82个国家中发生的数据泄露趋势、常见的安全漏洞以及对组织机构产生影响的安全事件进行了观察分析。《Verizon2016年数据泄露报告》分析了超过64,000起安全事件(指信息的完整性、机密性及可视性被削弱的事件)和2,260起数据泄露事件(指确实导致了数据被披露的事件)。

在2015年,有90%的安全事件和数据泄露事件均属于9种常见类别的一种。最通常的情况是,安全事故是由五花八门的失误造成的,如将电子邮件或纸质文件发送给错误的收件人的事件有11,347起;诸如员工使用未经批准的硬件设备如U盘储存敏感信息等内部人员权限滥用(insider and privilege misuse)的事件有10,490起;笔记本和纸质文件的物理失窃或丢失的事件有9,701起。然而后果最严重的事件(即那些已确认的导致了数据被披露的事件)却是Web APP攻击,包括908起确认的数据泄露事件是使用被窃证书和安装恶意软件进行攻击的,525起确认的数据泄露事件是针对借记卡和信用卡在零售店使用POS机进行交易时的环境进行攻击。

2015年的数据发现攻击者在攻击其受害者时的动作越来越迅速。例如,完成攻击的周期大多数是以天计算甚至是以分钟计算。一种访问敏感数据特别快速的方法就是网络钓鱼(社会工程学攻击的一种形式),2015年网络钓鱼造成了9,576起安全事件以及916起已确认的数据泄露事件。网络钓鱼包括向受害者发送含有恶意附件或链接的电子邮件,用以欺骗受害者打开附件或点击链接。在多数网络钓鱼案例中,受害者一旦点击链接就会允许攻击者在其电脑上植入持续性的恶意软件。

很多不同信息安全提供商均针对网络钓鱼进行过测试,《Verizon2016年数据泄露报告》分析了他们的高达数百万个测试结果。《Verizon2016年数据泄露报告》的分析结果显示,在识别网络钓鱼信息这个问题上我们正做得越来越差而非越来越好;打开了测试钓鱼信息的被攻击者从2014年的23%增长到了2015年的30%,增长了7%,且其中有12%的被攻击者不仅仅打开了测试钓鱼信息,还点击了恶意的附件。发送一封网络钓鱼邮件与该邮件附件被点开的平均时间有多长?不超过4分钟。公平地说,点击开了网络钓鱼邮件的人也是情有可原的,因为根据《Verizon2016年数据泄露报告》显示,为了达到诱惑被攻击目标点击网络钓鱼邮件,大部分网络钓鱼攻击者会花费大量时间投入大量资源使网络钓鱼邮件更为可信:2015年数据显示,89%的网络钓鱼攻击是由有组织的犯罪集团实施的,还有9%的网络钓鱼攻击是由有国家支持的攻击者实施的。

内部人员权限滥用也十分常见,其中最主要原因是内部人员被经济利益驱动,其次的原因是商业间谍活动。《Verizon2016年数据泄露报告》回顾了自2009年以来内部人员滥用权限的驱动因素的变迁,结果发现由间谍活动驱动的案例上升而由经济利益驱动的案例却有所下降。还有些内部人员滥用权限是因为不满、意识形态等,甚至还有内部人员滥用权限仅仅是为了乐趣。即便再重视内部人员权限滥用问题,对组织机构和执法机构来说,内部人员的活动仍然是最难监测的部分。事实上,有70%的内部人员权限滥用是组织机构和执法机构花费了数月甚至数年时间才发现的。

《Verizon2016年数据泄露报告》还显示,银行卡数据也是最易受到攻击的目标之一。2015年共发生了534起POS机入侵攻击(POS intrusion)事件,几乎所有的这些POS机入侵攻击事件均导致了已确认的数据泄露事件。宾馆业、餐饮服务业和零售业最易受到POS机入侵攻击,通常攻击者会先攻击受害者的POS机提供商,降低其提供商的安全性。

攻击者还会使用物理设备盗取支付卡信息。合法的磁条卡读取器中内置了非法的读卡装置(例如,在ATM机上安装针孔摄像机来监视借记卡密码)在2015年造成了102起安全事故。其中,有86起事故导致了已确认的数据泄露。大部分的(94%)的数据泄露都涉及到安装在ATM机上的读卡装置,但是还有5%的攻击是针对加油站加油机终端以及1%的攻击是针对密码输入设备的。2015年,70%的读取支付卡事件是由犯罪组织实施的。

《Verizon2016年数据泄露报告》的其他发现包括:

  • 受数据泄露危害最严重的行业包括金融、酒店、IT、零售以及公共服务业

  • 63%的已确认的数据泄露事件均涉及到密码口令(password)的丢失、密码口令安全性过低或默认密码未更改

  • 大部分数据泄露都是由黑客针对著名的软件漏洞实施犯罪造成的——针对排名前十位的软件漏洞占成功的数据泄露事件的85%

  • 89%的数据泄露都是由经济利益或商业间谍驱动的。

备受期待的威瑞森《2016数据泄露报告》(DBIR)终于出台。今年的报告在67家贡献合作伙伴支持下编译完成,包含了对 82 个国家,超过 10万 起安全事件和 2260 起已证实数据泄露事件的分析。


关于《2016数据泄露报告》:你需要知道的

虽然业内几乎每天都会有只服务自身的报告和调查数据涌现,威瑞森的年度DBIR依然是一份必读报告,还有火眼旗下曼迪安特的《M-Trends》和其他极少数安全公司的年度报告也颇值得一看。

不过,即使被认为是必读物,对长期关注业内趋势和整体威胁态势的人而言,今年的DBIR并没有包含太多惊艳之处。但报告本身及其结论还是很重要的。

毫无意外,威瑞森及其合作伙伴在2015年调查的大量数据泄露事件中表示, 人的因素是其中最弱的一环 。

网络罪犯在依靠诸如 网络钓鱼 之类熟悉的攻击模式的同时,一直持续利用着人类的本性弱点。今年的报告中, 公司终端用户的各种小失误,占据了安全事件根源榜首位置。

这些多种多样的用户失误包括不恰当的公司信息丢弃、IT系统的错误配置,以及遗失和被盗的笔记本、智能手机等公司资产。此类失误中26%都涉及敏感信息误发行为。可以说,今年报告的所有发现,归根结底都指向了一个共同的主题――人的因素。虽然在信息安全研究和网络检测解决方案及工具方面有了长足的进步,我们却依然见证着十几年前就熟到不能再熟的那些错误一犯再犯。简直不能忍!

登录凭证让入侵变得如此轻松

在2260起已证实数据泄露事件的分析过程中,可以确定, 63% 都涉及到弱口令、默认口令或被盗口令。

弱口令、默认口令或被盗口令的利用问题不是什么新鲜事,一点都不前沿,也不令人着迷,但确实有用。静态身份验证机制从来都是攻击目标。从信息安全角度出发的密码猜解,至少从莫里斯蠕虫开始就有了,并且进化到了像狄厄(Dyre)和宙斯这类能捕获击键动作的主流恶意软件。

另外,93%的案例中,攻击者只需要几分钟就能攻破系统。而公司企业却需要数周乃至更长的时间才会发现自家防线早已破洞――而且通常是客户和执法机构敲响的警钟,而不是他们自己的安全措施发出警报。

报告囊括的领域很庞杂,鉴于每个安全从业人员都应该自己读读这份报告,此处就仅列出几条必知亮点了。

零日漏洞使用不频繁――尽管利用零日漏洞的高级攻击很能抓人眼球,威瑞森却发现大多数攻击利用的还是补丁早已推出数年却依然没被打上的那些已知漏洞。成功漏洞利用案例中,仅前10位已知漏洞就占据了85%的份额。

Web应用攻击是痛点――Web应用攻击总计 5334 起(另外19389起伴随有衍生动机),其中 908 起造成了数据泄露。 95% 的已证实Web应用数据泄露都是出于经济原因。更大的复杂性,包括Web应用代码和其下的业务逻辑,以及作为通向存储器或进程中敏感数据的跳板潜力,都让Web应用服务器成为了攻击者的明显标靶。

网络钓鱼 依然是主要攻击手段 ――由于是特别有效的技术,还能为攻击者提供诸如快速渗透和精准定位之类优势,网络钓鱼长盛不衰,甚至有所增长。

移动设备和物联网是未经证实的攻击方法――就如去年的DBIR报道,移动设备和物联网攻击在今年的企业攻击中依然几乎踪影全无。

那些期待今年曝出移动设备攻击令人跪服,或物联网攻击杀人无数的人,大概会比较失望。使用此类技术作为企业攻击手段的现实例子依然匮乏。不过,移动和物联网威胁不应该被忽视,依然需要纳入风险管理决策考虑过程中。概念验证例子都是真的,影响移动和物联网设备的大规模数据泄露发生只是时间问题。这意味着公司企业应继续保持对智能手机和物联网设备防护的警惕性。

三步攻击法的兴起――网络罪犯频繁重复使用一种“三步攻击法”:

发送网络钓鱼电子邮件,内含指向恶意网站的链接,或恶意附件; 下载恶意软件到目标PC,建立突破桥头堡,为后续针对敏感信息的进一步恶意软件铺路; 利用窃取的凭证进行进一步攻击,比如,登录到网银或网购第三方网站。 
关于《2016数据泄露报告》:你需要知道的

威瑞森数据泄露报告事件

在 可行性建议 方面,威瑞森团队列出了以下可大幅减小风险界面的招数:

了解自身行业内最遭受的攻击模式; 自身系统和其他应用,比如流行社交网站,采用双因子身份验证措施; 及时打补丁; 监测所有输入:审查所有日志以帮助发现恶意行为; 加密数据:如果被盗设备是加密的,攻击者读取数据就难得多; 培训员工:在公司内培养安全意识是非常关键的,尤其是在网络钓鱼攻击盛行的现在; 清楚自己的数据,做好相应的保护,同时对可访问数据的人员加以限制。

今年的报告再一次表明,根本没有什么不可渗透的系统,但 即便是最基础的防御措施,也经常能够挫败网络罪犯挑软柿子捏的意图。

事实上,威瑞森自己也是数据泄露的受害者。据称,有攻击者利用该公司网站的漏洞盗走了150万客户的资料。

这份85页的2016DBIR包含了统计数据、事件概览和你能挪给自家安全团队用的一些可行性建议。安全公司领导者一定要仔细解读这份报告,并鼓励员工也看一看。威瑞森网站上放有报告的摘要和完整版文档(PDF),不用注册就可获取。

完整报告下载链接:

《Verizon2016年数据泄露报告》

往期报告下载:《Verizon2015年数据泄露报告》