信息來源：安全牛

威瑞森《數(shù)據(jù)泄露調(diào)查報告》(DBIR)，是業(yè)界年安全事件和成功數(shù)據(jù)泄露的專業(yè)分析。最新一期的報告于4月27日剛剛發(fā)布。

威瑞森DBIR 報告算上今年已走過了10個年頭。在過去10年里，DBIR從威瑞森自己的泄露數(shù)據(jù)分析知識庫，成長到如今包括65家不同公司泄露數(shù)據(jù)分析的大型知識庫。

最新一期報告中，通過綜合威瑞森收到的關(guān)于已發(fā)現(xiàn)安全事件和數(shù)據(jù)泄露的報告，并對來自84個國家的42,068起安全事件和1,935其數(shù)據(jù)泄露進行了分析，揭示了信息安全領(lǐng)域的新模式、發(fā)展趨勢和有趣的發(fā)現(xiàn)。

所有被分析的事件都發(fā)生在2016年，且符合《事件記錄與共享詞匯表》框架中至少一類威脅行為分類。威瑞森希望這些統(tǒng)計數(shù)據(jù)能夠幫助安全實踐者更好地保護他們的公司企業(yè)。

喬治·費舍爾，威瑞森企業(yè)解決方案總裁，稱：“DBIR提供的洞見改變了網(wǎng)絡(luò)安全攻防局面。我們的數(shù)據(jù)，給了政府和企業(yè)預(yù)測網(wǎng)絡(luò)攻擊、有效緩解網(wǎng)絡(luò)風險所需的信息；通過分析來自我們安全團隊和全球其他頂尖安全從業(yè)者的數(shù)據(jù)，我們得以提供有價值情報，并幫助企業(yè)扭轉(zhuǎn)風險態(tài)勢?！?/span>

而對多個不同垂直行業(yè)攻擊方法的解析，則進一步增強了威瑞森保護企業(yè)網(wǎng)絡(luò)安全的意圖。例如，該報告指出，住宿餐飲業(yè)POS數(shù)據(jù)泄露肆虐。這些數(shù)據(jù)泄露大多是機會性的，受經(jīng)濟利益驅(qū)動，通常涉及惡意軟件和黑客威脅團伙的活動。侵入耗時很短，而發(fā)現(xiàn)耗時和控制耗時往往長達數(shù)月之久。

最突出的攻擊方法之一，是Web應(yīng)用攻擊，這也是金融保險業(yè)、信息行業(yè)和零售業(yè)里最常見?！霸诶冒嘿F的零日漏洞和復(fù)雜的APT進行攻擊之前，攻擊者總是會優(yōu)先找尋企業(yè)IT基礎(chǔ)設(shè)施中的薄弱環(huán)節(jié)。” High-Tech Bridge 首席執(zhí)行官伊利亞·克羅琴科解釋道，“今天，大部分大型企業(yè)和政府，都可以通過攻擊他們的Web和移動(后端)應(yīng)用，輕易入侵?！?/span>

這種攻擊方法隨著第三方云服務(wù)及云應(yīng)用的普及而不斷增長，黑客利用這些云服務(wù)和應(yīng)用侵入可信第三方，然后獲得公司企業(yè)數(shù)據(jù)的訪問權(quán)。DBIR與谷歌的研究結(jié)果相同，均認為2016年網(wǎng)站黑客活動增加了32%，而應(yīng)用安全成為了企業(yè)首要問題，應(yīng)被當做高優(yōu)先級事務(wù)加以解決。

若說DBIR作為當下行動指南有什么弱點的話，那就是“DBIR只是對過去一年已發(fā)生事件的歷史性分析”。一個例子是，該報告稱51%的數(shù)據(jù)泄露涉及惡意軟件，但這個數(shù)字本身只能說服企業(yè)加強自身反惡意軟件防御，卻因為并未對當下威脅進行分析，而無法提供非惡意軟件攻擊當前發(fā)展形勢的明確指示。反惡意軟件防御是無法檢測此類攻擊的，因為這里面根本就沒涉及任何惡意軟件(這些攻擊通常使用操作系統(tǒng)本身自帶的應(yīng)用，比如PowerShell)。

勒索軟件是另一個例子。分析中很難對勒索軟件給出一個準確定位，因為它不在威瑞森對數(shù)據(jù)泄露(其實是數(shù)據(jù)滲漏)的定義之中，但又明顯不僅僅是個別事件。另外，感染惡意軟件的企業(yè)往往不愿曝光此類事件。這兩個因素都會影響到威瑞森的統(tǒng)計數(shù)據(jù)。為解決這個問題，威瑞森采用了來自邁克菲的遙測數(shù)據(jù)作為信息源。

邁克菲的數(shù)字與威瑞森自己的統(tǒng)計相印證，即勒索軟件發(fā)生率持續(xù)上升。但邁克菲的數(shù)據(jù)則要更為詳細。區(qū)別在于，邁克菲遙測提供威脅統(tǒng)計數(shù)據(jù)，而DBIR提供數(shù)據(jù)泄露統(tǒng)計。想要獲得當前情勢的完整視圖，公司企業(yè)需考慮近期數(shù)據(jù)泄露和持續(xù)進化的各類威脅。

盡管如此，DBIR仍然是安全從業(yè)者的寶貴資源。從頭到尾，威瑞森的主要目標，都是幫助企業(yè)理解面臨的威脅，讓他們可以做出基于證據(jù)的明智風險管理決策。

具體數(shù)據(jù)詳解如下：

一、數(shù)據(jù)全景圖

內(nèi)部人威脅依然頻發(fā)，占數(shù)據(jù)泄露原因的25%，但有75%的數(shù)據(jù)泄露都是外部人所為。外因數(shù)據(jù)泄露中，涉及有組織犯罪團伙的51%，國家支持的黑客組織18%，3%涉及多方勢力，2%涉及公司的合作伙伴。

62%的數(shù)據(jù)泄露都有黑客活動身影，81%利用了被盜口令或弱口令。很明顯，至少在2016年，公司企業(yè)和個人依然沒有保持足夠的口令健康度，沒有使用強口令，也沒有定期更換口令。

總體上，涉及外部黑客的數(shù)據(jù)泄露有所下降，而內(nèi)部人導(dǎo)致的數(shù)據(jù)泄露有上升。該情況的一個解釋是，2016年有兩種外部攻擊類型在消退：口令盜取僵尸網(wǎng)絡(luò)和銷售終端(POS)入侵。即便如此，受內(nèi)部合作伙伴驅(qū)動的數(shù)據(jù)泄露，依然相對恒常發(fā)生。

威瑞森數(shù)據(jù)顯示，金融行業(yè)是最經(jīng)常被入侵的垂直行業(yè)，24%的數(shù)據(jù)泄露影響金融公司；醫(yī)療健康行業(yè)緊隨其后，占15%；零售和酒店業(yè)加起來占15%；公共實體占12%。另外，絕大多數(shù)惡意軟件都是通過惡意電子郵件投放的(66%)；73%的數(shù)據(jù)泄露出于經(jīng)濟原因；21%與網(wǎng)絡(luò)間諜相關(guān)。

攻擊者的動機，決定其所用技術(shù)和所針對的目標。例如，大多數(shù)受經(jīng)濟利益驅(qū)動的有組織犯罪團伙，都會使用被盜憑證、命令與控制服務(wù)器(C2)或鍵盤記錄器，去黑Web應(yīng)用、獲取后門網(wǎng)絡(luò)訪問，或利用電子郵件附件在受害者計算機中植入惡意軟件。這同樣的攻擊方法，國家支持的黑客間諜組織也會用——雖然網(wǎng)絡(luò)釣魚之類社會工程攻擊才是他們這種黑客組織的慣用手法。

口令盜取僵尸網(wǎng)絡(luò)和POS入侵的減少，不僅僅降低了外部數(shù)據(jù)泄露的比例，還減少了秒級或分鐘級入侵時間數(shù)據(jù)泄露的數(shù)量。盡管有所減少，這些事件卻依然占據(jù)了所有入侵事件的98%。

在數(shù)據(jù)泄露曝光方面，威瑞森觀測到司法部門2016報告中某激增數(shù)值的修正。去年暴漲的數(shù)值，是由Dridex僵尸網(wǎng)絡(luò)驅(qū)動的，如今已因銀行卡盜刷和POS犯罪的減少而平穩(wěn)下來了。同時，員工報告，依然是最常見的內(nèi)部發(fā)現(xiàn)方式。外部審計和第三方檢測與揭示的比例也有所上升。

二、社會工程攻擊

2016年社會工程攻擊數(shù)量為,616起，其中半數(shù)(828)起證實有數(shù)據(jù)泄露。這些事件占據(jù)了 2017 DBIR 數(shù)據(jù)集里所有數(shù)據(jù)泄露的43%。幾乎全部社會工程事件(99%)都涉及外部攻擊者。

95%的案例中，攻擊者在成功的網(wǎng)絡(luò)釣魚之后緊跟惡意軟件植入。2/3的社會工程攻擊者追逐的是經(jīng)濟利益，另外1/3從事網(wǎng)絡(luò)間諜活動。兩種動機的社會工程攻擊都涉及憑證盜取、個人信息和商業(yè)秘密獲取。

為威瑞森報告貢獻了數(shù)據(jù)的公司企業(yè)中，其用戶群的7.3%曾中過網(wǎng)絡(luò)釣魚。其中15%兩次中招，1%點擊可疑鏈接或郵件附件的次數(shù)超過3次。認識到此類個人行為的持續(xù)性，公司企業(yè)不能僅僅關(guān)注網(wǎng)絡(luò)釣魚預(yù)防，還要重視檢測，鼓勵員工在誤點時及時報告。

三、勒索軟件

網(wǎng)絡(luò)釣魚攻擊的一個常見載荷就是勒索軟件。威瑞森報告中將勒索軟件歸在了第5類最常見惡意軟件中。勒索軟件的興起，有部分原因是新勒索軟件技術(shù)和敲詐方法的出現(xiàn)。

比如說，有些勒索軟件，會鎖定主引導(dǎo)扇區(qū)而不是加密一個個文件。另外一些勒索軟件則采用非預(yù)期命令行參數(shù)之類的技術(shù)來逃避檢測，或者依賴RIG之類漏洞利用工具包進行網(wǎng)上傳播。還有一些會利用勒索軟件即服務(wù)(RaaS)平臺，增加它們在技術(shù)盲罪犯中的曝光率，供他們定制勒索軟件以感染個人電腦和目標公司。

2016年，勒索軟件在前2個季度有所上升，第3季度稍有下降，第4季度大幅下滑了70%。下滑原因是通用勒索軟件檢測，以及2016兩大勒索軟件家族Locky和CryptoWall變種的減少。

公司企業(yè)也不會放任勒索軟件肆無忌憚地生長。安全行業(yè)在工具中增加早期檢測功能，并推進與司法部門的協(xié)作和威脅情報共享。有些安全公司還發(fā)起了“拒絕勒索( No More Ransom )”之類倡議，旨在幫助勒索軟件受害者在不支付贖金的情況下拿回自己文件的訪問權(quán)。

四、行業(yè)細分數(shù)據(jù)的引入

10周年報告中，威瑞森首次引入了“行業(yè)”章節(jié)，分行業(yè)給出統(tǒng)計數(shù)據(jù)。報告中表1展現(xiàn)了他們的新嘗試。

威瑞森的研究人員特別強調(diào)了要把數(shù)據(jù)放進上下文中考慮：

“表1中的總計欄數(shù)據(jù)，給出的是本年度研究的樣本規(guī)模信息，并不代表某個行業(yè)就比其他行業(yè)更安全或更不安全。它展現(xiàn)出的，我們的數(shù)據(jù)貢獻者對該行業(yè)的代表程度?？梢詫⒈?看做打開冰箱看看有什么原材料可以做菜，看看你是否掌握了足夠的行業(yè)樣本得出正確的結(jié)論。”

綜合來看，信息、零售、金融和教育行業(yè)，均遭到大量DDoS攻擊。這些依賴網(wǎng)絡(luò)來做業(yè)務(wù)和跟客戶溝通的行業(yè)，同樣見證了最大的DDoS攻擊規(guī)模。但僅因為其他行業(yè)沒經(jīng)歷如此之多或如此之大的攻擊，并不意味著它們就對DDoS攻擊免疫。

僅有6家貢獻者向威瑞森發(fā)來了漏洞掃描數(shù)據(jù)。但該信息確實揭露了某些重要的行業(yè)修復(fù)周期情況。比如說，信息、制造、醫(yī)療健康、餐飲食宿和零售業(yè)，均在第一周就修復(fù)了25%到50%的漏洞；而公共事業(yè)、金融和教育行業(yè)，則稍慢那么一些，修復(fù)漏洞的比例也小些。

對此，威瑞森的見解是：

在具體公司環(huán)境里，修復(fù)周期長短取決于被發(fā)現(xiàn)的具體漏洞，以及該漏洞影響的資產(chǎn)。公司企業(yè)需要將威脅評級和潛在影響，納入確立自身修復(fù)耗時的考慮因素，以便及時完成。

報告接著描繪了行業(yè)細分的發(fā)現(xiàn)。比如，酒店和餐飲服務(wù)業(yè)主要遭遇了經(jīng)濟利益驅(qū)動的攻擊者，其POS終端成為了攻擊目標。同時，金融和保險業(yè)經(jīng)歷了很多拒絕服務(wù)攻擊。

五、事件分類模式

報告末尾回歸了威瑞森9大事件分類模式。整整一章專門用來講這些攻擊類型，因為88%的數(shù)據(jù)泄露落入這9類之一。其中3種值得詳細解讀。

1. Web應(yīng)用攻擊

2017 DBIR 里最普遍的攻擊類型。該類型包含6,502起經(jīng)證實的事件，3,583起附帶衍生動機，571起有經(jīng)證實的數(shù)據(jù)泄露。從Dridex僵尸網(wǎng)絡(luò)涉及的數(shù)據(jù)貢獻者提供的信息來看，這些攻擊針對金融、公共事業(yè)和信息公司，采用社會工程方法探路，然后利用Dridex惡意軟件盜取客戶憑證操控他們的行動。

與2015年相比，Web應(yīng)用事件的數(shù)量有所上升，但數(shù)據(jù)泄露事件有所下降。事實上，大多只是網(wǎng)頁遭篡改和使用偷來的憑證、網(wǎng)絡(luò)釣魚和C2/后門。

2. 拒絕服務(wù)

威瑞森發(fā)現(xiàn)，拒絕服務(wù)攻擊超過了 2016 DBIR 中排名第一的事件分類——混雜錯誤。拒絕服務(wù)分類中有11,246起事件，其中5起涉及數(shù)據(jù)泄露。娛樂、專業(yè)服務(wù)、公共事業(yè)、信息和金融業(yè)，包攬了該分類中最多的事件實例，大公司承包了該分類里98%的攻擊。

總的來說，DoS攻擊的平均規(guī)模在減小。大多數(shù)攻擊的持續(xù)時間不超過幾天。但安全行業(yè)依然見證了幾起IoT僵尸網(wǎng)絡(luò)驅(qū)動的大型攻擊，包括2016年10月21日Dyn公司遭受的 Mirai DDoS 攻擊。

3. POS機入侵

酒店餐飲業(yè)和零售業(yè)是POS入侵重災(zāi)區(qū)。事件數(shù)不多，總共212起，其中207起牽涉數(shù)據(jù)泄露。很多此類攻擊都用到了內(nèi)存刮取。然而，鍵盤記錄/間諜軟件依然在其中有著重要作用。

六、結(jié)論

縱觀全篇，讀者可能會陷入絕望，哀嘆這總是不安全的世界。但威瑞森希望讀者對未來抱有期待：
“我們注意到還有很多成功案例，也并不全是壞消息。我們的希望來自于我們竟然連續(xù)10年公開這些安全事件，我們的希望來自于DBIR從單個公司發(fā)展到了包含65個貢獻源，提供了詳實的安全事件和數(shù)據(jù)泄露語料庫?！?/span>

所有讀者都可以利用該報告來更好地保護自家公司的安全。同時，更多公司應(yīng)考慮在來年貢獻數(shù)據(jù)，幫助威瑞森展現(xiàn)更全面的數(shù)字威脅全景圖。

威瑞森 2017 DBIR 傳送門：

http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/