威瑞森发布2019年《数据泄露调查报告》

威瑞森2019《数据泄露调查报告》(DBIR),揭秘网络罪犯目标转移及犯罪动机趋势。

2008年起,威瑞森每年都发布《数据泄露调查报告》(DBIR)。2019年5月8日发布的2019年版DBIR已是其第12版了,同时也是迄今为止涵盖最广的一版,共有73家内容贡献者和对41,686起安全事件的分析,其中包括2,013起已证实的数据泄露事件。

纯从细节和涵盖广度出发,DBIR已成安全行业的数据泄露《圣经》。威瑞森并不揣测其所提供数据的含义,将推测工作留给独立安全分析师去做。与其他调查类似,该报告仅分析并分类其所收到的数据。因此,DBIR提供的是整个行业的安全趋势证据,而不是特定趋势的具体原因。

这一点可以从经济利益驱动的攻击和网络间谍攻击的相关趋势中看出来 (勒索软件可能是最显眼、最具新闻报道价值的样例了)。2019 DBIR 凸显出经济利益驱动的网络攻击正在全面增长。

制造行业长期以来的普遍认知都是大多数网络攻击是为了获取情报,以网络间谍活动为主。去年的报告首次颠覆了制造行业的这一认知,显示出经济利益驱动的网络攻击已经超越了出于网络间谍目的的攻击。威瑞森安全研究总监 Alex Pinto 承认:

老实说,我们当时以为这只是偶然现象,并且也这么描述了。但上一年里这两种动机之间的差距有所增长,如今制造业面临的出于经济利益的攻击占比68%。DBIR告诉了我们这一事实,但没告诉我们原因。

DBIR不做猜测,只记录事实。Pinto表示,这有可能仅仅是因为经济利益驱动的攻击全面增加,而网络间谍攻击保持不变。但威瑞森非常谨慎,不会向制造业表示间谍攻击有下降趋势。

根据个人经验,Pinto认为,新闻媒体报道总有偏向。间谍活动总是比只为求财的攻击有趣得多。所以你会看到新闻媒体大多都在报道网络间谍类攻击。但这并不意味着追求经济利益的攻击就没有发生,这种普通的攻击太多了,未必能得到媒体的青睐。

但是报道偏见有可能影响深远。2018年7月,Sophos报道称,SamSam勒索软件感染的真实数量可能比普遍认为的要高得多。尽管有少数感染案例确实被媒体大肆报道,但Sophos和Neutrino顺着比特币钱包的线索查出:约有233名受害者悄悄支付了赎金,并未上报勒索软件感染情况。

威瑞森的数据显示,影响各行各业的恶意软件类型中,勒索软件排名第二,而医疗保健行业是受勒索软件影响最严重的。由于HIPPA法规的存在,医疗行业必须报告任何数据泄露事件,勒索软件攻击也包含在内。因此,所有医疗机构勒索软件感染事件均能得到上报。

在威瑞森的整个数据集中,勒索软件占比24%;但细分到医疗行业,勒索软件感染事件的占比就达到了70%。尽管威瑞森并未猜测这一数据背后的种种原因,但显然其他行业很可能因为没有强制上报而实际屈服于勒索软件攻击的数量比报告的数量要多。勒索软件持续增长的数据,也印证了报告中凸显的经济利益驱动型攻击上升的趋势。

而且,瞒报现象表明:勒索软件威胁可能比DBIR数据呈现出的要大。

被问及 2019 DBIR 暴露出的特别趋势时,Pinto点出了两个方面:攻击者转向容易攻击的目标,以及网络钓鱼重心逐渐向高级管理层倾斜(这两个方面可能是同一个趋势的一体两面)。就前者而言,Pinto表示,这一现象在2018年便已广泛存在,不是新出现的。

这是一场安全角力。我们强化了某些东西,然后网络罪犯们就转向另外一些容易突破的东西,以保证他们的现金流。

银行欺诈就是一个例子。EMV智能芯片卡的引入令有卡欺诈更难以实现,罪犯便转向了无卡欺诈。Pinto称:从我们聚集的数据来看,基于Web应用的支付卡欺诈似乎很快便将超过非Web应用欺诈。这两条曲线即将交错。

自2015年起,销售终端(PoS)数据泄露事件下降了10倍,而Web应用数据泄露事件如今增加了13倍。威瑞森的合作伙伴,美国国家网络取证与培训联盟(NCFTA)的数据显示,无卡欺诈已比有卡欺诈更为普遍。这一趋势背后的原因无疑就是芯片+密码的引入使网络罪犯转向了更容易操作的犯罪方式。

网络罪犯选择通过最简单的途径通往最大回报率的另一个案例,就是加强对高级管理层的网络钓鱼突破。说到商业电邮入侵(BEC)威胁,Pinto评论道:既然可以给首席财务官(CFO)发送电子邮件,让他给黑客汇款,又何必再去费劲黑掉公司企业呢?

今年的BEC数据来自DBIR的新合作伙伴——美国联邦调查局(FBI),其互联网犯罪投诉中心(IC3)贡献了一组新的数据波动。好消息是,BEC损失中位数与二手车均价大致相当。坏消息是,金额轴不是线性的。从零损失到中位数损失的BEC事件数量跟从中位损失金额到1亿美元损失的BEC事件数量一样多。

当然,FBI的职责不仅仅是绘制BEC损失图表,还要尽可能追回这些损失。他们在去年成立了资金恢复团队(RAT),与被骗资金流入的银行合作,共同解决BEC问题。美国发生的BEC案件中,有半数追回或冻结了99%的涉案资金;仅9%的BEC案件分文未回。

若对今年的DBIR打个总结,那就是万变不离其宗。改变得越多,越遵循本源。黑客仍在黑服务器,也仍旧在投送网络钓鱼电子邮件,但是他们转向了更加容易入侵的高价值目标。尽管具体的目标和攻击位置有变,网络罪犯所用的最终战术却保持不变。

每年的DBIR都能引发一波疯狂的审视与解读。DBIR报告数据丰富,分析全面,业内评论者可以质疑其分析,扩展某部分数据,或者强调其中某几个方面。

行业特定分析往往更为细致,具备特定价值。总的主题与趋势不见得会有很大不同,但行业细节更有可执行性。

DBIR中事件与数据泄露是有区别的,必须理解并重视这一区别。DBIR图表很多,但根据其适用的类别,其含义也有很大差别。

呈报的所有东西都可以归为事件,无论涉事数据有没有遭到泄露。而数据泄露则仅指数据切实遭到泄露的那些事件。针对DBIR,重点应放在数据泄露上,因为事件量多价贱,而数据泄露则直指核心。

从包含行业角度的总体观点出发,DBIR中最有趣的章节是 “受害人群及行业分析” 指标。

该视图可使人以有意义的方式快速分辨出异常和问题领域。比如说,你可以直观地看出,黑客活动就是能够通过安全事件和数据泄露广泛影响各行各业的一种行为。而作为目标,服务器也是广义上最受影响的资产。

你也会注意到事件和数据泄漏在拒绝服务模式上的明显对比。这种对比非常直观,拒绝服务(DoS)是大多数事件的主要模式,但不是数据泄露的主要模式。而事件和数据泄露的共同点也能通过 “黑客活动” 和 “服务器” 加以体现。

这些例子都是事件和数据泄露在属性上相通的地方。换句话说,投资抵御黑客行为和保护服务器的防御措施,可以降低事件和数据泄露的发生率,但DoS防御措施对抵御数据泄露没什么用。

当然,该视图的真正价值在于具体的行业。比如说,如果你身处零售业,自然绝对应该关注怎样保护你的Web应用,怎样抵御黑客攻击,以及如何保护你的服务器。拥有恶意软件防护方案也是个不错的策略。

如果你身处政府和公营事业部门,相比服务器,更应关注的对象是网络间谍、黑客攻击和人员情况。对比零售业和公共事业,同为网络安全操作,应该关注的重点却大不相同。零售业无需太过担心网络间谍的结论或许还比较直观,但公共事业部门将人员作为目标资产加以重视就会对预算的分配产生重大影响了。

医疗行业异于其他大多数行业,各种各样的问题是最多的。与之相关的权限误用问题也不甘落后。医疗行业遭遇最多的三种行为是黑客攻击、社会工程和权限误用。

只要从整体上观察医疗行业,你就会得出如何分配预算的明智结论,尤其是分配到围绕数据访问权限的技术和过程上的预算。

此类行业特定分析对预算规划相当有用。DBIR中每个行业都有专门的章节详细讲述此类细节,感兴趣的话值得一读。当然,该特定视图可能也会激发一些这种兴趣。

DBIR中有用的数据和分析很多,阅读时一定要保持清醒的头脑,知道自己在剖析该报告时想要达到什么目的。面向目标的阅读才是好的阅读策略。

威瑞森《2019数据泄露调查报告》:

https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf

上一篇:ASRC 2019 年第一季度电子邮件安全趋势

下一篇:持续攻击从100多个购物网站窃取信用卡