近日,著名咨询机构Verizon发布了《2023年数据泄露调查报告》(DBIR)。该报告对过去一年发生的16312起安全事件进行分析,其数据来源于Verizon平台,以及世界各地的执法、政府机构公开发布。
概述
勒索攻击持续增长
勒索软件继续成为入侵行为中最主要的类型之一,虽然它没有表现出高增长,但在统计上稳定在24%。勒索软件在各种规模的组织中比比皆是。安全专家感叹称“它几乎无处不在,存在于大型企业、中小型企业、甚至是小微企业。”无论是对任何企业来说,勒索攻击都是一种巨大的威胁,无关于任何行业、领域等。
74%安全事件存在人为因素
据报告的数据显示,74%的安全事件被证明存在人的因素,这意味着在过去一年时间里,企业员工正在屡屡出错,包括错误使用权限、滥用特权、钓鱼攻击、身份泄露等等。这也反映出社会工程学的可怕,对网络罪犯来说利润丰厚。这就是为什么商业电子邮件入侵(BEC)攻击几乎翻了一番,如图所示,在社会工程模式中占了50%以上的事件。
86%的攻击涉及使用被盗证书
在Web应用程序的安全事件中,报告指出86%的攻击涉及使用被盗证书,只有10%真正存在一个实际的软件漏洞。事实上,滥用数字证书一直是网络犯罪分子常用攻击手法,其目的是让提高恶意软件的合法性,从而绕过企业的安全防护措施。
在过去的一年中,超过32%的Log4j扫描活动发生在其发布后的30天内(最大的活动高峰发生在17天内)。Log4j是如此重要,以至于和其相关事件在评论部分都有“Log4j”或“CVE-2021-44228”。但是,只有20.6%的事件有评论。
多因素认证是企业必选项
报告指出,任何企业都需要实施多因素认证(MFA),此举将有效增加攻击者的门槛,因为他们在获取账号密码后,至少还需要具备第二个因素才能访问应用程序或数字资源。诚然,多因素认证无法确保安全,但是对于企业来说是一个不可或缺的安全。
钓鱼和漏洞是数据泄露的主要原因
报告数据显示,对于绝大多数企业来说,犯罪分子对于利用数据的主要途径依旧是凭证窃取,而在实际安全事件中,钓鱼攻击漏洞利用依旧是最主要的手段。
数据泄露的最核心动机是经济利益,调查显示至少95%的攻击是因为钱,这也是当下行业普遍观察到的规律。同时,数据泄露的规模正在增长,给企业带来的威胁也在持续增加。
结果分析
网络攻击者
在所有的安全事件中,外部参与者占比高达83%,而内部参与者则占19%。值得一提的是,在这些情况下,内部行为者不仅要为蓄意的攻击负责,而且他们还要为错误的行为负责。根据历年的报告数据,外部行为者作为入侵发起者的明显频率一直保持稳定。
报告数据显示,财务动机仍然是绝大多数安全事件的驱动因素,与去年相比继续保持增长,安全事件的比例高达94.6%。有趣的是,我们观察终端来自用户内部的各种违规行为,比外部的国家支持的攻击者出现的更频繁,这些组织员工大多涉及误用和错误,表明组织应该在日常安全管理方面给予更多关注。
由于俄罗斯与乌克兰之间的持续冲突,国家支持的攻击活动将会增加,无论是否与间谍行为有关。也许意识形态或与黑客主义相关的攻击活动有所增加,这种政治因素虽然存在,但从更大的统计角度来看,这并没有造成影响,至少不会对普通企业和用户造成影响。
安全事件类型
不出所料,排名靠前的要么是第一阶段攻击,要么是单阶段攻击,即使用窃取的信用来进行破坏,而拒绝服务来处理事件,这与往年的情况是一致的。令人担忧的是,勒索软件在事件中占据了第二位,目前占所有事件的15.5%。与此同时,勒索软件在入侵中的份额并没有增长,而是稳定地保持在24%。
在有组织犯罪分子实施的攻击事件中,超过62%的事件涉及勒索软件,59%的事件涉及经济动机。值得注意的是,与去年的“软件供应链末日”相比,今年没有供应商和软件供应链作为事件的行动向量。
相反,全球在都在Log4j漏洞下瑟瑟发抖。虽然实际上的破坏没那么突出,但是几乎所有的安全人都牺牲了自己的假期,在公司内24小时值守待命。在这一次事件中,社区迅速采取了行动,将以Log4j作为组件的不同系统进行快速修复,避免了更大的灾难。
组织资产损失
报告列出了受入侵影响的各种资产的分类,包括Server/Person/User/Network/Media等,考虑到系统入侵、基本Web应用程序攻击和社会工程是今年最主要的攻击模式,其结果与预期基本一致。值得一提的是,人也是组织的核心资产之一,是组织的最后一道防线,且在未来几年内会继续保持在第二的位置,而服务器一直排在第一位。
在进一步的细分类中,Web应用程序和邮件服务器是影响最大的两类资产,这也和我们观察到的现象一致。但有趣的是,随着社会工程学的陆续发展,个人财务资产从去年开始呈现上升趋势。
和IT行业相比,OT领域虽然占比较少但同样受到影响。随着计算机技术大规模应用至传统工控组织、关基组织,OT遭受攻击的可能性在上升,其中制造业、采矿业、采石业、油气开采和公用事业等行业具有代表性。
报告数据显示,只有3.4% OT资产公开承认受到影响,考虑到系统的保密性和国家安全,真正能够公开数据和案例属于少数,真实的情况可能远远大于整个数值。
资产安全属性
安全有三大属性,分别是机密性、完整性和可用性。通过描述资产的哪些属性可能受到影响,这是一种经过验证的理解事件潜在影响的方法。因此安全人员在评估安全事件时,应首要考虑“资产或数据的副本是否泄露”(机密性),“已知和可信的状态是否改变”(完整性),“组织能否继续访问”(可用性)。
数据泄露类型也是报告重点关注的方向,例如个人数据代表来自客户、合作伙伴或员工的个人身份信息(PII)。随着全球数据安全、隐私保护的力度持续增加,跨国企业的数据合规要求也在不断增加。
此外有一个数据品种引起了DBIR团队的注意:虚拟货币。今年涉及加密货币的入侵数量比去年增加了四倍,与2020年相比更是相去甚远。涉及虚拟货币的网络攻击主要是漏洞利用、凭证窃取、网络钓鱼等。在过去五年中,凭证得到了极大的普及,因此凭证窃取也成为了最受欢迎的攻击方式。实际过程中,虚拟货币攻击常常如此:交易所的应用程序或API接口被攻破,或者在聊天平台上进行钓鱼攻击,只要点击一个链接,虚拟货币钱包就不是你的了。
事件分类模式
DBIR在2014年首次引入了事件模式分类,而在每年的报告中会根据攻击类型和威胁态势的变化发生一些合并与改变。今年共分为基本Web应用程序攻击、拒绝服务、资产丢失、混合错误、特权滥用、社会工程学、系统入侵以及其他错误,共计八种分类模式。
1、系统入侵
系统入侵往往涉及更加专业的网络攻击者,他们利用自己在黑客领域的专业知识、恶意软件来实施攻击,破坏/影响不同规模的组织,并经常利用勒索攻击作为获取报酬的重要手段。一旦攻击者入侵组织,他们就会利用精湛的技能绕过控制,实现他们的目标。今年共计有3966事件系统入侵事件,其中1944起确认存在数据泄露的情况。
2、社会工程
与前一年相比,社会工程事件有所增加,很大程度上是因为商业电子邮件(BEC)攻击中经常使用伪装攻击,这几乎是去年的两倍。在这些攻击中,被盗金额的中位数几乎也是过去几年中最高的,增加至5w美元。
在该报告所分析的所有事件中,属于该模式的有1700起,其中928起确认有数据泄露的情况,其中金融类占比89%、间谍类占比11%;凭证窃取占比76%;内部错误占比28%。
3、基本Web应用程序攻击
虽然这些漏洞和事件约占我们数据集的四分之一,但它们往往主要是由针对凭证的攻击驱动的,攻击者随后利用这些被盗的凭证访问各种不同的资源。主要包括利用窃取的凭证,以及漏洞来访问组织的资产。利用和这个桥头堡,攻击者可以做跟多事情,例如窃取关键隐私信息或从存储库中的代码。在该报告所分析的所有事件中,属于该模式的有1404起,其中1315起确认有数据泄露的情况。
4、其他错误
虽然数年来大多数模式都发生了变化,但人为因素始终存在。在2015年,大多数的错误是媒体资产(文件)的错误交付,而错误配置在数据泄露事件中占了不足10%。然而,今年错误配置和错误交付已经相互融合。
但有意思的是,今年的其他错误率正在下降,从去年的13%下降至9%。2022年,在该报告所分析的所有事件中,属于该模式的有715起,其中708起确认有数据泄露的情况。而今年只有602起相关分类事件,已确认的事件有512起。
5、拒绝服务
拒绝服务是网络安全事件中最常见的一种模式类型。这种模式包括通过僵尸网络或被入侵的服务器,向目标计算机发送垃圾数据,从而制造网络堵塞与服务器瘫痪,造成拒绝服务/无法正常访问。在该报告所分析的所有事件中,属于该模式的有6248起,其中4起确认有数据泄露的情况。
6、资产窃取
对于组织来说,资产泄露或窃取的模式仍然是一个问题,大量便携的设备存储数据的能力正在大幅增长。经济利益是这类攻击的主要驱动因素,攻击者通过窃取数据等资产快速获得收益。在该报告所分析的所有事件中,属于该模式的有2091起,其中159起确认有数据泄露的情况。虽然数据泄露确认的比例不到10%,但这并不意味着安全,相反因为很多事件的数据是“处于风险之中”,而不是“确认”。
7、特权滥用
特权滥用是指使用员工的合法访问权限来窃取数据的模式。他们通常单独行动,但有时也会与他人一起行动。这种模式几乎完全是内部人员恶意使用访问特权来造成破坏,个人数据仍然是这些泄露最常见的数据类型。在该报告所分析的所有事件中,属于该模式的有406起,其中288起确认有数据泄露的情况。
结论
2023年,数据泄露事件继续狂飙,数据泄露、窃取、买卖等安全事件屡屡发生,全球数据安全态势依旧十分严峻。在实际利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变,专业化、定制化程度不断上升。在这样的情况下,传统防护体系难以抵御,如何防护新型的网络攻击是组织需要解决的难题。