近日，著名咨詢機(jī)構(gòu)Verizon發(fā)布了《2023年數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR）。該報(bào)告對(duì)過(guò)去一年發(fā)生的16312起安全事件進(jìn)行分析，其數(shù)據(jù)來(lái)源于Verizon平臺(tái)，以及世界各地的執(zhí)法、政府機(jī)構(gòu)公開(kāi)發(fā)布。

概述勒索攻擊持續(xù)增長(zhǎng)

勒索軟件繼續(xù)成為入侵行為中最主要的類型之一，雖然它沒(méi)有表現(xiàn)出高增長(zhǎng)，但在統(tǒng)計(jì)上穩(wěn)定在24%。勒索軟件在各種規(guī)模的組織中比比皆是。安全專家感嘆稱，“它幾乎無(wú)處不在：存在于大型企業(yè)、中小型企業(yè)、甚至是小微企業(yè)?！睙o(wú)論是對(duì)任何企業(yè)來(lái)說(shuō)，勒索攻擊都是一種巨大的威脅，無(wú)關(guān)于任何行業(yè)、領(lǐng)域等。

74%安全事件存在人為因素

據(jù)報(bào)告的數(shù)據(jù)顯示，74%的安全事件被證明存在人的因素，這意味著在過(guò)去一年時(shí)間里，企業(yè)員工正在屢屢出錯(cuò)，包括錯(cuò)誤使用權(quán)限、濫用特權(quán)、釣魚(yú)攻擊、身份泄露等等。這也反映出社會(huì)工程學(xué)的可怕，對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō)利潤(rùn)豐厚。這就是為什么商業(yè)電子郵件入侵(BEC)攻擊幾乎翻了一番，如圖所示，在社會(huì)工程模式中占了50%以上的事件。

(資料圖片)

86%的攻擊涉及使用被盜證書(shū)

在web應(yīng)用程序的安全事件中，報(bào)告指出86%的攻擊涉及使用被盜證書(shū)，只有10%真正存在一個(gè)實(shí)際的軟件漏洞。事實(shí)上，濫用數(shù)字證書(shū)一直是網(wǎng)絡(luò)犯罪分子常用攻擊手法，其目的是讓提高惡意軟件的合法性，從而繞過(guò)企業(yè)的安全防護(hù)措施。

在過(guò)去的一年中，超過(guò)32%的Log4j掃描活動(dòng)發(fā)生在其發(fā)布后的30天內(nèi)(最大的活動(dòng)高峰發(fā)生在17天內(nèi))。，Log4j是如此重要，以至于和其相關(guān)事件在評(píng)論部分都有“Log4j”或“CVE-2021-44228”。但是，只有20.6%的事件有評(píng)論。

多因素認(rèn)證是企業(yè)必選項(xiàng)

報(bào)告指出，任何企業(yè)都需要實(shí)施多因素認(rèn)證(MFA)，此舉將有效增加攻擊者的門檻，因?yàn)樗麄冊(cè)讷@取賬號(hào)密碼后，至少還需要具備第二個(gè)因素才能訪問(wèn)應(yīng)用程序或數(shù)字資源。誠(chéng)然，多因素認(rèn)證無(wú)法確保安全，但是對(duì)于企業(yè)來(lái)說(shuō)是一個(gè)不可或缺的安全。

釣魚(yú)和漏洞是數(shù)據(jù)泄露的主要原因

報(bào)告數(shù)據(jù)顯示，對(duì)于絕大多數(shù)企業(yè)來(lái)說(shuō)，犯罪分子對(duì)于利用數(shù)據(jù)的主要途徑依舊是憑證竊取，而在實(shí)際安全事件中，釣魚(yú)攻擊漏洞利用依舊是最主要的手段。

數(shù)據(jù)泄露的最核心動(dòng)機(jī)是經(jīng)濟(jì)利益，調(diào)查顯示至少95%的攻擊是因?yàn)榍埃@也是當(dāng)下行業(yè)普遍觀察到的規(guī)律。同時(shí)，數(shù)據(jù)泄露的規(guī)模正在增長(zhǎng)，給企業(yè)帶來(lái)的威脅也在持續(xù)增加。

結(jié)果分析網(wǎng)絡(luò)攻擊者

如圖所示，在所有的安全事件中，外部參與者占比高達(dá)83%，而內(nèi)部參與者則占19%。

值得一提的是，在這些情況下，內(nèi)部行為者不僅要為蓄意的攻擊負(fù)責(zé)，而且他們還要為錯(cuò)誤的行為負(fù)責(zé)。根據(jù)歷年的報(bào)告數(shù)據(jù)，外部行為者作為入侵發(fā)起者的明顯頻率一直保持穩(wěn)定。

報(bào)告數(shù)據(jù)顯示，財(cái)務(wù)動(dòng)機(jī)仍然是絕大多數(shù)安全事件的驅(qū)動(dòng)因素，與去年相比繼續(xù)保持增長(zhǎng)，安全事件的比例高達(dá)94.6%。有趣的是，我們觀察終端來(lái)自用戶內(nèi)部的各種違規(guī)行為，比外部的國(guó)家支持的攻擊者出現(xiàn)的更頻繁，這些組織員工大多涉及誤用和錯(cuò)誤，表明組織應(yīng)該在日常安全管理方面給予更多關(guān)注。

由于俄羅斯與烏克蘭之間的持續(xù)沖突，國(guó)家支持的攻擊活動(dòng)將會(huì)增加，無(wú)論是否與間諜行為有關(guān)。也許意識(shí)形態(tài)或與黑客主義相關(guān)的攻擊活動(dòng)有所增加，這種政治因素雖然存在，但從更大的統(tǒng)計(jì)角度來(lái)看，這并沒(méi)有造成影響，至少不會(huì)對(duì)普通企業(yè)和用戶造成影響。

安全事件類型

不出所料，排名靠前的要么是第一階段攻擊，要么是單階段攻擊，即使用竊取的信用來(lái)進(jìn)行破壞，而拒絕服務(wù)來(lái)處理事件。這與往年的情況是一致的。令人擔(dān)憂的是，勒索軟件在事件中占據(jù)了第二位，目前占所有事件的15.5%。與此同時(shí)，勒索軟件在入侵中的份額并沒(méi)有增長(zhǎng)，而是穩(wěn)定地保持在24%。

在有組織犯罪分子實(shí)施的攻擊事件中，超過(guò)62%的事件涉及勒索軟件，59%的事件涉及經(jīng)濟(jì)動(dòng)機(jī)。值得注意的是，與去年的“軟件供應(yīng)鏈末日”相比，今年沒(méi)有供應(yīng)商和軟件供應(yīng)鏈作為事件的行動(dòng)向量。

相反，全球在都在Log4j漏洞下瑟瑟發(fā)抖。雖然實(shí)際上的破壞沒(méi)那么突出，但是幾乎所有的安全人都犧牲了自己的假期，在公司內(nèi)24小時(shí)值守待命。在這一次事件中，社區(qū)迅速采取了行動(dòng)，將以Log4j作為組件的不同系統(tǒng)進(jìn)行快速修復(fù)，避免了更大的災(zāi)難。

組織資產(chǎn)損失

報(bào)告列出了受入侵影響的各種資產(chǎn)的分類，包括Server/Person/User/Network/Media等，考慮到系統(tǒng)入侵、基本W(wǎng)eb應(yīng)用程序攻擊和社會(huì)工程是今年最主要的攻擊模式，其結(jié)果與預(yù)期基本一致。值得一提的是，人也是組織的核心資產(chǎn)之一，是組織的最后一道防線，且在未來(lái)幾年內(nèi)會(huì)繼續(xù)保持在第二的位置，而服務(wù)器一直排在第一位。

在進(jìn)一步的細(xì)分類中，Web應(yīng)用程序和郵件服務(wù)器是影響最大的兩類資產(chǎn)，這也和我們觀察到的現(xiàn)象一致。但有趣的是，隨著社會(huì)工程學(xué)的陸續(xù)發(fā)展，個(gè)人財(cái)務(wù)資產(chǎn)從去年開(kāi)始呈現(xiàn)上升趨勢(shì)。

和IT行業(yè)相比，OT領(lǐng)域雖然占比較少但同樣受到影響。隨著計(jì)算機(jī)技術(shù)大規(guī)模應(yīng)用至傳統(tǒng)工控組織、關(guān)基組織，OT遭受攻擊的可能性在上升，其中制造業(yè)、采礦業(yè)、采石業(yè)、油氣開(kāi)采和公用事業(yè)等行業(yè)具有代表性。

報(bào)告數(shù)據(jù)顯示，只有3.4% OT資產(chǎn)公開(kāi)承認(rèn)受到影響，考慮到系統(tǒng)的保密性和國(guó)家安全，真正能夠公開(kāi)數(shù)據(jù)和案例屬于少數(shù)，真實(shí)的情況可能遠(yuǎn)遠(yuǎn)大于整個(gè)數(shù)值。

資產(chǎn)安全屬性

安全有三大屬性，分別是機(jī)密性、完整性和可用性。通過(guò)描述資產(chǎn)的哪些屬性可能受到影響，這是一種經(jīng)過(guò)驗(yàn)證的理解事件潛在影響的方法。因此安全人員在評(píng)估安全事件時(shí)，應(yīng)首要考慮“資產(chǎn)或數(shù)據(jù)的副本是否泄露”(機(jī)密性)，“已知和可信的狀態(tài)是否改變”(完整性)，“組織能否繼續(xù)訪問(wèn)”(可用性)。

數(shù)據(jù)泄露類型也是報(bào)告重點(diǎn)關(guān)注的方向，例如個(gè)人數(shù)據(jù)代表來(lái)自客戶、合作伙伴或員工的個(gè)人身份信息(PII)。隨著全球數(shù)據(jù)安全、隱私保護(hù)的力度持續(xù)增加，跨國(guó)企業(yè)的數(shù)據(jù)合規(guī)要求也在不斷增加。

此外有一個(gè)數(shù)據(jù)品種引起了DBIR團(tuán)隊(duì)的注意:虛擬貨幣。今年涉及加密貨幣的入侵?jǐn)?shù)量比去年增加了四倍，與2020年相比更是相去甚遠(yuǎn)。涉及虛擬貨幣的網(wǎng)絡(luò)攻擊主要是漏洞利用、憑證竊取、網(wǎng)絡(luò)釣魚(yú)等。在過(guò)去五年中，憑證得到了極大的普及，因此憑證竊取也成為了最受歡迎的攻擊方式。實(shí)際過(guò)程中，虛擬貨幣攻擊常常如此：交易所的應(yīng)用程序或API接口被攻破，或者在聊天平臺(tái)上進(jìn)行釣魚(yú)攻擊，只要點(diǎn)擊一個(gè)鏈接，虛擬貨幣錢包就不是你的了。

事件分類模式

DBIR在2014年首次引入了事件模式分類，而在每年的報(bào)告中會(huì)根據(jù)攻擊類型和威脅態(tài)勢(shì)的變化發(fā)生一些合并與改變。今年共分為基本W(wǎng)eb應(yīng)用程序攻擊、拒絕服務(wù)、資產(chǎn)丟失、混合錯(cuò)誤、特權(quán)濫用、社會(huì)工程學(xué)、系統(tǒng)入侵以及其他錯(cuò)誤，共計(jì)八種分類模式。

1.系統(tǒng)入侵

系統(tǒng)入侵往往涉及更加專業(yè)的網(wǎng)絡(luò)攻擊者，他們利用自己在黑客領(lǐng)域的專業(yè)知識(shí)、惡意軟件來(lái)實(shí)施攻擊，破壞/影響不同規(guī)模的組織，并經(jīng)常利用勒索攻擊作為獲取報(bào)酬的重要手段。一旦攻擊者入侵組織，他們就會(huì)利用精湛的技能繞過(guò)控制，實(shí)現(xiàn)他們的目標(biāo)。今年共計(jì)有3966事件系統(tǒng)入侵事件，其中1944起確認(rèn)存在數(shù)據(jù)泄露的情況。

2.社會(huì)工程

與前一年相比，社會(huì)工程事件有所增加，很大程度上是因?yàn)樯虡I(yè)電子郵件（BEC）攻擊中經(jīng)常使用偽裝攻擊，這幾乎是去年的兩倍。在這些攻擊中，被盜金額的中位數(shù)幾乎也是過(guò)去幾年中最高的，增加至5w美元。

在該報(bào)告所分析的所有事件中，屬于該模式的有1700起，其中928起確認(rèn)有數(shù)據(jù)泄露的情況，其中金融類占比89%、間諜類占比11%；憑證竊取占比76%；內(nèi)部錯(cuò)誤占比28%。

3.基本W(wǎng)eb應(yīng)用程序攻擊

雖然這些漏洞和事件約占我們數(shù)據(jù)集的四分之一，但它們往往主要是由針對(duì)憑證的攻擊驅(qū)動(dòng)的，攻擊者隨后利用這些被盜的憑證訪問(wèn)各種不同的資源。主要包括利用竊取的憑證，以及漏洞來(lái)訪問(wèn)組織的資產(chǎn)。利用和這個(gè)橋頭堡，攻擊者可以做跟多事情，例如竊取關(guān)鍵隱私信息或從存儲(chǔ)庫(kù)中的代碼。在該報(bào)告所分析的所有事件中，屬于該模式的有1404起，其中1315起確認(rèn)有數(shù)據(jù)泄露的情況。

4.其他錯(cuò)誤

雖然數(shù)年來(lái)大多數(shù)模式都發(fā)生了變化，但人為因素始終存在。在2015年，大多數(shù)的錯(cuò)誤是媒體資產(chǎn)(文件)的錯(cuò)誤交付，而錯(cuò)誤配置在數(shù)據(jù)泄露事件中占了不足10%。然而，今年錯(cuò)誤配置和錯(cuò)誤交付已經(jīng)相互融合。

但有意思的是，今年的其他錯(cuò)誤率正在下降，從去年的13%下降至9%。2022年，在該報(bào)告所分析的所有事件中，屬于該模式的有715起，其中708起確認(rèn)有數(shù)據(jù)泄露的情況。而今年只有602起相關(guān)分類事件，已確認(rèn)的事件有512起。

5.拒絕服務(wù)

拒絕服務(wù)是網(wǎng)絡(luò)安全事件中最常見(jiàn)的一種模式類型。這種模式包括通過(guò)僵尸網(wǎng)絡(luò)或被入侵的服務(wù)器，向目標(biāo)計(jì)算機(jī)發(fā)送垃圾數(shù)據(jù)，從而制造網(wǎng)絡(luò)堵塞與服務(wù)器癱瘓，造成拒絕服務(wù)/無(wú)法正常訪問(wèn)。在該報(bào)告所分析的所有事件中，屬于該模式的有6248起，其中4起確認(rèn)有數(shù)據(jù)泄露的情況。

6.資產(chǎn)竊取

對(duì)于組織來(lái)說(shuō)，資產(chǎn)泄露或竊取的模式仍然是一個(gè)問(wèn)題，大量便攜的設(shè)備存儲(chǔ)數(shù)據(jù)的能力正在大幅增長(zhǎng)。經(jīng)濟(jì)利益是這類攻擊的主要驅(qū)動(dòng)因素，攻擊者通過(guò)竊取數(shù)據(jù)等資產(chǎn)快速獲得收益。在該報(bào)告所分析的所有事件中，屬于該模式的有2091起，其中159起確認(rèn)有數(shù)據(jù)泄露的情況。雖然數(shù)據(jù)泄露確認(rèn)的比例不到10%，但這并不意味著安全，相反因?yàn)楹芏嗍录臄?shù)據(jù)是“處于風(fēng)險(xiǎn)之中”，而不是“確認(rèn)”。

7.特權(quán)濫用

特權(quán)濫用是指使用員工的合法訪問(wèn)權(quán)限來(lái)竊取數(shù)據(jù)的模式。他們通常單獨(dú)行動(dòng)，但有時(shí)也會(huì)與他人一起行動(dòng)。這種模式幾乎完全是內(nèi)部人員惡意使用訪問(wèn)特權(quán)來(lái)造成破壞，個(gè)人數(shù)據(jù)仍然是這些泄露最常見(jiàn)的數(shù)據(jù)類型。在該報(bào)告所分析的所有事件中，屬于該模式的有406起，其中288起確認(rèn)有數(shù)據(jù)泄露的情況。

結(jié)論

2023年，數(shù)據(jù)泄露事件繼續(xù)狂飆，數(shù)據(jù)泄露、竊取、買賣等安全事件屢屢發(fā)生，全球數(shù)據(jù)安全態(tài)勢(shì)依舊十分嚴(yán)峻。在實(shí)際利益的驅(qū)動(dòng)下，犯罪團(tuán)伙和黑灰產(chǎn)大肆竊取組織數(shù)據(jù)，外部攻擊呈現(xiàn)出高頻、高危害的特點(diǎn)，攻擊手法日益復(fù)雜、多變，專業(yè)化、定制化程度不斷上升。在這樣的情況下，傳統(tǒng)防護(hù)體系難以抵御，如何防護(hù)新型的網(wǎng)絡(luò)攻擊是組織需要解決的難題。

關(guān)鍵詞：