深度解读:Verizon 2020年数据泄露调查报告

时间:2020-06-18


Verizon报告的事件来源:Verizon研究咨询中心(VTRAC)、合作伙伴、其它组织、互联网公开披露的事件等。


· 今年数据泄露调查报告的研究对象增大

本次的Verizon报告相较于过去两年,采用更多的事件做研究分析支撑,趋势分析会更加接近准确:

  • 2018年数据泄露调查报告:53,000起事件(其中2,216起数据泄露事件)

  • 2019年数据泄露调查报告:41,686起事件(其中2,013起数据泄露事件)

  • 2020年数据泄露调查报告:157,525起事件(32,002起事件符合报告分析的要求,其中3,950起被确认为数据泄露事件)


· 各类攻击来源占比相对稳定,部分有小幅上升/下降

1、根据Verizon近三年的数据泄露报告来看,外部入侵依然是数据泄露的最大来源。
image.png

  • 一直以来,“外部入侵”始终是数据泄露事件背后最热门的手段之一,但内部数据泄露事件仍然值得各行业、各单位重点关注。


  • 有组织的犯罪团伙。这类群体的数量远远大于其它可能导致数据泄漏的组织/个人,但通过Verizon的报告来看,此类犯罪团伙中大部分黑客可能是无意中成为犯罪分子,事实上,这群人缺乏职业发展规划,对未来没有明确的方向,如果给予适当的说服和激励措施,他们很有可能可以远离黑暗,并被纳入安全人才库。

 2、各类攻击手段此起彼伏,形势依然严峻

image.png

  • 从上图可以看出,唯一一种逐年递增的行为类型是错误,人会经常犯错误,如错误操作、错误配置等,这些错误通常是由安全研究人员和第三方发现的,其中错误配置相比于上一年增加了2倍多。


  • 黑客攻击数量仍然接近过去几年统计的水平,但社交网络攻击、物理攻击、特权账户滥用等行为的攻击占比小幅度下降,这个下降比例可以忽略。但从黑客的攻击行为看,超过80%的数据泄露事件中,黑客使用了暴力破解凭证、使用丢失/盗窃的凭证(简单的如“admin/admin”或“root/ hunter2”等),其余还有使用后门或C&C服务器、桌面共享软件、命令窗口、漏洞攻击(如SQL注入、PHP注入漏洞)等攻击手法。


  • 恶意软件在近几年有所下降,Verizon认为并不是因为恶意软件的数量在减少,而是因为黑客可以在日常攻击和社交网络攻击中窃取凭证获益,而无需靠添加恶意软件来维持数据泄露的通道。常见的恶意软件有密码转储程序、app数据捕获、勒索软件、下载器、木马等,黑客常常通过电子邮件、网络链接、网络传播等方式诱导受害者安装这些恶意软件。


  • 如上所述,勒索软件也成为当前数据泄露的手段之一,数据加密不一定会导致数据泄露,但勒索攻击事件的成功意味着相关凭证的泄露/丢失,同时除了软件自身可以在受害者服务器中安装,受害者的个人信息也可以随意被黑客访问。值得一提的是,目前出现了诸多“勒索服务”,大大降低了入侵的门槛,黑客只须租赁勒索服务即可实现勒索攻击,受害者往往难以采取有效的措施进行拦截。


  • 特权滥用,包括“误用”行为,即内部员工操作安全事件发生的恶意行为,虽然图中显示2019年有所下降,但Verizon认为这并不能说明实际中这类比例也相应下降(与分析的数据粒度有关),其预测在2021年,特权滥用的现象依然严重。

3、攻击意图有针对性,各行各业需要严加防范


image.png

  • 出于“财务动机”,即盗卖数据等行为是当前数据泄露事件普遍存在的动机。

  • WEB应用程序漏洞导致的数据泄露现象也不容忽视,当今随着黑客群体、黑客水平的不断提高,加之社交媒体披露的更多漏洞信息,使得漏洞的利用门槛大大降低,数据泄露事件此起彼伏。

4、数据泄露的受害者


  • 数据泄露影响的行业十分广泛,如住宿、零售行业、教育、金融、信息、制造业、政府部门等。

  • 僵尸网络主要攻击金融、信息和专业服务垂直市场。所有这些行业都应该关注客户和自身的安全。

关于行业

以下为各行业的数据泄露相关信息,包括分析的攻击事件及数据泄露的事件数量、占比较大的攻击手段、威胁来源、驱动因素、泄露的数据信息。


image.png

住宿和餐饮服务行业

  • 在此行业中,使用恶意软件(犯罪软件和PoS都依赖于恶意软件)进行攻击的事件相对较多,除此之外,还有今年流行的网络应用程序(包括窃取凭证信息、漏洞利用)。


  • 住宿和餐饮服务行业中的PoS攻击方式自2015年调查以来超过80%的占比下降到了16%,呈连年下降的趋势,这很可能也表明了一种趋势:相比于需要长期潜伏在受害者的网络中进行持续攻击、传播病毒,黑客通过部署勒索软件会更能够快速地获得金钱变现,尤其是对于支付数据如此丰富的行业,黑客的野心会更大。通常情况下,在此行业中除了支付数据被泄露,附带的还有个人数据。

艺术、娱乐和休闲

  • 文娱行业中,网络应用程序攻击占位榜首(尤其是DDOS攻击),其次还有社会工程攻击和杂项错误。不得不说DDOS攻击,这个行业在2019年遭受了史无前例的DDOS攻击,北美工业分类制度(NAICS)中所涉及的在线**业也许是推动这一趋势的群体。


  • 造假者的愚弄。在信息化的长河中,电子通信的合法性依然是重中之重,如今文娱行业中还存在诸多社会工程学主导的使用各类伪造身份进行攻击、欺诈的事件。


  • 2019年,恶意软件在文娱行业中也是罪魁祸首之一,增长幅度最大的为勒索软件的传播,恶意软件还包括一些其它的危害,如捕获用户应用程序的数据、协助黑客进入系统获取隐私数据,并且留下蠕虫病毒在受害者网络环境中传播。通常这些恶意软件通过网络服务器、邮件传播。

建筑业

  • 建筑业是拉动经济增长的一大行业之一,支撑着国家的基础设施,但实际中考虑安全时,建筑业却是最容易被忽视的一个行业。根据Verizon对于少数事件进行统计,发现大多数案件出于经济动机,通常是由有组织的犯罪集团实施。如黑客可以通过构建虚假的网络环境、网络钓鱼等方式诱导受害者,于此同时,勒索病毒也逐渐在建筑行业中盛行。


  • 社会工程学在建筑行业中也相对较多,黑客可以让建筑企业的员工在网页上输入账户密码、下载各种恶意软件等各种手段诱导员工向他们汇钱,而事实证明,建筑行业的员工会比普通人更加容易上当。


  • 建筑行业中员工将账户密码重复应用于多个平台(包括专业账号、个人账号),会增加组织的风险,有效应对措施之一是多因素身份验证方法,确保即使丢失凭据,也无法对基础架构造成进一步的威胁。


  • 相比于其他行业,可以看出内部威胁在此行业中所占的比例较少,通常我们认为违规有恶意的误用和意外的操作两类,但无论从哪种手段来看,占比均小。

教育行业

  • 与其它行业一样,网络钓鱼也是事件攻击在教育行业的手段之一。

金融和保险

  • 金融和保险行业一直以来都是出于经济动机的有组织犯罪分析的最爱,毋庸置疑,web应用程序攻击和杂项错误是导致黑客的最热门手段。在此行业中,内部攻击的占比相对较大,尽管报告中显示“滥用权责”的比例大幅度下降,但并不表示现实中这类现象有所缓和,相反,比例的下调是由于诸多“滥用权责”事件没有被暴露,依然需要引起重视。


  • 金融和保险行业存在的另一大安全隐患即是邮件的错误发送,例如在发送邮件前,“收件人:”一栏自动填充陌生的收件人,甚至是群发,具体的损失取决于电子邮件附带的文件重要等级,以及邮件的发送范围。

  • 配置错误也是金融和保险行业的一大安全隐患之一,管理员可能会在本地/云上错误配置防火墙,动机绝大多数是粗心大意。

  • 还有一种攻击不可被忽视,即钓鱼攻击,黑客通常会使用伪装公司管理层的钓鱼邮件欺骗正式员工支付金钱,往往在诸多组织中,员工安全是整体建设最薄弱的环节,一般员工丝毫不会质疑邮件的真实性,给了黑客有机可乘的机会,这类攻击的目的几乎是来源于经济驱动,少量为间谍活动。

医疗保健和社会保障

  • 医疗保健和社会保障领域的数据泄露事件与去年的304起相比,大幅增加。同时,其仍然是内部恶意行为者数量最多的行业之一,而医疗数据、个人数据、个人凭证都是其觊觎的信息。但是,往往这类滥用职权的内部人员并不会破坏系统本身或对系统造成显而易见的伤害,其更倾向于少量、多次的数据提取及盗卖,买方可以用这些数据对医疗行业的其它内部人员进行财务欺诈,这类现象往往很难被发现,潜伏的时间也相对较久。


  • 其次,随着医疗行业向患者开放越来越多的门户、使用越来越多新的技术方式与患者互动,使得网络应用程序攻击持续成为常见的攻击手段之一。


  • 医疗行业中也不容忽视网络钓鱼攻击,黑客常常会制造虚假的场景欺骗员工,达到成功转移其资产的目的(可以通过电子汇款、礼品卡或其它方式)。

信息行业

  • 在信息行业中,无论从原始的事件数量还是从所占的百分比来看,利用网络应用程序进行攻击的事件数量攀升,黑客通常利用网络漏洞和窃取凭证的手段来获取应用程序的访问权利,以进行进一步的攻击,这一现象和趋势需要引起重视。


  • 错误也是第二类常见的违规类型,在信息领域中,错误配置常常最频繁,主要与数据库、文件存储不安全,以及使用云服务的过程中暴露弱点有关。


  • 对网络带宽的攻击。黑客深知网络带宽对于消费者的巨大影响,因此其常常通过DOS攻击来破坏服务能力,而信息行业面临着排名第二高的平均BPS,这也意味着这些攻击往往是致命的,因此保障高可用性是至关重要的。

制造业

  • 制造业一直是黑客梦寐以求的网络攻击目标,其中包含大量可供攻击者窃取的宝贵数据。而使用犯罪软件是最主要的攻击手段,如密码转储器、捕获应用程序数据和下载器等,黑客的常见思路用通俗的语言表达,即获取凭证、渗透网络、下载软件、获取数据。


  • 其次,网络应用程序攻击也是主要的威胁之一,黑客利用窃取的凭证来使用企业中的各类应用程序,这些凭证通常是通过黑客的网络钓鱼攻击中的恶意链接获取的。


  • 误用,例如内部人员的误操作、越权操作也是制造业中面临的威胁,通常他们会使用合法的访问权限做一些违法、不合规的事情,甚至做一些高危操作(增、删、改),其中最典型的例子有:通过个人电子邮件发送公司的数据、将数据放在云上以便在家办公。


  • 攻击来源中,来自于地区/民族的黑客占比38%,来自于间谍/竞争产商的黑客占比28%,通常在制造业中,含有超高价值的设计信息可以被拷贝。

采矿、采石、石油和天然气开采与公共事业

  • 在这类行业中,其它攻击方式(主要是网络钓鱼主导,动机主要是获取经济利益)、网络应用和网络间谍都是较为频繁的入侵模式,很难判断哪种攻击手段更为普遍。


  • 在此行业中,出于间谍动机的违法行为占比8%-43%,需要引起特别重视。


  • 拥有漏洞的web应用程序基础架构也是隐患之一,黑客可以通过工具发现、利用这些漏洞,因此需要持续修补补丁。

其他服务(除公共管理以外)

  • 内部人员如系统管理员/数据库管理员可以大量访问数据给数据安全造成了极大的威胁,包括在云平台上建立数据实例却无有效措施进行严格的访问控制。


专业、科学和技术服务

  • 这类群体十分广泛,如律师、会计师、建筑师、各类研究实验室和咨询公司等,主要面向客户提供服务,很长一段时间内,由于其中存储着大量的个人隐私信息,Web应用程序攻击模式会依然保持频繁。

公共管理

  • 勒索软件是最常见的攻击手段之一,占比61%。

零售行业

  • 对零售行业的攻击几乎是出于财务动机,黑客们试图从零售行业获取大量的支付卡数据,其次是个人数据(个人数据的获取有助于其实施进一步的金融欺诈)。这些数据常常被打包售卖。


  • 近几年,随着网络支付方式的改变,黑客的攻击手法也随之改变,如攻击对象从PoS设备和控制器转向了网络应用,但PoS设备依然是攻击的主流对象之一。


  • 零售行业中已被窃取的凭证和薄弱的网络应用程序基础设施是引起数据泄露的起因之一,我们通常认为别人丢失的凭证与自己无关,事实上,黑客可以从他人丢失的凭证来对付新的受害者。同时,我们需要额外注意漏洞的修补,需要及时、高效地处理,否则会引起SQL注入、PHP和本地文件注入等问题。



  • 文章来源:美创科技

联系老师 微信扫一扫关注我们 15527777548/18696195380 在线咨询
关闭