Maria Korolov

Verizon日前公布了其《數(shù)據泄露報告》。該報告基于全球67個機構，包括安全人員和執(zhí)法部門發(fā)生的53000起安全事件，對去年的安全漏洞進行了深入而廣泛的分析研究。

導致泄露的最常見的攻擊類型為對被盜證書的惡意使用，其次是內存抓取，再次是釣魚和權限濫用。盡管如此，為了給受害公司帶來損失，攻擊不一定非要制造數(shù)據泄露事件。

勒索軟件概況

這份報告的重點為勒索軟件。在去年的報告中，勒索軟件為第五大與安全事件有關聯(lián)的常見惡意軟件類型，而在今年的報告中，勒索軟件的排名已經上升到了首位。該報告的共同作者，Verizon信息安全數(shù)據科學家、研究員兼架構師 Gabriel Bassett 稱：“在與惡意軟件有關的安全事件中，39%的事件涉及這類軟件。”

此外，勒索軟件已經不再僅僅將目標鎖定為用戶桌面。為了勒索更高的贖金和攫取更多的犯罪利益，攻擊者正逐步將目標轉向關鍵的業(yè)務系統(tǒng)。

這些并不代表勒索軟件已經成為了組織機構在去年面對的最大類型的攻擊。拒絕服務（DoS）攻擊是常見攻擊的27倍。意外損失和錯誤也是安全事件中的常見因素，如釣魚攻擊。

Bassett指出，勒索軟件并不是造成數(shù)據泄露的一個因素，因為它們通常與任何數(shù)據外泄都沒有聯(lián)系。DoS攻擊也與許多數(shù)據泄露無關。實際上，雖然我們常常聽到攻擊者使用DoS攻擊來掩蓋數(shù)據竊取行為的說法，但是在今年的數(shù)據中僅有一起數(shù)據泄露涉及DoS攻擊。

在這起數(shù)據泄露事件中，DoS攻擊也沒有被用于掩護數(shù)據竊取行為，它們是以另外一種方式被加以利用，即數(shù)據泄露導致資產被盜用，進而這些被盜用的資產被用于發(fā)動分布式拒絕服務攻擊（DDoS）。

在DDoS攻擊方面，隨著時間的推移，攻擊規(guī)模正由中等程度向小型化轉變，大部分攻擊的時間正在縮短，僅持續(xù)數(shù)分鐘。呈現(xiàn)上升趨勢的是放大攻擊的百分比，由2013年的25%穩(wěn)步上升到了目前的80%。

在放大攻擊中，黑客利用系統(tǒng)漏洞放大了發(fā)送給受害者的信息的數(shù)量或規(guī)模。Bassett 稱：“這就引出了一個問題，而這對于IT行業(yè)以及希望看到這份報告的人而言尤為重要。那就是，不要成為這一問題當中的一部分?！?/p>

例如，在公司披露web應用帶有已知漏洞后，攻擊者就能夠利用這些漏洞。另一些被DDoS攻擊者使用的向量包括DNS和NTP服務。他稱：“攻擊者將你的基礎設施變成了他們的基礎設施，使用你的設備攻擊別人。這是一個重要的考慮事項。你可能并不是系統(tǒng)被侵害的唯一受害者。”

外國網絡間諜

雖然去年的許多新聞都充斥著俄羅斯黑客的消息，但是政府和與政府有聯(lián)系的人僅占已識別黑客數(shù)量的14%。62%的攻擊者與有組織犯罪有關聯(lián)，20%的攻擊者與任何組織都沒有聯(lián)系。

經濟上的收益是這些攻擊者的最大動機，約占數(shù)據泄露事件的76%。間諜活動是排名第二的動機，約占數(shù)據泄露事件的13%。這一數(shù)據與去年相比已經有了大幅下降，當時21%的數(shù)據泄露事件是由網絡間諜造成的。

Bassett稱，與網絡間諜相關的數(shù)據泄露并不僅僅是在百分比上出現(xiàn)了下降，其絕對值也同時出現(xiàn)了下降。今年的報告時間涵蓋范圍為2016年11月至2017年10月。這段時間內與網絡間諜相關的數(shù)據泄露事件為171起。而在上一年度的報告中，與網絡間諜相關的數(shù)據泄露事件為292起。

他指出，由于許多數(shù)據泄露事件并不會立即被發(fā)現(xiàn)，因此在這些事件中，有一些在近期才被披露出來。例如，與網絡間諜有關的數(shù)據泄露可能并不會像出現(xiàn)在網上黑市上的被盜信用卡號那樣馬上產生影響。

在今年的報告中，網絡間諜攻擊的主要行業(yè)——制造、公共部門、教育的數(shù)據泄露事件在數(shù)量上均出現(xiàn)了下降。而在去年的報告中，所有數(shù)量都比上一年度有所增加。

Bassett稱，去年的網絡間諜攻擊未必都與DNC泄露和2016年其他備受矚目的攻擊有關聯(lián)。他還表示，對單一機構的攻擊無論會造成多大的影響都被僅按一次數(shù)據泄露事件統(tǒng)計。但是盡管如此，對一個PoS技術廠商的攻擊可能會導致大量的零售機構出現(xiàn)數(shù)據泄露事件。

與此同時，與單獨的行業(yè)垂直領域故障率相比，所有行業(yè)受到網絡間諜攻擊的平均值并沒有什么用處?！拔艺J為，我們有時候會為了整個森林而錯過了一些樹?？偟膩碚f，網絡間諜行為毫無疑問是第二大動機。雖然低于經濟動機，但是高于其他的動機。零售業(yè)中與網絡間諜行為有關的數(shù)據泄露已經下降了約12倍，而在制造業(yè)和政府機構中，因網絡間諜行為導致的數(shù)據泄露仍占其數(shù)據泄露事件的一半左右?！?/p>

例如，在公共部門，與網絡間諜有關的數(shù)據泄露事件在今年高于因其他網絡攻擊形式導致的數(shù)據泄露。此外，網絡間諜行為也是制造業(yè)中最為常見的數(shù)據泄露因素。

通過觀察產生重大影響的攻擊，Bassett發(fā)現(xiàn)攻擊者已經開始專攻一些行業(yè)領域?！安煌男袠I(yè)就如同不同的孤島?！彼跃频攴諛I(yè)為例稱，“在住宿方面，我們看到PoS數(shù)據泄露正成為一個重大趨勢。攻擊者在他們擅長的領域發(fā)動攻擊可以花最少的精力獲得最大的回報?！?/p>

侵害路徑比人們預想的要短

Verizon在今年首次開始繪制從攻擊者最初入侵到最終數(shù)據泄露的路徑。這需要收集事件鏈條中的數(shù)據。Bassett稱，迄今為止，數(shù)據集還不足以通過行業(yè)或攻擊者類型進行細致的分析，也不足以進行歷史比對。

目前最大的收獲是多數(shù)攻擊并不是按照以往人們認為的需要經過偵察、初次侵害、權限提升、橫向擴展、數(shù)據收集、指揮控制、數(shù)據外泄這一多步驟的鏈條實現(xiàn)的。實際上，多數(shù)攻擊路徑都非常短。Bassett 稱：“大多數(shù)的攻擊只有一到兩個步驟?！?/p>

這一研究結果與數(shù)據泄露是長期而復雜的事件的主流觀點相左。Bassett將其比喻為高爾夫球，場地設計者希望選手經過一個較長且充滿障礙的路徑到達球洞，如積水區(qū)和沙坑等。但是如果選手能夠保持一桿進洞，那么這些障礙沒有一個能夠發(fā)揮阻擋作用。

電子郵件是最薄弱的環(huán)節(jié)

釣魚、冒充老板詐騙（CEO fraud）等社區(qū)攻擊在過去幾年一直呈上升勢頭，比重從2010年不足10%已經發(fā)展到在2017年的報告中占到了近40%。

今年這一趨勢出現(xiàn)了下降。在最新的關于社交策略的報告中，這一部分導致的數(shù)據泄露僅占17%。實際上，報告顯示，大多數(shù)人從未點擊過釣魚郵件。模擬釣魚攻擊得出的分析結果表明，78%的人全年都不會點擊一封釣魚郵件，但是只要一個人點擊就會讓攻擊者得逞。

盡管如此，以財務為幌子的攻擊正在上升，由去年的61起上升至今年的170起，其中很大一部分攻擊將目標鎖定為HR員工。電子郵件也是惡意軟件傳播的最常見形式。報告稱，92%的被發(fā)現(xiàn)的惡意軟件是通過電子郵件形式傳播的，其次是通過web瀏覽器，約占6%。Bassett 稱：“如果你正在運營一個機構并惹來惡意軟件，那么你知道它們會在哪里?！?/p>

該報告的目的是給安全人員提供可行動的情報。作為其中的一部分，Verizon列出了最常見的帶有惡意軟件的文件類型。其中最常見的是JavaScript，占總數(shù)的37%；其次是Visual Basic，占21%；Windows可執(zhí)行文件占15%，微軟Office文件占14%。

與去年一樣，Verizon建議讓補丁程序保持最新，加密敏感數(shù)據，使用雙因素認證。雖然去年與未修補漏洞有關的數(shù)據泄露僅占6%，但是其中有一起是當年最大的數(shù)據泄露事件，即Equifax數(shù)據泄露事件，事件導致近1.5億條記錄被泄露。

相比之下，與被盜證書有關的數(shù)據泄露事件占22%，這使得其成為了主要的行為類型。Verizon 在報告中指出“密碼本身就存在不足，這與長度或復雜性無關?！眻蟾孢€將默認密碼和容易破解的密碼等同于未設密碼，并指出這種情況非常普遍。