根据Verizon周二发布的一份报告显示,尽管大多数的数据泄露是由经济利益驱使引发的网络犯罪攻击,但网络间谍也同样要为大量的数据盗窃事件负责。
Verizon的2013年数据泄露调查报告(DBIR)涵盖了全球2012年间公司风险小组和其它十八家组织机构的数据泄露事件调查,其中包括国家计算机应急响应小组(CERTs)和执法机构。
这份报告的信息来自于超过47000例安全事件和621例确认的数据泄露事件导致的至少四千四百万被影响的记录。
除了含有最大数量的数据来源,这份报告也是Verizon第一次包含有政府背景的网络间谍攻击致使数据泄露的信息。报告中这种以知识产权为攻击目标的事件占据了数据泄露事件的20%。
Jay Jacob,一个来自于Verizon RISK小组的高级分析员,表示超过95%的网络间谍攻击来自于中国。他说在这些泄露数据回到已知的中国黑客团体后,小组尝试全面地将相关属性和使用不同的已知指标来联系技术和恶意软件。
然而,那些网络间谍攻击仅仅只来自于中国的假设是天真而幼稚的,Jacobs说,“事实就是从2012年我们搜集到的数据来看,来自于中国的行动者只是比别的地方更多一些而已。”
这些攻击更有意思的方面是,他们以组织机构的规模和行业来定下目标从而决定战术的使用类型。
“通常我们数据集的泄露是由于受到经济利益的驱使,所以被攻击目标通常包括了零售业,餐馆,食品服务型公司,银行和金融机构,”Jacobs说。“所以当我们看到间谍案件,会突然发现这些产业会被放在名单的底部,并且我们看到的绝大多数是以拥有大量的知识产权的产业作为目标的,像是来自于制造业和专业服务产业,计算机和工程咨询公司等等机构。”
分析师说,在对付网络间谍的经验方面有一个令人惊讶的发现,大型机构和小型机构在这上面是平分秋色的。
“当我们想到间谍,我们想到的是大公司和他们拥有的知识产权,但是许多小机构因为同样的要求策略也被当成了目标,”Jacobs说。
这些间谍团体有很多包括目标挑选在内的情报交流会,Jacobs说。“我们认为他们之所以会选择小型机构是因为它们是大机构的子机构或者是在与大机构合作。”
纵观一下网络间谍活动,报告显示,在数据泄露事件中75%是由于经济利益驱使导致的网络犯罪,而黑客活动分子占据了剩下的5%。
这份报告一个值得注意的发现是现在来自于行动者的威胁是他们以有效证书为目标,Jacobs说。他表示五分之四的泄露是由于攻击者偷窃有效证书来保证存在于受害者的网络上。
“我认为如果我们转换成双因素验证并且停止过分依赖密码,我们可能会看到此类攻击次数的减少或最终迫使攻击者来改变一些他们的技术方法,”Jacobs说,“这将有希望能开始提高一些在单因素基于密码验证问题上的普遍信心。”
52%的数据泄露事件涉及黑客行为,40%涉及使用恶意软件,35%的使用物理攻击——例如ATM略读——而29%的泄露是因为使用社交策略,比如网络欺诈。
2012年包含网络欺诈在内的数据泄露数量与往年相比高出了四倍,这也可能是因为在有针对性的间谍活动中这种手法已经被普遍使用了。
尽管在去年所有的关注都给了手机风险,但是在Verizon的报告中关于使用移动设备导致的漏洞只有很少一部分。
“最重要的是,我们没有看到漏洞影响到移动设备,”Jacobs说。
“这是一个真的非常有趣的发现,从反直观的观点,所有的标题都在说移动设备是多么的不安全。其实,这并不表示它们是不容易受攻击的,只是攻击者在当前有别的更加容易获取数据的方法。”
同样真正拥有这一点的还有云技术,Jacobs说。虽然有些数据泄露包含了托管在云中的系统,但是这并不是他们利用云技术去攻击的结果,他说。“如果你用SQL注入的是易于受攻击的站点,那这与你在哪儿注入无关——无论是在云或是在局域中。这种数据泄露我们看到的是不管系统是否在云,它都会发生。
Verizon报告包括了一份分析资料组得出的反映最普遍的威胁活动从而需要公司实施的二十个安全控制清单。但是,每个公司的控制手段水平取决于他们所属的产业部分和他们可能接触到的攻击类型。