2016年Verizon数据泄露调查报告(DBIR)开始回归基本面。此前(例如去年)Verizon调查报告试图估算数据泄露事故的成本,这是非常困难的事情,而今年Verizon DBIR则意在强调IT安全需要关注常见的攻击媒介,包括网络钓鱼攻击、漏洞和被盗凭证等。
2016年Verizon DBIR是Verizon公司第9份年度基准报告,它提供了对上一年数据泄漏事故的全面分析,并为企业提供建议来避免今后的数据泄露事故。
在过去几年,该报告中所有事件数据都使用VERIS事件共享框架,VERIS是Verizon使用常见类别(包括攻击者、事件类型、发现、缓解和影响)分析安全事件数据的模式。
今年的报告包括67个企业组织贡献的数据泄露事故数据,这比去年70个贡献者略有减少,其中还包括17个新贡献者。
尽管贡献者减少,Verizon发现数据泄露事故比去年同期增长48%,达到3141起,安全事件涨幅超过25%,超过10万次。Verizon对安全事件的定义是任何破坏信息资产保密性、完整性或可用性的事件。
Verizon公司全球调查经理Dave Ostertag坦陈这些数据“主要依靠贡献数据的合作伙伴,并非自己进行的深入研究”,因此具有更严格规定的行业可能有准确的报告,而其他可能会出现少报事件的状况。
多向量攻击上升
Ostertag表示,今年的报告是关于持续发展趋势,包括多向量攻击的日益增加。
“今年并没有什么突出或全新的内容,我们只是看到了同样的趋势,这让我们开始谈论攻击者使用的方法来了解他们在做什么,并将此用于我们的检测和预防中,”Ostertag称,“在攻击者使用的方法中,我们在大量数据泄露事故中看到,攻击者会感染基础设施,再利用它用于恶意目的--使用它作为命令控制点,作为数据聚合或数据渗出点。”
IDC公司全球安全服务项目主管Christina Richmond表示同意并指出这个报告有一个新的方面。
“我认为新方面在于他们开始整合数据,例如,在过去几年中,我们看到多向量攻击呈上升趋势,”Richmond称,“攻击正变得越来越复杂,你开始在数据中看到,攻击比例最大的数据出现按行业计算时,并开始看到攻击类型的模式以及它们如何整合。”
Verizon DBIR事件模式(按行业)
Richmond指的是报告中按每个行业的攻击向量细分事件百分比的图表,以及已证实数据泄露事故百分比图表。她指出整个行业看到大量拒绝服务(DoS)事件,但实际数据泄露事故来自其他类型的攻击。
Verizon DBIR事件模式:只有证实的数据泄露事故
例如,娱乐行业有99%的事件是DoS攻击,但该行业绝大多数数据泄露事故来自Web应用(50%)和PoS攻击(47%)。同样,制造业的主要事件来自DoS(33%)以及“其他”类别(33%),但数据泄露事故来自网络间谍(47%)、特权滥用(24%)以及Web应用攻击(21%)。
“这就像是声东击西,当你遭遇DDoS攻击,你看到流量减少或者网站中断,你会把所有注意力放在这里,而与此同时,攻击者通过恶意软件入侵你的系统,拿走你的知识产权或客户数据,”Richmond称,“这会让安全人员很崩溃,因为很难判断哪里真正出现问题。”
Verizon DBIR:按威胁活动类别的数据泄露事故数据
在Verizon DBIR过去10年按威胁活动类别的数据泄露事故数据图表中也可发现这一趋势,其中攻击(包括窃取凭证、后门程序、暴力破解和DoS)恶意软件以及社会工程学在过去五年飙升;现在这些是到目前为止最普遍的威胁活动。
“任何数据泄露事故或者在任何这些图表中,指标可包括多个类别,”Ostertag称,“攻击者可能使用恶意软件和攻击及凭证作为攻击事件的一部分。”
Richmond称,这些调查结果说明攻击者日趋复杂。
“无论是民族国家还是网络罪犯,他们有网络和市场可以共享工具,他们还有论坛互相学习,”Richmond表示,“大约在2010年或2011年,他们分享和互相学习的做法开始更多地转移到互联网,他们开始了解可使用多向量执行更有效而不易察觉的攻击。这也是为什么我们看到这三种攻击方法开始飙升。”
网络钓鱼仍然是一个问题
Richmond指出她很惊讶的是,社会攻击(包括网络钓鱼)没有更多的被报告。
“网络钓鱼是网络攻击者研究其目标的方法之一,这里涉及很多侦查和有针对性攻击,”Richmond说道,“这个方法可帮助攻击者收集凭证、姓名、出生日期或任何可用于获取访问权限的信息。”
Verizon DBIR:网络钓鱼邮件数据
根据今年的报告显示,30%网络钓鱼信息被攻击目标打开,这与去年的23%相比是显著增加;12%攻击目标点击了恶意附件或链接,这与去年的11%基本保持持平。
然而,Ostertag证实需要考虑的更重要的统计数据是点击恶意附件或链接的用户数量,因为打开消息的行为可能只不过是选择消息删除它以及让它在预览窗格自动打开。
“我们发现,无论我们对员工进行多少培训,打开网络钓鱼邮件、点击链接、打开附件的用户数量基本保持一致。所以,攻击者越来越多地使用网络钓鱼攻击,因为它很有效,”Ostertag称,“他们不需要改变,网络钓鱼就已经非常有效。”
在Verizon DBIR中,为了减少网络钓鱼攻击,Verizon建议更严格地进行邮件过滤、提供更多培训,并在网络钓鱼得逞的情况下,通过隔离网络以及部署强大的身份验证来尽可能地阻止攻击者。
凭证丢失、被盗以及易于猜测
该报告指出绝大多数网络钓鱼都旨在窃取登录凭证,63%的数据泄露事故涉及使用低强度、默认的密码或密码被盗的情况。
Verizon指出,41%的数据泄露事故涉及登录凭证被盗,13%利用默认或暴力破解的凭证;这些总量超过63%,因为单个数据泄露事故可能涉及多个攻击方式。
很多企业知道最好使用多因素身份验证以及更改默认密码,但总是未能做到。
漏洞管理
与去年的报告一样,2016年Verizon DBIR显示,仅10个漏洞占所有成功漏洞利用流量的85%。更糟的是,这10个漏洞种有6个漏洞是在1999年和2003年之间被披露,包括影响着Windows 98、98SE、ME和XP的通用即插即用漏洞。在这些漏洞中较新的漏洞包括Windows Secure Channel和OpenSSL中的漏洞。
Qualys公司首席技术官Wolfgang Kandek认为,传统的漏洞披露方法可能是罪魁祸首。
“对于漏洞管理,我们要使它更容易访问,让防御者准确知道漏洞情况,并确定最严重的漏洞,”Kandek称,“传统方法不够严格,并产生大量漏洞,而且所有都被标记为严重。”
我们应该意识到,缓解和修复同样重要,有时候,这是你唯一的选择。
Richmond称,今年Verizon数据泄露事故报告的重要信息是“你真的要做好基础工作,但很多人还是没有做到。”
“有人称,现在仍然没有足够的理由让某些行业的某种规模的企业重视安全性。你可能不想考虑安全性,因为你需要思考如何降低成本以及保持业务运作,直到你发现你正在遭遇数据泄露事故。”