Maria Korolov

Verizon日前公布了其《數(shù)據(jù)泄露報(bào)告》。該報(bào)告基于全球67個(gè)機(jī)構(gòu)，包括安全人員和執(zhí)法部門(mén)發(fā)生的53000起安全事件，對(duì)去年的安全漏洞進(jìn)行了深入而廣泛的分析研究。

導(dǎo)致泄露的最常見(jiàn)的攻擊類型為對(duì)被盜證書(shū)的惡意使用，其次是內(nèi)存抓取，再次是釣魚(yú)和權(quán)限濫用。盡管如此，為了給受害公司帶來(lái)?yè)p失，攻擊不一定非要制造數(shù)據(jù)泄露事件。

勒索軟件概況

這份報(bào)告的重點(diǎn)為勒索軟件。在去年的報(bào)告中，勒索軟件為第五大與安全事件有關(guān)聯(lián)的常見(jiàn)惡意軟件類型，而在今年的報(bào)告中，勒索軟件的排名已經(jīng)上升到了首位。該報(bào)告的共同作者，Verizon信息安全數(shù)據(jù)科學(xué)家、研究員兼架構(gòu)師 Gabriel Bassett 稱：“在與惡意軟件有關(guān)的安全事件中，39%的事件涉及這類軟件?！?/p>

此外，勒索軟件已經(jīng)不再僅僅將目標(biāo)鎖定為用戶桌面。為了勒索更高的贖金和攫取更多的犯罪利益，攻擊者正逐步將目標(biāo)轉(zhuǎn)向關(guān)鍵的業(yè)務(wù)系統(tǒng)。

這些并不代表勒索軟件已經(jīng)成為了組織機(jī)構(gòu)在去年面對(duì)的最大類型的攻擊。拒絕服務(wù)（DoS）攻擊是常見(jiàn)攻擊的27倍。意外損失和錯(cuò)誤也是安全事件中的常見(jiàn)因素，如釣魚(yú)攻擊。

Bassett指出，勒索軟件并不是造成數(shù)據(jù)泄露的一個(gè)因素，因?yàn)樗鼈兺ǔＥc任何數(shù)據(jù)外泄都沒(méi)有聯(lián)系。DoS攻擊也與許多數(shù)據(jù)泄露無(wú)關(guān)。實(shí)際上，雖然我們常常聽(tīng)到攻擊者使用DoS攻擊來(lái)掩蓋數(shù)據(jù)竊取行為的說(shuō)法，但是在今年的數(shù)據(jù)中僅有一起數(shù)據(jù)泄露涉及DoS攻擊。

在這起數(shù)據(jù)泄露事件中，DoS攻擊也沒(méi)有被用于掩護(hù)數(shù)據(jù)竊取行為，它們是以另外一種方式被加以利用，即數(shù)據(jù)泄露導(dǎo)致資產(chǎn)被盜用，進(jìn)而這些被盜用的資產(chǎn)被用于發(fā)動(dòng)分布式拒絕服務(wù)攻擊（DDoS）。

在DDoS攻擊方面，隨著時(shí)間的推移，攻擊規(guī)模正由中等程度向小型化轉(zhuǎn)變，大部分攻擊的時(shí)間正在縮短，僅持續(xù)數(shù)分鐘。呈現(xiàn)上升趨勢(shì)的是放大攻擊的百分比，由2013年的25%穩(wěn)步上升到了目前的80%。

在放大攻擊中，黑客利用系統(tǒng)漏洞放大了發(fā)送給受害者的信息的數(shù)量或規(guī)模。Bassett 稱：“這就引出了一個(gè)問(wèn)題，而這對(duì)于IT行業(yè)以及希望看到這份報(bào)告的人而言尤為重要。那就是，不要成為這一問(wèn)題當(dāng)中的一部分?！?/p>

例如，在公司披露web應(yīng)用帶有已知漏洞后，攻擊者就能夠利用這些漏洞。另一些被DDoS攻擊者使用的向量包括DNS和NTP服務(wù)。他稱：“攻擊者將你的基礎(chǔ)設(shè)施變成了他們的基礎(chǔ)設(shè)施，使用你的設(shè)備攻擊別人。這是一個(gè)重要的考慮事項(xiàng)。你可能并不是系統(tǒng)被侵害的唯一受害者?！?/p>

外國(guó)網(wǎng)絡(luò)間諜

雖然去年的許多新聞都充斥著俄羅斯黑客的消息，但是政府和與政府有聯(lián)系的人僅占已識(shí)別黑客數(shù)量的14%。62%的攻擊者與有組織犯罪有關(guān)聯(lián)，20%的攻擊者與任何組織都沒(méi)有聯(lián)系。

經(jīng)濟(jì)上的收益是這些攻擊者的最大動(dòng)機(jī)，約占數(shù)據(jù)泄露事件的76%。間諜活動(dòng)是排名第二的動(dòng)機(jī)，約占數(shù)據(jù)泄露事件的13%。這一數(shù)據(jù)與去年相比已經(jīng)有了大幅下降，當(dāng)時(shí)21%的數(shù)據(jù)泄露事件是由網(wǎng)絡(luò)間諜造成的。

Bassett稱，與網(wǎng)絡(luò)間諜相關(guān)的數(shù)據(jù)泄露并不僅僅是在百分比上出現(xiàn)了下降，其絕對(duì)值也同時(shí)出現(xiàn)了下降。今年的報(bào)告時(shí)間涵蓋范圍為2016年11月至2017年10月。這段時(shí)間內(nèi)與網(wǎng)絡(luò)間諜相關(guān)的數(shù)據(jù)泄露事件為171起。而在上一年度的報(bào)告中，與網(wǎng)絡(luò)間諜相關(guān)的數(shù)據(jù)泄露事件為292起。

他指出，由于許多數(shù)據(jù)泄露事件并不會(huì)立即被發(fā)現(xiàn)，因此在這些事件中，有一些在近期才被披露出來(lái)。例如，與網(wǎng)絡(luò)間諜有關(guān)的數(shù)據(jù)泄露可能并不會(huì)像出現(xiàn)在網(wǎng)上黑市上的被盜信用卡號(hào)那樣馬上產(chǎn)生影響。

在今年的報(bào)告中，網(wǎng)絡(luò)間諜攻擊的主要行業(yè)——制造、公共部門(mén)、教育的數(shù)據(jù)泄露事件在數(shù)量上均出現(xiàn)了下降。而在去年的報(bào)告中，所有數(shù)量都比上一年度有所增加。

Bassett稱，去年的網(wǎng)絡(luò)間諜攻擊未必都與DNC泄露和2016年其他備受矚目的攻擊有關(guān)聯(lián)。他還表示，對(duì)單一機(jī)構(gòu)的攻擊無(wú)論會(huì)造成多大的影響都被僅按一次數(shù)據(jù)泄露事件統(tǒng)計(jì)。但是盡管如此，對(duì)一個(gè)PoS技術(shù)廠商的攻擊可能會(huì)導(dǎo)致大量的零售機(jī)構(gòu)出現(xiàn)數(shù)據(jù)泄露事件。

與此同時(shí)，與單獨(dú)的行業(yè)垂直領(lǐng)域故障率相比，所有行業(yè)受到網(wǎng)絡(luò)間諜攻擊的平均值并沒(méi)有什么用處?！拔艺J(rèn)為，我們有時(shí)候會(huì)為了整個(gè)森林而錯(cuò)過(guò)了一些樹(shù)?？偟膩?lái)說(shuō)，網(wǎng)絡(luò)間諜行為毫無(wú)疑問(wèn)是第二大動(dòng)機(jī)。雖然低于經(jīng)濟(jì)動(dòng)機(jī)，但是高于其他的動(dòng)機(jī)。零售業(yè)中與網(wǎng)絡(luò)間諜行為有關(guān)的數(shù)據(jù)泄露已經(jīng)下降了約12倍，而在制造業(yè)和政府機(jī)構(gòu)中，因網(wǎng)絡(luò)間諜行為導(dǎo)致的數(shù)據(jù)泄露仍占其數(shù)據(jù)泄露事件的一半左右?！?/p>

例如，在公共部門(mén)，與網(wǎng)絡(luò)間諜有關(guān)的數(shù)據(jù)泄露事件在今年高于因其他網(wǎng)絡(luò)攻擊形式導(dǎo)致的數(shù)據(jù)泄露。此外，網(wǎng)絡(luò)間諜行為也是制造業(yè)中最為常見(jiàn)的數(shù)據(jù)泄露因素。

通過(guò)觀察產(chǎn)生重大影響的攻擊，Bassett發(fā)現(xiàn)攻擊者已經(jīng)開(kāi)始專攻一些行業(yè)領(lǐng)域?！安煌男袠I(yè)就如同不同的孤島?！彼跃频攴?wù)業(yè)為例稱，“在住宿方面，我們看到PoS數(shù)據(jù)泄露正成為一個(gè)重大趨勢(shì)。攻擊者在他們擅長(zhǎng)的領(lǐng)域發(fā)動(dòng)攻擊可以花最少的精力獲得最大的回報(bào)?！?/p>

侵害路徑比人們預(yù)想的要短

Verizon在今年首次開(kāi)始繪制從攻擊者最初入侵到最終數(shù)據(jù)泄露的路徑。這需要收集事件鏈條中的數(shù)據(jù)。Bassett稱，迄今為止，數(shù)據(jù)集還不足以通過(guò)行業(yè)或攻擊者類型進(jìn)行細(xì)致的分析，也不足以進(jìn)行歷史比對(duì)。

目前最大的收獲是多數(shù)攻擊并不是按照以往人們認(rèn)為的需要經(jīng)過(guò)偵察、初次侵害、權(quán)限提升、橫向擴(kuò)展、數(shù)據(jù)收集、指揮控制、數(shù)據(jù)外泄這一多步驟的鏈條實(shí)現(xiàn)的。實(shí)際上，多數(shù)攻擊路徑都非常短。Bassett 稱：“大多數(shù)的攻擊只有一到兩個(gè)步驟。”

這一研究結(jié)果與數(shù)據(jù)泄露是長(zhǎng)期而復(fù)雜的事件的主流觀點(diǎn)相左。Bassett將其比喻為高爾夫球，場(chǎng)地設(shè)計(jì)者希望選手經(jīng)過(guò)一個(gè)較長(zhǎng)且充滿障礙的路徑到達(dá)球洞，如積水區(qū)和沙坑等。但是如果選手能夠保持一桿進(jìn)洞，那么這些障礙沒(méi)有一個(gè)能夠發(fā)揮阻擋作用。

電子郵件是最薄弱的環(huán)節(jié)

釣魚(yú)、冒充老板詐騙（CEO fraud）等社區(qū)攻擊在過(guò)去幾年一直呈上升勢(shì)頭，比重從2010年不足10%已經(jīng)發(fā)展到在2017年的報(bào)告中占到了近40%。

今年這一趨勢(shì)出現(xiàn)了下降。在最新的關(guān)于社交策略的報(bào)告中，這一部分導(dǎo)致的數(shù)據(jù)泄露僅占17%。實(shí)際上，報(bào)告顯示，大多數(shù)人從未點(diǎn)擊過(guò)釣魚(yú)郵件。模擬釣魚(yú)攻擊得出的分析結(jié)果表明，78%的人全年都不會(huì)點(diǎn)擊一封釣魚(yú)郵件，但是只要一個(gè)人點(diǎn)擊就會(huì)讓攻擊者得逞。

盡管如此，以財(cái)務(wù)為幌子的攻擊正在上升，由去年的61起上升至今年的170起，其中很大一部分攻擊將目標(biāo)鎖定為HR員工。電子郵件也是惡意軟件傳播的最常見(jiàn)形式。報(bào)告稱，92%的被發(fā)現(xiàn)的惡意軟件是通過(guò)電子郵件形式傳播的，其次是通過(guò)web瀏覽器，約占6%。Bassett 稱：“如果你正在運(yùn)營(yíng)一個(gè)機(jī)構(gòu)并惹來(lái)惡意軟件，那么你知道它們會(huì)在哪里?！?/p>

該報(bào)告的目的是給安全人員提供可行動(dòng)的情報(bào)。作為其中的一部分，Verizon列出了最常見(jiàn)的帶有惡意軟件的文件類型。其中最常見(jiàn)的是JavaScript，占總數(shù)的37%；其次是Visual Basic，占21%；Windows可執(zhí)行文件占15%，微軟Office文件占14%。

與去年一樣，Verizon建議讓補(bǔ)丁程序保持最新，加密敏感數(shù)據(jù)，使用雙因素認(rèn)證。雖然去年與未修補(bǔ)漏洞有關(guān)的數(shù)據(jù)泄露僅占6%，但是其中有一起是當(dāng)年最大的數(shù)據(jù)泄露事件，即Equifax數(shù)據(jù)泄露事件，事件導(dǎo)致近1.5億條記錄被泄露。

相比之下，與被盜證書(shū)有關(guān)的數(shù)據(jù)泄露事件占22%，這使得其成為了主要的行為類型。Verizon 在報(bào)告中指出“密碼本身就存在不足，這與長(zhǎng)度或復(fù)雜性無(wú)關(guān)?！眻?bào)告還將默認(rèn)密碼和容易破解的密碼等同于未設(shè)密碼，并指出這種情況非常普遍。