侯彬炳

勒索軟件、供應鏈威脅以及組織和員工是自身安全的最大敵人，這是Verizon針對過去12個月網(wǎng)絡攻擊年度報告中所研究的一些關鍵要點。近期發(fā)布的2022年數(shù)據(jù)泄露調(diào)查報告（DBIR）旨在保護企業(yè)免受可能導致系統(tǒng)泄露或數(shù)據(jù)、資源、金錢、時間等方面出現(xiàn)損失的威脅。

報告背后的研究人員Gabriel BassettC、David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出，過去幾年發(fā)生的事情對每個人來說都是“壓倒性的”，但是他們沒有引用顯而易見的因素，比如疫情和烏克蘭戰(zhàn)爭。

然而，該報告的研究人員最關心的是與發(fā)生的安全事件和違規(guī)行為相關的數(shù)據(jù)，前者是對信息資產(chǎn)的損害，后者則是將數(shù)據(jù)暴露給未經(jīng)授權的一方。2021年，研究人員發(fā)現(xiàn)，二者的發(fā)生率都在空前飆升。

“過去一年在許多方面都非同尋常，但在報告看來肯定是關于網(wǎng)絡犯罪陰暗的世界，其間發(fā)生的事情令人難忘，”他們在報告中寫道：“從廣為人知的關鍵基礎設施攻擊到大規(guī)模供應鏈漏洞，出于經(jīng)濟動機的罪犯和民族主義行為者在過去12個月中很少（如果有的話）像以前那樣搖擺不定?！?h3>勒索軟件仍然是主要部分

2022年度的DBIR報告和2021年的并不太大不同。事實上，一名安全專業(yè)人員觀察到一些調(diào)查結果似乎與報告自2008年成立以來強調(diào)的內(nèi)容一致。

安全公司Token首席執(zhí)行官John Gunn在給Threatpost的一封電子郵件中寫道：“關于網(wǎng)絡安全行業(yè)最重要的研究已經(jīng)出來了，感覺就像電影《GroundHog Day》，自2008年第一份報告以來，我們年復一年地獲得了同樣的結果。”

然而，在過去幾年中，一個主要的威脅是勒索軟件繼續(xù)呈上升趨勢。這種類型的網(wǎng)絡犯罪通過入侵鎖定公司的數(shù)據(jù)，在組織支付巨額勒索金額之前不會公布（在2021年同比增長了近13 %）。研究人員指出，漲幅與過去5年的總和一樣大，勒索軟件的發(fā)生率總體上升了25 %。他們認為：“勒索軟件的鼎盛時期仍會持續(xù)，2022年發(fā)現(xiàn)了有近70 %的惡意軟件漏洞?！?/p>

事實上，安全專家指出，盡管勒索軟件團體不斷更迭，聯(lián)邦當局在打擊此類網(wǎng)絡犯罪方面取得了長足進步，但對犯罪分子來說，收益非常可觀，在利益的驅使之下他們可能會持續(xù)一段時間。

安全公司Cerberus Sentinel解決方案架構副總裁Chris Clemens在給Threatpost的電子郵件中表示：“截至目前，勒索軟件是網(wǎng)絡犯罪分子能夠攻陷受害者的最可靠方式。沒有任何一種活動帶來的利益能和勒索攻擊的輕松和巨大影響面相提并論?！?h3>供應鏈受到攻擊

研究人員發(fā)現(xiàn)，對供應鏈的重大攻擊（在一個系統(tǒng)或軟件中發(fā)生漏洞，很容易在組織中傳播）在2021年，表現(xiàn)出持久影響性，發(fā)生率也有所增加。

Verizon團隊認為，對于任何與供應鏈、第三方和合作伙伴打交道的人來說，這種慘痛的經(jīng)歷是值得記住的。以2020年底發(fā)生的、臭名昭著的SolarWinds供應鏈攻擊為例，直到2021年，公司仍然在疲于應付。

事實上，研究人員的報告稱：“2022年，62 %的系統(tǒng)入侵事件都是供應鏈攻擊活動?！贝送?，研究人員表示，與出于經(jīng)濟動機的威脅行為者不同，這些犯罪的肇事者往往是國家贊助的行為者，他們更喜歡“跳過漏洞并保持訪問權限”，在組織的網(wǎng)絡上保持一段時間。

研究人員表示，這些攻擊非常危險，因為攻擊可以從一家公司開始，很快就傳到其客戶和合作伙伴那里，因此可能會涉及非常多的受害者。此外，在攻擊者已經(jīng)訪問系統(tǒng)很久之后，人們才會發(fā)現(xiàn)供應鏈數(shù)據(jù)泄露，，這使得數(shù)據(jù)泄露和長期盜竊的可能性增大。

人為導致的錯誤

該報告的另外2項關鍵發(fā)現(xiàn)與最終責任在哪里有關———組織內(nèi)外犯錯的人。事實上，研究人員發(fā)現(xiàn)，人為錯誤仍然是產(chǎn)生威脅的主要原因。

研究人員指出：“錯誤仍然是一個主導趨勢，大概是13 %數(shù)據(jù)泄露事件產(chǎn)生的原因?！?/p>

實際上，2021年DBIR報告中82%的數(shù)據(jù)泄露事件涉及“人為元素”。人為元素多種多樣，包括“是否使用了被盜憑據(jù)、釣魚、濫用或僅僅是錯誤造成的，人的因素在事件和泄露等活動中繼續(xù)扮演著非常重要的作用”。

賬簿上最古老的風險

一位安全專家指出，安全專家對“人為因素”的發(fā)現(xiàn)并不感到驚訝，該發(fā)現(xiàn)甚至在安全和整個行業(yè)一直困擾著科技研究人員。

安全公司KnowBe4的數(shù)據(jù)驅動國防傳教士Roger Grimes在給Threatpost的一封電子郵件中指出：“自計算機開始以來一直如此，未來幾十年可能也會如此?！彼f，今天發(fā)生的許多錯誤都是攻擊者巧妙設計的結果，特別是在網(wǎng)絡釣魚攻擊中，這些攻擊誘騙人們點擊允許計算機訪問的惡意文件或鏈接，或提供可用于破壞企業(yè)系統(tǒng)的個人憑據(jù)。

Grimes說，解決人為錯誤造成的安全問題的唯一方法是通過教育，無論是關于配置錯誤、修補的重要性、被盜憑據(jù)，還是常規(guī)錯誤（例如當用戶不小心通過電子郵件發(fā)送錯誤的數(shù)據(jù)時）等。他觀察到：“人類一直是計算領域的重要組成部分，但出于某種原因，我們一直認為只有技術解決方案才能解決或預防問題。30年來，我們一直試圖通過除了人為因素以外的方法來修復網(wǎng)絡安全問題，事實證明并不奏效?！?/p>