Verizon調(diào)查:我們并沒(méi)有學(xué)會(huì)提高安全性

責(zé)任編輯:editor005

作者:Michael Heller

2016-06-03 14:04:44

摘自:TechTarget中國(guó)

“任何數(shù)據(jù)泄露事故或者在任何這些圖表中,指標(biāo)可包括多個(gè)類別,”O(jiān)stertag稱,“攻擊者可能使用惡意軟件和攻擊及憑證作為攻擊事件的一部分。

2016年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)開始回歸基本面。此前(例如去年)Verizon調(diào)查報(bào)告試圖估算數(shù)據(jù)泄露事故的成本,這是非常困難的事情,而今年Verizon DBIR則意在強(qiáng)調(diào)IT安全需要關(guān)注常見的攻擊媒介,包括網(wǎng)絡(luò)釣魚攻擊、漏洞和被盜憑證等。

2016年Verizon DBIR是Verizon公司第9份年度基準(zhǔn)報(bào)告,它提供了對(duì)上一年數(shù)據(jù)泄漏事故的全面分析,并為企業(yè)提供建議來(lái)避免今后的數(shù)據(jù)泄露事故。

在過(guò)去幾年,該報(bào)告中所有事件數(shù)據(jù)都使用VERIS事件共享框架,VERIS是Verizon使用常見類別(包括攻擊者、事件類型、發(fā)現(xiàn)、緩解和影響)分析安全事件數(shù)據(jù)的模式。

今年的報(bào)告包括67個(gè)企業(yè)組織貢獻(xiàn)的數(shù)據(jù)泄露事故數(shù)據(jù),這比去年70個(gè)貢獻(xiàn)者略有減少,其中還包括17個(gè)新貢獻(xiàn)者。

盡管貢獻(xiàn)者減少,Verizon發(fā)現(xiàn)數(shù)據(jù)泄露事故比去年同期增長(zhǎng)48%,達(dá)到3141起,安全事件漲幅超過(guò)25%,超過(guò)10萬(wàn)次。Verizon對(duì)安全事件的定義是任何破壞信息資產(chǎn)保密性、完整性或可用性的事件。

Verizon公司全球調(diào)查經(jīng)理Dave Ostertag坦陳這些數(shù)據(jù)“主要依靠貢獻(xiàn)數(shù)據(jù)的合作伙伴,并非自己進(jìn)行的深入研究”,因此具有更嚴(yán)格規(guī)定的行業(yè)可能有準(zhǔn)確的報(bào)告,而其他可能會(huì)出現(xiàn)少報(bào)事件的狀況。

多向量攻擊上升

Ostertag表示,今年的報(bào)告是關(guān)于持續(xù)發(fā)展趨勢(shì),包括多向量攻擊的日益增加。

“今年并沒(méi)有什么突出或全新的內(nèi)容,我們只是看到了同樣的趨勢(shì),這讓我們開始談?wù)摴粽呤褂玫姆椒▉?lái)了解他們?cè)谧鍪裁矗⒋擞糜谖覀兊臋z測(cè)和預(yù)防中,”Ostertag稱,“在攻擊者使用的方法中,我們?cè)诖罅繑?shù)據(jù)泄露事故中看到,攻擊者會(huì)感染基礎(chǔ)設(shè)施,再利用它用于惡意目的--使用它作為命令控制點(diǎn),作為數(shù)據(jù)聚合或數(shù)據(jù)滲出點(diǎn)。”

IDC公司全球安全服務(wù)項(xiàng)目主管Christina Richmond表示同意并指出這個(gè)報(bào)告有一個(gè)新的方面。

“我認(rèn)為新方面在于他們開始整合數(shù)據(jù),例如,在過(guò)去幾年中,我們看到多向量攻擊呈上升趨勢(shì),”Richmond稱,“攻擊正變得越來(lái)越復(fù)雜,你開始在數(shù)據(jù)中看到,攻擊比例最大的數(shù)據(jù)出現(xiàn)按行業(yè)計(jì)算時(shí),并開始看到攻擊類型的模式以及它們?nèi)绾握稀?rdquo;

Verizon DBIR事件模式(按行業(yè))

Richmond指的是報(bào)告中按每個(gè)行業(yè)的攻擊向量細(xì)分事件百分比的圖表,以及已證實(shí)數(shù)據(jù)泄露事故百分比圖表。她指出整個(gè)行業(yè)看到大量拒絕服務(wù)(DoS)事件,但實(shí)際數(shù)據(jù)泄露事故來(lái)自其他類型的攻擊。

Verizon DBIR事件模式:只有證實(shí)的數(shù)據(jù)泄露事故

例如,娛樂(lè)行業(yè)有99%的事件是DoS攻擊,但該行業(yè)絕大多數(shù)數(shù)據(jù)泄露事故來(lái)自Web應(yīng)用(50%)和PoS攻擊(47%)。同樣,制造業(yè)的主要事件來(lái)自DoS(33%)以及“其他”類別(33%),但數(shù)據(jù)泄露事故來(lái)自網(wǎng)絡(luò)間諜(47%)、特權(quán)濫用(24%)以及Web應(yīng)用攻擊(21%)。

“這就像是聲東擊西,當(dāng)你遭遇DDoS攻擊,你看到流量減少或者網(wǎng)站中斷,你會(huì)把所有注意力放在這里,而與此同時(shí),攻擊者通過(guò)惡意軟件入侵你的系統(tǒng),拿走你的知識(shí)產(chǎn)權(quán)或客戶數(shù)據(jù),”Richmond稱,“這會(huì)讓安全人員很崩潰,因?yàn)楹茈y判斷哪里真正出現(xiàn)問(wèn)題。”

Verizon DBIR:按威脅活動(dòng)類別的數(shù)據(jù)泄露事故數(shù)據(jù)

在Verizon DBIR過(guò)去10年按威脅活動(dòng)類別的數(shù)據(jù)泄露事故數(shù)據(jù)圖表中也可發(fā)現(xiàn)這一趨勢(shì),其中攻擊(包括竊取憑證、后門程序、暴力破解和DoS)惡意軟件以及社會(huì)工程學(xué)在過(guò)去五年飆升;現(xiàn)在這些是到目前為止最普遍的威脅活動(dòng)。

“任何數(shù)據(jù)泄露事故或者在任何這些圖表中,指標(biāo)可包括多個(gè)類別,”Ostertag稱,“攻擊者可能使用惡意軟件和攻擊及憑證作為攻擊事件的一部分。”

Richmond稱,這些調(diào)查結(jié)果說(shuō)明攻擊者日趨復(fù)雜。

“無(wú)論是民族國(guó)家還是網(wǎng)絡(luò)罪犯,他們有網(wǎng)絡(luò)和市場(chǎng)可以共享工具,他們還有論壇互相學(xué)習(xí),”Richmond表示,“大約在2010年或2011年,他們分享和互相學(xué)習(xí)的做法開始更多地轉(zhuǎn)移到互聯(lián)網(wǎng),他們開始了解可使用多向量執(zhí)行更有效而不易察覺(jué)的攻擊。這也是為什么我們看到這三種攻擊方法開始飆升。”

網(wǎng)絡(luò)釣魚仍然是一個(gè)問(wèn)題

Richmond指出她很驚訝的是,社會(huì)攻擊(包括網(wǎng)絡(luò)釣魚)沒(méi)有更多的被報(bào)告。

“網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊者研究其目標(biāo)的方法之一,這里涉及很多偵查和有針對(duì)性攻擊,”Richmond說(shuō)道,“這個(gè)方法可幫助攻擊者收集憑證、姓名、出生日期或任何可用于獲取訪問(wèn)權(quán)限的信息。”

Verizon DBIR:網(wǎng)絡(luò)釣魚郵件數(shù)據(jù)

根據(jù)今年的報(bào)告顯示,30%網(wǎng)絡(luò)釣魚信息被攻擊目標(biāo)打開,這與去年的23%相比是顯著增加;12%攻擊目標(biāo)點(diǎn)擊了惡意附件或鏈接,這與去年的11%基本保持持平。

然而,Ostertag證實(shí)需要考慮的更重要的統(tǒng)計(jì)數(shù)據(jù)是點(diǎn)擊惡意附件或鏈接的用戶數(shù)量,因?yàn)榇蜷_消息的行為可能只不過(guò)是選擇消息刪除它以及讓它在預(yù)覽窗格自動(dòng)打開。

“我們發(fā)現(xiàn),無(wú)論我們對(duì)員工進(jìn)行多少培訓(xùn),打開網(wǎng)絡(luò)釣魚郵件、點(diǎn)擊鏈接、打開附件的用戶數(shù)量基本保持一致。所以,攻擊者越來(lái)越多地使用網(wǎng)絡(luò)釣魚攻擊,因?yàn)樗苡行В?rdquo;Ostertag稱,“他們不需要改變,網(wǎng)絡(luò)釣魚就已經(jīng)非常有效。”

在Verizon DBIR中,為了減少網(wǎng)絡(luò)釣魚攻擊,Verizon建議更嚴(yán)格地進(jìn)行郵件過(guò)濾、提供更多培訓(xùn),并在網(wǎng)絡(luò)釣魚得逞的情況下,通過(guò)隔離網(wǎng)絡(luò)以及部署強(qiáng)大的身份驗(yàn)證來(lái)盡可能地阻止攻擊者。

憑證丟失、被盜以及易于猜測(cè)

該報(bào)告指出絕大多數(shù)網(wǎng)絡(luò)釣魚都旨在竊取登錄憑證,63%的數(shù)據(jù)泄露事故涉及使用低強(qiáng)度、默認(rèn)的密碼或密碼被盜的情況。

Verizon指出,41%的數(shù)據(jù)泄露事故涉及登錄憑證被盜,13%利用默認(rèn)或暴力破解的憑證;這些總量超過(guò)63%,因?yàn)閱蝹€(gè)數(shù)據(jù)泄露事故可能涉及多個(gè)攻擊方式。

很多企業(yè)知道最好使用多因素身份驗(yàn)證以及更改默認(rèn)密碼,但總是未能做到。

漏洞管理

與去年的報(bào)告一樣,2016年Verizon DBIR顯示,僅10個(gè)漏洞占所有成功漏洞利用流量的85%。更糟的是,這10個(gè)漏洞種有6個(gè)漏洞是在1999年和2003年之間被披露,包括影響著Windows 98、98SE、ME和XP的通用即插即用漏洞。在這些漏洞中較新的漏洞包括Windows Secure Channel和OpenSSL中的漏洞。

Qualys公司首席技術(shù)官Wolfgang Kandek認(rèn)為,傳統(tǒng)的漏洞披露方法可能是罪魁禍?zhǔn)住?/p>

“對(duì)于漏洞管理,我們要使它更容易訪問(wèn),讓防御者準(zhǔn)確知道漏洞情況,并確定最嚴(yán)重的漏洞,”Kandek稱,“傳統(tǒng)方法不夠嚴(yán)格,并產(chǎn)生大量漏洞,而且所有都被標(biāo)記為嚴(yán)重。”

我們應(yīng)該意識(shí)到,緩解和修復(fù)同樣重要,有時(shí)候,這是你唯一的選擇。

Richmond稱,今年Verizon數(shù)據(jù)泄露事故報(bào)告的重要信息是“你真的要做好基礎(chǔ)工作,但很多人還是沒(méi)有做到。”

“有人稱,現(xiàn)在仍然沒(méi)有足夠的理由讓某些行業(yè)的某種規(guī)模的企業(yè)重視安全性。你可能不想考慮安全性,因?yàn)槟阈枰伎既绾谓档统杀疽约氨3謽I(yè)務(wù)運(yùn)作,直到你發(fā)現(xiàn)你正在遭遇數(shù)據(jù)泄露事故。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)