近日，著名咨詢機構(gòu)Verizon發(fā)布了《2023年數(shù)據(jù)泄露調(diào)查報告》（DBIR）。該報告對過去一年發(fā)生的16312起安全事件進行分析，其數(shù)據(jù)來源于Verizon平臺，以及世界各地的執(zhí)法、政府機構(gòu)公開發(fā)布。

概述勒索攻擊持續(xù)增長

勒索軟件繼續(xù)成為入侵行為中最主要的類型之一，雖然它沒有表現(xiàn)出高增長，但在統(tǒng)計上穩(wěn)定在24%。勒索軟件在各種規(guī)模的組織中比比皆是。安全專家感嘆稱，“它幾乎無處不在：存在于大型企業(yè)、中小型企業(yè)、甚至是小微企業(yè)?！睙o論是對任何企業(yè)來說，勒索攻擊都是一種巨大的威脅，無關(guān)于任何行業(yè)、領(lǐng)域等。

74%安全事件存在人為因素

據(jù)報告的數(shù)據(jù)顯示，74%的安全事件被證明存在人的因素，這意味著在過去一年時間里，企業(yè)員工正在屢屢出錯，包括錯誤使用權(quán)限、濫用特權(quán)、釣魚攻擊、身份泄露等等。這也反映出社會工程學(xué)的可怕，對網(wǎng)絡(luò)罪犯來說利潤豐厚。這就是為什么商業(yè)電子郵件入侵(BEC)攻擊幾乎翻了一番，如圖所示，在社會工程模式中占了50%以上的事件。

(資料圖片)

86%的攻擊涉及使用被盜證書

在web應(yīng)用程序的安全事件中，報告指出86%的攻擊涉及使用被盜證書，只有10%真正存在一個實際的軟件漏洞。事實上，濫用數(shù)字證書一直是網(wǎng)絡(luò)犯罪分子常用攻擊手法，其目的是讓提高惡意軟件的合法性，從而繞過企業(yè)的安全防護措施。

在過去的一年中，超過32%的Log4j掃描活動發(fā)生在其發(fā)布后的30天內(nèi)(最大的活動高峰發(fā)生在17天內(nèi))。，Log4j是如此重要，以至于和其相關(guān)事件在評論部分都有“Log4j”或“CVE-2021-44228”。但是，只有20.6%的事件有評論。

多因素認(rèn)證是企業(yè)必選項

報告指出，任何企業(yè)都需要實施多因素認(rèn)證(MFA)，此舉將有效增加攻擊者的門檻，因為他們在獲取賬號密碼后，至少還需要具備第二個因素才能訪問應(yīng)用程序或數(shù)字資源。誠然，多因素認(rèn)證無法確保安全，但是對于企業(yè)來說是一個不可或缺的安全。

釣魚和漏洞是數(shù)據(jù)泄露的主要原因

報告數(shù)據(jù)顯示，對于絕大多數(shù)企業(yè)來說，犯罪分子對于利用數(shù)據(jù)的主要途徑依舊是憑證竊取，而在實際安全事件中，釣魚攻擊漏洞利用依舊是最主要的手段。

數(shù)據(jù)泄露的最核心動機是經(jīng)濟利益，調(diào)查顯示至少95%的攻擊是因為前，這也是當(dāng)下行業(yè)普遍觀察到的規(guī)律。同時，數(shù)據(jù)泄露的規(guī)模正在增長，給企業(yè)帶來的威脅也在持續(xù)增加。

結(jié)果分析網(wǎng)絡(luò)攻擊者

如圖所示，在所有的安全事件中，外部參與者占比高達(dá)83%，而內(nèi)部參與者則占19%。

值得一提的是，在這些情況下，內(nèi)部行為者不僅要為蓄意的攻擊負(fù)責(zé)，而且他們還要為錯誤的行為負(fù)責(zé)。根據(jù)歷年的報告數(shù)據(jù)，外部行為者作為入侵發(fā)起者的明顯頻率一直保持穩(wěn)定。

報告數(shù)據(jù)顯示，財務(wù)動機仍然是絕大多數(shù)安全事件的驅(qū)動因素，與去年相比繼續(xù)保持增長，安全事件的比例高達(dá)94.6%。有趣的是，我們觀察終端來自用戶內(nèi)部的各種違規(guī)行為，比外部的國家支持的攻擊者出現(xiàn)的更頻繁，這些組織員工大多涉及誤用和錯誤，表明組織應(yīng)該在日常安全管理方面給予更多關(guān)注。

由于俄羅斯與烏克蘭之間的持續(xù)沖突，國家支持的攻擊活動將會增加，無論是否與間諜行為有關(guān)。也許意識形態(tài)或與黑客主義相關(guān)的攻擊活動有所增加，這種政治因素雖然存在，但從更大的統(tǒng)計角度來看，這并沒有造成影響，至少不會對普通企業(yè)和用戶造成影響。

安全事件類型

不出所料，排名靠前的要么是第一階段攻擊，要么是單階段攻擊，即使用竊取的信用來進行破壞，而拒絕服務(wù)來處理事件。這與往年的情況是一致的。令人擔(dān)憂的是，勒索軟件在事件中占據(jù)了第二位，目前占所有事件的15.5%。與此同時，勒索軟件在入侵中的份額并沒有增長，而是穩(wěn)定地保持在24%。

在有組織犯罪分子實施的攻擊事件中，超過62%的事件涉及勒索軟件，59%的事件涉及經(jīng)濟動機。值得注意的是，與去年的“軟件供應(yīng)鏈末日”相比，今年沒有供應(yīng)商和軟件供應(yīng)鏈作為事件的行動向量。

相反，全球在都在Log4j漏洞下瑟瑟發(fā)抖。雖然實際上的破壞沒那么突出，但是幾乎所有的安全人都犧牲了自己的假期，在公司內(nèi)24小時值守待命。在這一次事件中，社區(qū)迅速采取了行動，將以Log4j作為組件的不同系統(tǒng)進行快速修復(fù)，避免了更大的災(zāi)難。

組織資產(chǎn)損失

報告列出了受入侵影響的各種資產(chǎn)的分類，包括Server/Person/User/Network/Media等，考慮到系統(tǒng)入侵、基本W(wǎng)eb應(yīng)用程序攻擊和社會工程是今年最主要的攻擊模式，其結(jié)果與預(yù)期基本一致。值得一提的是，人也是組織的核心資產(chǎn)之一，是組織的最后一道防線，且在未來幾年內(nèi)會繼續(xù)保持在第二的位置，而服務(wù)器一直排在第一位。

在進一步的細(xì)分類中，Web應(yīng)用程序和郵件服務(wù)器是影響最大的兩類資產(chǎn)，這也和我們觀察到的現(xiàn)象一致。但有趣的是，隨著社會工程學(xué)的陸續(xù)發(fā)展，個人財務(wù)資產(chǎn)從去年開始呈現(xiàn)上升趨勢。

和IT行業(yè)相比，OT領(lǐng)域雖然占比較少但同樣受到影響。隨著計算機技術(shù)大規(guī)模應(yīng)用至傳統(tǒng)工控組織、關(guān)基組織，OT遭受攻擊的可能性在上升，其中制造業(yè)、采礦業(yè)、采石業(yè)、油氣開采和公用事業(yè)等行業(yè)具有代表性。

報告數(shù)據(jù)顯示，只有3.4% OT資產(chǎn)公開承認(rèn)受到影響，考慮到系統(tǒng)的保密性和國家安全，真正能夠公開數(shù)據(jù)和案例屬于少數(shù)，真實的情況可能遠(yuǎn)遠(yuǎn)大于整個數(shù)值。

資產(chǎn)安全屬性

安全有三大屬性，分別是機密性、完整性和可用性。通過描述資產(chǎn)的哪些屬性可能受到影響，這是一種經(jīng)過驗證的理解事件潛在影響的方法。因此安全人員在評估安全事件時，應(yīng)首要考慮“資產(chǎn)或數(shù)據(jù)的副本是否泄露”(機密性)，“已知和可信的狀態(tài)是否改變”(完整性)，“組織能否繼續(xù)訪問”(可用性)。

數(shù)據(jù)泄露類型也是報告重點關(guān)注的方向，例如個人數(shù)據(jù)代表來自客戶、合作伙伴或員工的個人身份信息(PII)。隨著全球數(shù)據(jù)安全、隱私保護的力度持續(xù)增加，跨國企業(yè)的數(shù)據(jù)合規(guī)要求也在不斷增加。

此外有一個數(shù)據(jù)品種引起了DBIR團隊的注意:虛擬貨幣。今年涉及加密貨幣的入侵?jǐn)?shù)量比去年增加了四倍，與2020年相比更是相去甚遠(yuǎn)。涉及虛擬貨幣的網(wǎng)絡(luò)攻擊主要是漏洞利用、憑證竊取、網(wǎng)絡(luò)釣魚等。在過去五年中，憑證得到了極大的普及，因此憑證竊取也成為了最受歡迎的攻擊方式。實際過程中，虛擬貨幣攻擊常常如此：交易所的應(yīng)用程序或API接口被攻破，或者在聊天平臺上進行釣魚攻擊，只要點擊一個鏈接，虛擬貨幣錢包就不是你的了。

事件分類模式

DBIR在2014年首次引入了事件模式分類，而在每年的報告中會根據(jù)攻擊類型和威脅態(tài)勢的變化發(fā)生一些合并與改變。今年共分為基本W(wǎng)eb應(yīng)用程序攻擊、拒絕服務(wù)、資產(chǎn)丟失、混合錯誤、特權(quán)濫用、社會工程學(xué)、系統(tǒng)入侵以及其他錯誤，共計八種分類模式。

1.系統(tǒng)入侵

系統(tǒng)入侵往往涉及更加專業(yè)的網(wǎng)絡(luò)攻擊者，他們利用自己在黑客領(lǐng)域的專業(yè)知識、惡意軟件來實施攻擊，破壞/影響不同規(guī)模的組織，并經(jīng)常利用勒索攻擊作為獲取報酬的重要手段。一旦攻擊者入侵組織，他們就會利用精湛的技能繞過控制，實現(xiàn)他們的目標(biāo)。今年共計有3966事件系統(tǒng)入侵事件，其中1944起確認(rèn)存在數(shù)據(jù)泄露的情況。

2.社會工程

與前一年相比，社會工程事件有所增加，很大程度上是因為商業(yè)電子郵件（BEC）攻擊中經(jīng)常使用偽裝攻擊，這幾乎是去年的兩倍。在這些攻擊中，被盜金額的中位數(shù)幾乎也是過去幾年中最高的，增加至5w美元。

在該報告所分析的所有事件中，屬于該模式的有1700起，其中928起確認(rèn)有數(shù)據(jù)泄露的情況，其中金融類占比89%、間諜類占比11%；憑證竊取占比76%；內(nèi)部錯誤占比28%。

3.基本W(wǎng)eb應(yīng)用程序攻擊

雖然這些漏洞和事件約占我們數(shù)據(jù)集的四分之一，但它們往往主要是由針對憑證的攻擊驅(qū)動的，攻擊者隨后利用這些被盜的憑證訪問各種不同的資源。主要包括利用竊取的憑證，以及漏洞來訪問組織的資產(chǎn)。利用和這個橋頭堡，攻擊者可以做跟多事情，例如竊取關(guān)鍵隱私信息或從存儲庫中的代碼。在該報告所分析的所有事件中，屬于該模式的有1404起，其中1315起確認(rèn)有數(shù)據(jù)泄露的情況。

4.其他錯誤

雖然數(shù)年來大多數(shù)模式都發(fā)生了變化，但人為因素始終存在。在2015年，大多數(shù)的錯誤是媒體資產(chǎn)(文件)的錯誤交付，而錯誤配置在數(shù)據(jù)泄露事件中占了不足10%。然而，今年錯誤配置和錯誤交付已經(jīng)相互融合。

但有意思的是，今年的其他錯誤率正在下降，從去年的13%下降至9%。2022年，在該報告所分析的所有事件中，屬于該模式的有715起，其中708起確認(rèn)有數(shù)據(jù)泄露的情況。而今年只有602起相關(guān)分類事件，已確認(rèn)的事件有512起。

5.拒絕服務(wù)

拒絕服務(wù)是網(wǎng)絡(luò)安全事件中最常見的一種模式類型。這種模式包括通過僵尸網(wǎng)絡(luò)或被入侵的服務(wù)器，向目標(biāo)計算機發(fā)送垃圾數(shù)據(jù)，從而制造網(wǎng)絡(luò)堵塞與服務(wù)器癱瘓，造成拒絕服務(wù)/無法正常訪問。在該報告所分析的所有事件中，屬于該模式的有6248起，其中4起確認(rèn)有數(shù)據(jù)泄露的情況。

6.資產(chǎn)竊取

對于組織來說，資產(chǎn)泄露或竊取的模式仍然是一個問題，大量便攜的設(shè)備存儲數(shù)據(jù)的能力正在大幅增長。經(jīng)濟利益是這類攻擊的主要驅(qū)動因素，攻擊者通過竊取數(shù)據(jù)等資產(chǎn)快速獲得收益。在該報告所分析的所有事件中，屬于該模式的有2091起，其中159起確認(rèn)有數(shù)據(jù)泄露的情況。雖然數(shù)據(jù)泄露確認(rèn)的比例不到10%，但這并不意味著安全，相反因為很多事件的數(shù)據(jù)是“處于風(fēng)險之中”，而不是“確認(rèn)”。

7.特權(quán)濫用

特權(quán)濫用是指使用員工的合法訪問權(quán)限來竊取數(shù)據(jù)的模式。他們通常單獨行動，但有時也會與他人一起行動。這種模式幾乎完全是內(nèi)部人員惡意使用訪問特權(quán)來造成破壞，個人數(shù)據(jù)仍然是這些泄露最常見的數(shù)據(jù)類型。在該報告所分析的所有事件中，屬于該模式的有406起，其中288起確認(rèn)有數(shù)據(jù)泄露的情況。

結(jié)論

2023年，數(shù)據(jù)泄露事件繼續(xù)狂飆，數(shù)據(jù)泄露、竊取、買賣等安全事件屢屢發(fā)生，全球數(shù)據(jù)安全態(tài)勢依舊十分嚴(yán)峻。在實際利益的驅(qū)動下，犯罪團伙和黑灰產(chǎn)大肆竊取組織數(shù)據(jù)，外部攻擊呈現(xiàn)出高頻、高危害的特點，攻擊手法日益復(fù)雜、多變，專業(yè)化、定制化程度不斷上升。在這樣的情況下，傳統(tǒng)防護體系難以抵御，如何防護新型的網(wǎng)絡(luò)攻擊是組織需要解決的難題。

關(guān)鍵詞：