近期,Verizon发布《2022年数据泄露调查报告》(DBIR)。报告指出,2022年数据泄露事件中82%的违规行为涉及人为因素,勒索软件泄露事件增加了13%,超过过去五年的总和。

概述

过去的2022年在许多方面都是不平凡的,但就网络犯罪世界而言,数据泄露无疑是最触目惊心的。从公开的关键基础设施攻击到大规模的供应链破坏,出于经济动机的犯罪分子和邪恶的APT组织在过去12个月中十分猖獗。今年,DBIR团队分析了23896个安全事件,其中5212个是确定的数据泄露事件。该报告研究相关数据对上述行为及其他针对企业的常见行动类型能够带来哪些启示。

关键要点

对数据资产产生危害的主要路径

报告指出,目前有四个主要途径会威胁到数据资产:凭证窃取、网络钓鱼、漏洞利用和僵尸网络。该报告的各部分都将提及这四种方式。对于这四个主要问题,没有一个组织是安全的,也没有一个计划能够处理所有这些问题。

在非错误操作/误操作范围内的攻击方式枚举

勒索软件持续上升

今年,勒索软件继续保持上升趋势,同比增加了近13%。这一增长幅度相当于过去五年的总和。更重要的是,勒索软件本身是一个将组织的访问权变现的模式。阻止上述四个关键路径是有助于阻止勒索软件入侵网络的最常见办法。

勒索软件的增长趋势

供应链是大部分系统入侵事件的罪魁祸首

《2021年数据泄露调查报告》说明了一个关键的供应链漏洞如何导致广泛的后果。今年62%的系统入侵事件是由供应链造成的。与出于经济动机的行为者不同,APT组织可以通过权限绕过漏洞,在系统中维持权限并持续访问。

低级失误仍是主要问题

错误仍然是主要趋势,是13%违规行为的主要原因。这一问题很大程度上是受配置错误的云存储影响。虽然这是连续第二年看到这种问题的占比略有下降,但员工造成的错误不应被忽视。

违规事件中的错误配置随时间推移的变化趋势

人为因素继续导致违规行为的产生

今年,82%的违规事件涉及人为因素。无论是凭证丢失、网络钓鱼、误用等简单的错误,人在安全事件和数据漏洞事件中始终扮演着非常重要的角色。

事件模式分类

DBIR在2014年首次引入了事件模式分类,去年由于攻击类型和威胁态势的变化,模式分类发生一些合并与改变,由原来的九个模式变化为系统入侵、社会工程、基本Web应用程序攻击、其他错误、拒绝服务、资产丢失和窃取、特权滥用与其他共八种模式。

1、系统入侵

这种模式往往包括十分复杂的漏洞和攻击方式,利用多个攻击行动——如社工、恶意软件和黑客攻击组合而成。在这一模式中发现了很多供应链漏洞和勒索软件,这两种情况尤其在今年急剧增加。

在该报告所分析的所有事件中,属于该模式的有7013起,其中1999起确认有数据泄露的情况。

2、社会工程

82%的违规事件的关键驱动因素仍然是人为因素,该模式覆盖了很大比例的漏洞。此外,恶意软件和被盗凭证是第二关键驱动因素,强调了拥有安全意识的重要性。

在该报告所分析的所有事件中,属于该模式的有2249起,其中1063起确认有数据泄露的情况。

这些攻击分为钓鱼攻击和电话窃听攻击,通常与商业电子邮件(BEC)攻击有关。

3、基本Web应用程序攻击

在基本Web应用程序攻击(BWAA)中,主要关注直接攻击目标,即一个组织公开基础设施,如对Web服务器的攻击。这些攻击一般是通过使用被盗凭证或利用漏洞来实现。

这种模式的攻击分为两个方向。首先是通过凭据、漏洞或暴破的方式访问服务器的方法,其次是基于有效载荷,如用于保持持久性访问的后门。

在该报告所分析的所有事件中,属于该模式的有4751起,其中1273起确认有数据泄露的情况。

自2017年以来,被盗凭证的数量增加了近30%,这使它在过去四年中成为最容易获取机构信息的方法之一。经济因素是发动基本Web应用程序攻击的最主要动机。

4、其他错误

虽然数年来大多数模式都发生了变化,但人为因素始终存在。在2015年,大多数的错误是媒体资产(文件)的错误交付,而错误配置在数据泄露事件中占了不足10%。然而,今年错误配置和错误交付已经相互融合。

在该报告所分析的所有事件中,属于该模式的有715起,其中708起确认有数据泄露的情况。

5、拒绝服务

拒绝服务是网络安全事件中最常见的一种模式类型。这种模式包括通过僵尸网络或被入侵的服务器,向目标计算机发送垃圾数据,从而制造网络堵塞与服务器瘫痪,造成拒绝服务/无法正常访问。

在该报告所分析的所有事件中,属于该模式的有8456起,其中4起确认有数据泄露的情况。

此种攻击行为发生在各行各业当中,但是大部分组织一年中受到此种攻击行为的次数均少于10次。

6、资产丢失和窃取

这种模式的盛行是由经济动机驱动的——许多盗窃犯作案的目的在于通过出售被盗资产从而迅速获得收益。受这些事件影响的数据类型与去年几乎完全相同。盗窃行为通常由外部行为者实施,而员工则要为丢失资产负责。

在该报告所分析的所有事件中,属于该模式的有885起,其中81起确认有数据泄露的情况。

7、特权滥用

特权滥用是指使用员工的合法访问权限来窃取数据的模式。他们通常单独行动,但有时也会与他人一起行动。这种模式几乎完全是内部人员恶意使用访问特权来造成破坏。个人数据仍然是这些泄露最常见的数据类型。

在该报告所分析的所有事件中,属于该模式的有275起,其中216起确认有数据泄露的情况。

区域调查结果

DBIR报告的调查区域如下:

亚太地区(APAC):包括南亚、东南亚、中亚、东亚和大洋洲;

欧洲、中东和非洲(EMEA):包括北非、欧洲和北亚、西亚;

北美(NA):主要包括美国和加拿大;

拉丁美洲和加勒比地区(LAC):南美洲、中美洲和加勒比海。

亚太地区(APAC)

在亚太地区,社工和黑客攻击的案件数量很多,但勒索软件的案件数量远远低于其他地区。

各种模式在亚太地区的数据泄露事件中所占比例

欧洲、中东和非洲(EMEA)

社工在该地区的增多说明了需要相关控制措施来快速检测此类攻击。凭证盗窃仍然是一个大问题,Web应用程序攻击在欧洲、中东和非洲的持续存在就说明了这一点。

各种模式在欧洲、中东和非洲的数据泄露事件中所占比例

北美(NA)

系统入侵已成为该地区的主要风险。随着系统入侵的增加,社工逐步让位,但在北美,像网络钓鱼等社会行为也是很大的问题。Web应用攻击也继续困扰着这里的组织。

各种模式在北美的数据泄露事件中所占比例

拉丁美洲和加勒比地区(LAC)

与世界其他地区一样,拉丁美洲的企业面临着针对其业务运作的攻击,如勒索软件和拒绝服务攻击。这些攻击分别占该地区安全事件的37%和27%。

各种模式在拉丁美洲和加勒比地区的数据泄露事件中所占比例

*来源:Verizon

声明:本文来自数据合规公社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。