通信運營商Verizon公司對2022年數(shù)據(jù)泄露事件的統(tǒng)計數(shù)據(jù)表明,網(wǎng)絡(luò)安全行業(yè)在防范人員攻擊媒介方面還有更多工作要做。網(wǎng)絡(luò)攻擊者竊取憑證、濫用特權(quán)、人為錯誤、精心策劃的社交工程、商業(yè)電子郵件泄露(BEC)的數(shù)量在短短一年內(nèi)翻了一番。每個網(wǎng)絡(luò)安全提供商都需要加緊努力,改進身份、特權(quán)訪問和端點安全性,以提供客戶所需的價值。企業(yè)必須超越安全培訓(xùn),采取行動提供一個強大的防御基線。
網(wǎng)絡(luò)攻擊者正在尋找新的方法來欺騙受害者
Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》反映了網(wǎng)絡(luò)威脅正在以多快的速度演變,人們的善良本性正在被蠶食。當(dāng)同事、朋友和家人需要獲得現(xiàn)金或其他形式的經(jīng)濟幫助時,通常會幫助他們,而這是網(wǎng)絡(luò)攻擊者精心策劃的社交工程攻擊的一部分。眾所周知的禮品卡騙局已經(jīng)變得如此普遍,以至于美國聯(lián)邦貿(mào)易委員會發(fā)布了如何避免網(wǎng)絡(luò)欺詐的指導(dǎo)方針。根據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心(IC3)發(fā)布的數(shù)據(jù),商業(yè)電子郵件泄露(BEC)的平均詐騙金額已經(jīng)增長到5萬美元。
更多的預(yù)算,更多的違規(guī)
該報告最有力的結(jié)論之一是,盡管支出增加,但網(wǎng)絡(luò)安全的改進速度還不夠快,不足以保護人們免受網(wǎng)絡(luò)欺詐和攻擊。應(yīng)對這一挑戰(zhàn)的辦法并不是在安全培訓(xùn)上增加更多的費用,與其相反,如果企業(yè)在發(fā)生數(shù)據(jù)泄露之前采取預(yù)防措施,那么將會更安全。在最近接受行業(yè)媒體采訪時,網(wǎng)絡(luò)安全專家John Kindervag建議企業(yè)從大規(guī)模掌握基本的網(wǎng)絡(luò)安全措施,逐步實施零信任,從一次保護一個面開始。Kindervag建議企業(yè)不要同時保護所有的面,而是選擇一種迭代的方法,他指出,這是一種經(jīng)過驗證的零信任方式,無需要求企業(yè)董事會進行設(shè)備級投資。
《2023年數(shù)據(jù)泄露調(diào)查報告》的10個要點
網(wǎng)絡(luò)攻擊者的微調(diào)策略縮短了從最初接觸目標(biāo)到目標(biāo)真正成為受害者的時間。竊取特權(quán)訪問憑證仍然是網(wǎng)絡(luò)攻擊者獲得系統(tǒng)訪問權(quán)限并混入常規(guī)系統(tǒng)流量而不被發(fā)現(xiàn)的最常用方法。Verizon公司發(fā)現(xiàn),僅在一年內(nèi),被盜憑證的使用量就從41.6%增長到44.7%。
以下是Verizon公司《2023年數(shù)據(jù)泄露調(diào)查報告》的十大關(guān)鍵要點:
(1)83%的網(wǎng)絡(luò)入侵是由尋求快速經(jīng)濟利益的網(wǎng)絡(luò)攻擊者發(fā)起的。每10次攻擊中有8次是有組織的犯罪團伙和網(wǎng)絡(luò)發(fā)起的,95%的情況下是為了經(jīng)濟利益。針對客戶和金融數(shù)據(jù)的攻擊司空見慣,勒索軟件是首選武器。
金融服務(wù)和制造業(yè)是網(wǎng)絡(luò)攻擊者的首選目標(biāo),因為這些企業(yè)必須按時提供產(chǎn)品和服務(wù),才能留住客戶并發(fā)展業(yè)務(wù)。而人員已經(jīng)成為初始威脅面的選擇,采用各種借口,配合社交工程,成為初始攻擊的策略。
(2)84%的網(wǎng)絡(luò)攻擊目標(biāo)是將人類作為攻擊媒介,使用社交工程和商業(yè)電子郵件泄露(BEC)策略。根據(jù)Verizon公司最近發(fā)布的兩份研究報告,許多違規(guī)行為都涉及人為錯誤。根據(jù)今年發(fā)布的研究報告,74%的數(shù)據(jù)泄露始于人為錯誤、社交工程或濫用。在去年的報告中,這一數(shù)字甚至更高,達到82%。但根據(jù)Verizon公司2021年發(fā)布的研究報告,只有35%的成功違規(guī)行為是以這種方式開始的。
(3)五分之一(19%)的違規(guī)行為來自企業(yè)內(nèi)部。一些企業(yè)的首席信息安全官表示,內(nèi)部攻擊是他們最可怕的噩夢,因為識別和阻止這類漏洞具有挑戰(zhàn)性。這就是擁有人工智能和機器學(xué)習(xí)專業(yè)知識的行業(yè)領(lǐng)先供應(yīng)商在他們的路線圖上有內(nèi)部威脅緩解的原因。博思艾倫咨詢公司使用數(shù)據(jù)網(wǎng)格架構(gòu)和機器學(xué)習(xí)算法來檢測、監(jiān)控和響應(yīng)可疑的網(wǎng)絡(luò)活動。Proofpoint公司是另一家使用人工智能和機器學(xué)習(xí)的內(nèi)部威脅檢測供應(yīng)商。Proofpoint公司的ObserveIT提供實時警報和可操作的用戶活動洞察。
(4)一些供應(yīng)商正在探索或收購一些公司,以增強其平臺抵御內(nèi)部威脅的能力。一個例子是CrowdStrike公司在2022年度大會上宣布收購Reposify公司。Reposify的軟件每天掃描web,搜索暴露的資產(chǎn)以使企業(yè)能夠看到它們,并定義他們需要采取的措施進行修復(fù)。CrowdStrike公司計劃將Reposify公司的技術(shù)整合到CrowdStrike平臺中,以幫助客戶阻止內(nèi)部攻擊。
(5)系統(tǒng)入侵、基礎(chǔ)web應(yīng)用程序攻擊和社交工程是主要的攻擊策略。在Verizon公司2021年發(fā)布的研究報告中,基本的web應(yīng)用程序攻擊占違規(guī)行為的39%,89%是出于經(jīng)濟動機。當(dāng)年,網(wǎng)絡(luò)釣魚和商業(yè)欺詐也很普遍,而且出于經(jīng)濟動機(95%)。相比之下,今年發(fā)布的研究報告中發(fā)現(xiàn),系統(tǒng)入侵、基本web應(yīng)用程序攻擊和社交工程占信息行業(yè)違規(guī)行為的77%,其中大多數(shù)是出于經(jīng)濟動機。
(6)從Verizon公司發(fā)布的兩年研究報告來看,web應(yīng)用程序攻擊的增長趨勢正在增加。這強調(diào)了更有效地采用基于零信任的web應(yīng)用程序安全性和跨企業(yè)的安全網(wǎng)絡(luò)訪問的必要性。該領(lǐng)域的領(lǐng)先供應(yīng)商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler,它們提供零信任網(wǎng)絡(luò)訪問(ZTNA)來保護用戶訪問和web應(yīng)用程序防火墻((WAF),以保護應(yīng)用程序免受攻擊。例如,愛立信公司基于隔離的零信任網(wǎng)絡(luò)訪問(ZTNA)可以保護企業(yè)網(wǎng)絡(luò)和SaaS應(yīng)用程序的訪問安全,保護面向公眾的應(yīng)用程序免受攻擊,并提供無客戶端選項,在通過BYOD和第三方非托管設(shè)備訪問安全方面被證明是有效的。
(7)系統(tǒng)入侵是一種網(wǎng)絡(luò)攻擊策略,由更有經(jīng)驗的網(wǎng)絡(luò)攻擊者使用,他們可以訪問惡意軟件來破壞企業(yè)并提供勒索軟件。根據(jù)Verizon公司在去年發(fā)布的研究報告,系統(tǒng)入侵取代了2021年排名第一的基本web應(yīng)用程序攻擊,成為排名第一的事件類別。
(8)社交工程攻擊的復(fù)雜性正在快速增長。今年發(fā)布的研究報告凸顯了社交工程攻擊的利潤是多么豐厚,以及如今的方式是多么復(fù)雜。商業(yè)電子郵件泄露(BEC)在整個事件數(shù)據(jù)集中幾乎翻了一番,現(xiàn)在占社交工程事件的50%以上。相比之下,Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》指出,25%的違規(guī)行為是由社交工程攻擊造成的。在2021年,Verizon公司發(fā)現(xiàn)商業(yè)電子郵件泄露(BEC)的是排名第二常見的社交工程類型,在過去三年中增長了15倍。
(9)2023年95%的數(shù)據(jù)泄露是出于經(jīng)濟原因,這與有關(guān)民族國家的攻擊活動相反。隨著網(wǎng)絡(luò)攻擊者改進他們的社交工程技術(shù),出于經(jīng)濟動機的攻擊比例也在增加。之前報告的趨勢數(shù)據(jù)表明,經(jīng)濟利益越來越多地成為企業(yè)間諜活動或前雇員報復(fù)性攻擊的主要動機。根據(jù)Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》,90%的網(wǎng)絡(luò)攻擊者為了經(jīng)濟利益發(fā)起網(wǎng)絡(luò)攻擊,高于2021年的85%。
這一增長可歸因于更高的潛在勒索軟件支出,以及成功率更高的多種網(wǎng)絡(luò)攻擊策略。還有一種可能是沒有被檢測到的間諜攻擊,因為網(wǎng)絡(luò)攻擊者知道如何竊取特權(quán)訪問憑證,并在幾個月內(nèi)不被發(fā)現(xiàn)地破壞網(wǎng)絡(luò)。
(10)在過去兩年中,每次勒索軟件事件給受害者造成的平均損失增加了一倍多,達到26000美元,95%的事件造成的損失在100萬至225萬美元之間。隨著網(wǎng)絡(luò)攻擊者以那些因關(guān)閉系統(tǒng)而損失最大的行業(yè)為目標(biāo),勒索軟件支付的金額繼續(xù)創(chuàng)下紀(jì)錄。正如《2023年數(shù)據(jù)泄露調(diào)查報告》指出的那樣,金融服務(wù)和制造業(yè)成為受影響最嚴(yán)重的行業(yè)并不奇怪。
對于《2021年數(shù)據(jù)泄露調(diào)查報告》,Verizon公司引用了美國聯(lián)邦調(diào)查局(FBI)的數(shù)據(jù),發(fā)現(xiàn)勒索軟件攻擊事件的平均損失為11150美元。2020年,勒索軟件攻擊事件的平均損失為8100美元,2018年僅為4300美元。因此,在五年內(nèi),勒索軟件攻擊事件的平均損失增加了兩倍。
今年24%的網(wǎng)絡(luò)攻擊事件涉及勒索軟件,繼續(xù)作為主要攻擊策略呈長期上升趨勢。《2023年數(shù)據(jù)泄露調(diào)查報告》指出,有組織犯罪攻擊者的所有事件中有62%發(fā)現(xiàn)了勒索軟件,所有以經(jīng)濟為目標(biāo)的事件中有59%發(fā)現(xiàn)了勒索軟件。Verizon公司對2022年的分析發(fā)現(xiàn),勒索軟件漏洞與前一年相比增加了13%。隨著這一趨勢的延續(xù)和勢頭的增強,勒索軟件攻擊數(shù)量在2022年至2023年間翻了一番多,從2022年的25%上升到今年的62%。
32%以上的Log4j漏洞掃描發(fā)生在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)漏洞之后的前30天。Verizon公司在報告中指出,在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)漏洞17天之后,漏洞利用就達到了頂峰。Log4j漏洞的快速利用說明了企業(yè)必須更快地響應(yīng)新威脅的原因。他們必須在發(fā)現(xiàn)漏洞時優(yōu)先修補和更新系統(tǒng)。這包括應(yīng)用所有軟件和系統(tǒng)安全補丁。健壯的漏洞管理程序可以幫助企業(yè)在網(wǎng)絡(luò)攻擊者利用漏洞之前識別和修復(fù)漏洞。
金融和保險行業(yè)74%的數(shù)據(jù)泄露涉及個人數(shù)據(jù)泄露,遠遠領(lǐng)先于所有行業(yè)。相比之下,其他行業(yè)的個人數(shù)據(jù)泄露情況要少得多:34%的住宿和餐飲服務(wù)行業(yè)的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的,而教育服務(wù)行業(yè)的這一數(shù)字為56%。
網(wǎng)絡(luò)攻擊者經(jīng)常利用憑證和勒索軟件攻擊金融機構(gòu),這就解釋了金融行業(yè)在個人數(shù)據(jù)泄露攻擊方面領(lǐng)先于其他所有行業(yè)的原因。
回顧過去,在所有行業(yè)中,2021年83%的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的。根據(jù)Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》,網(wǎng)絡(luò)應(yīng)用程序攻擊、系統(tǒng)入侵和其他錯誤導(dǎo)致了79%的金融和保險違規(guī)行為。
網(wǎng)絡(luò)安全支出是對信任的商業(yè)投資
Verizon公司在今年發(fā)布的研究報告指出,越來越多的人了解網(wǎng)絡(luò)攻擊者如何利用借口和先進的數(shù)字欺詐形式改變威脅格局。該報告的主要發(fā)現(xiàn)是,盡管網(wǎng)絡(luò)安全支出有所增加,但違規(guī)行為正變得越來越頻繁和復(fù)雜,這凸顯出需要一種更加集成、統(tǒng)一的網(wǎng)絡(luò)安全方法,而不是讓身份安全成為偶然。
不出所料,24%的違規(guī)行為涉及勒索軟件,這表明網(wǎng)絡(luò)攻擊者越來越多地針對那些因業(yè)務(wù)中斷而損失最大的行業(yè)進行攻擊。勒索軟件攻擊事件的平均損失增加,使備份和事件響應(yīng)策略更加必要,以盡量減少損失。Verizon公司在關(guān)于Log4j漏洞被迅速利用的報告中指出,企業(yè)需要迅速采取行動應(yīng)對新的威脅,其中一些方法是加快打補丁和更新系統(tǒng)。
總而言之,《2023年數(shù)據(jù)泄露調(diào)查報告》強調(diào)了企業(yè)重新考慮其網(wǎng)絡(luò)安全戰(zhàn)略的必要性。他們必須考慮人為因素,其中包括內(nèi)部威脅以及攻擊策略的發(fā)展速度。企業(yè)必須創(chuàng)造一種超越IT部門的網(wǎng)絡(luò)安全文化,這是一種提高警惕性、彈性和不斷適應(yīng)不斷變化的威脅的文化。