近期，Verizon發(fā)布《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》（DBIR）。報(bào)告指出，2022年數(shù)據(jù)泄露事件中82%的違規(guī)行為涉及人為因素，勒索軟件泄露事件增加了13%，超過過去五年的總和。

概述

過去的2022年在許多方面都是不平凡的，但就網(wǎng)絡(luò)犯罪世界而言，數(shù)據(jù)泄露無疑是最觸目驚心的。從公開的關(guān)鍵基礎(chǔ)設(shè)施攻擊到大規(guī)模的供應(yīng)鏈破壞，出于經(jīng)濟(jì)動(dòng)機(jī)的犯罪分子和邪惡的APT組織在過去12個(gè)月中十分猖獗。今年，DBIR團(tuán)隊(duì)分析了23896個(gè)安全事件，其中5212個(gè)是確定的數(shù)據(jù)泄露事件。該報(bào)告研究相關(guān)數(shù)據(jù)對上述行為及其他針對企業(yè)的常見行動(dòng)類型能夠帶來哪些啟示。

關(guān)鍵要點(diǎn)對數(shù)據(jù)資產(chǎn)產(chǎn)生危害的主要路徑

報(bào)告指出，目前有四個(gè)主要途徑會(huì)威脅到數(shù)據(jù)資產(chǎn)：憑證竊取、網(wǎng)絡(luò)釣魚、漏洞利用和僵尸網(wǎng)絡(luò)。該報(bào)告的各部分都將提及這四種方式。對于這四個(gè)主要問題，沒有一個(gè)組織是安全的，也沒有一個(gè)計(jì)劃能夠處理所有這些問題。

在非錯(cuò)誤操作/誤操作范圍內(nèi)的攻擊方式枚舉

勒索軟件持續(xù)上升

今年，勒索軟件繼續(xù)保持上升趨勢，同比增加了近13%。這一增長幅度相當(dāng)于過去五年的總和。更重要的是，勒索軟件本身是一個(gè)將組織的訪問權(quán)變現(xiàn)的模式。阻止上述四個(gè)關(guān)鍵路徑是有助于阻止勒索軟件入侵網(wǎng)絡(luò)的最常見辦法。

勒索軟件的增長趨勢

供應(yīng)鏈?zhǔn)谴蟛糠窒到y(tǒng)入侵事件的罪魁禍?zhǔn)?

《2021年數(shù)據(jù)泄露調(diào)查報(bào)告》說明了一個(gè)關(guān)鍵的供應(yīng)鏈漏洞如何導(dǎo)致廣泛的后果。今年62%的系統(tǒng)入侵事件是由供應(yīng)鏈造成的。與出于經(jīng)濟(jì)動(dòng)機(jī)的行為者不同，APT組織可以通過權(quán)限繞過漏洞，在系統(tǒng)中維持權(quán)限并持續(xù)訪問。

低級(jí)失誤仍是主要問題

錯(cuò)誤仍然是主要趨勢，是13%違規(guī)行為的主要原因。這一問題很大程度上是受配置錯(cuò)誤的云存儲(chǔ)影響。雖然這是連續(xù)第二年看到這種問題的占比略有下降，但員工造成的錯(cuò)誤不應(yīng)被忽視。

違規(guī)事件中的錯(cuò)誤配置隨時(shí)間推移的變化趨勢

人為因素繼續(xù)導(dǎo)致違規(guī)行為的產(chǎn)生

今年，82%的違規(guī)事件涉及人為因素。無論是憑證丟失、網(wǎng)絡(luò)釣魚、誤用等簡單的錯(cuò)誤，人在安全事件和數(shù)據(jù)漏洞事件中始終扮演著非常重要的角色。

事件模式分類

DBIR在2014年首次引入了事件模式分類，去年由于攻擊類型和威脅態(tài)勢的變化，模式分類發(fā)生一些合并與改變，由原來的九個(gè)模式變化為系統(tǒng)入侵、社會(huì)工程、基本W(wǎng)eb應(yīng)用程序攻擊、其他錯(cuò)誤、拒絕服務(wù)、資產(chǎn)丟失和竊取、特權(quán)濫用與其他共八種模式。

1、系統(tǒng)入侵

這種模式往往包括十分復(fù)雜的漏洞和攻擊方式，利用多個(gè)攻擊行動(dòng)——如社工、惡意軟件和黑客攻擊組合而成。在這一模式中發(fā)現(xiàn)了很多供應(yīng)鏈漏洞和勒索軟件，這兩種情況尤其在今年急劇增加。

在該報(bào)告所分析的所有事件中，屬于該模式的有7013起，其中1999起確認(rèn)有數(shù)據(jù)泄露的情況。

2、社會(huì)工程

82%的違規(guī)事件的關(guān)鍵驅(qū)動(dòng)因素仍然是人為因素，該模式覆蓋了很大比例的漏洞。此外，惡意軟件和被盜憑證是第二關(guān)鍵驅(qū)動(dòng)因素，強(qiáng)調(diào)了擁有安全意識(shí)的重要性。

在該報(bào)告所分析的所有事件中，屬于該模式的有2249起，其中1063起確認(rèn)有數(shù)據(jù)泄露的情況。

這些攻擊分為釣魚攻擊和電話竊聽攻擊，通常與商業(yè)電子郵件（BEC）攻擊有關(guān)。

3、基本W(wǎng)eb應(yīng)用程序攻擊

在基本W(wǎng)eb應(yīng)用程序攻擊(BWAA)中，主要關(guān)注直接攻擊目標(biāo)，即一個(gè)組織公開基礎(chǔ)設(shè)施，如對Web服務(wù)器的攻擊。這些攻擊一般是通過使用被盜憑證或利用漏洞來實(shí)現(xiàn)。

這種模式的攻擊分為兩個(gè)方向。首先是通過憑據(jù)、漏洞或暴破的方式訪問服務(wù)器的方法，其次是基于有效載荷，如用于保持持久性訪問的后門。

在該報(bào)告所分析的所有事件中，屬于該模式的有4751起，其中1273起確認(rèn)有數(shù)據(jù)泄露的情況。

自2017年以來，被盜憑證的數(shù)量增加了近30%，這使它在過去四年中成為最容易獲取機(jī)構(gòu)信息的方法之一。經(jīng)濟(jì)因素是發(fā)動(dòng)基本W(wǎng)eb應(yīng)用程序攻擊的最主要?jiǎng)訖C(jī)。

4、其他錯(cuò)誤

雖然數(shù)年來大多數(shù)模式都發(fā)生了變化，但人為因素始終存在。在2015年，大多數(shù)的錯(cuò)誤是媒體資產(chǎn)(文件)的錯(cuò)誤交付，而錯(cuò)誤配置在數(shù)據(jù)泄露事件中占了不足10%。然而，今年錯(cuò)誤配置和錯(cuò)誤交付已經(jīng)相互融合。

在該報(bào)告所分析的所有事件中，屬于該模式的有715起，其中708起確認(rèn)有數(shù)據(jù)泄露的情況。

5、拒絕服務(wù)

拒絕服務(wù)是網(wǎng)絡(luò)安全事件中最常見的一種模式類型。這種模式包括通過僵尸網(wǎng)絡(luò)或被入侵的服務(wù)器，向目標(biāo)計(jì)算機(jī)發(fā)送垃圾數(shù)據(jù)，從而制造網(wǎng)絡(luò)堵塞與服務(wù)器癱瘓，造成拒絕服務(wù)/無法正常訪問。

在該報(bào)告所分析的所有事件中，屬于該模式的有8456起，其中4起確認(rèn)有數(shù)據(jù)泄露的情況。

此種攻擊行為發(fā)生在各行各業(yè)當(dāng)中，但是大部分組織一年中受到此種攻擊行為的次數(shù)均少于10次。

6、資產(chǎn)丟失和竊取

這種模式的盛行是由經(jīng)濟(jì)動(dòng)機(jī)驅(qū)動(dòng)的——許多盜竊犯作案的目的在于通過出售被盜資產(chǎn)從而迅速獲得收益。受這些事件影響的數(shù)據(jù)類型與去年幾乎完全相同。盜竊行為通常由外部行為者實(shí)施，而員工則要為丟失資產(chǎn)負(fù)責(zé)。

在該報(bào)告所分析的所有事件中，屬于該模式的有885起，其中81起確認(rèn)有數(shù)據(jù)泄露的情況。

7、特權(quán)濫用

特權(quán)濫用是指使用員工的合法訪問權(quán)限來竊取數(shù)據(jù)的模式。他們通常單獨(dú)行動(dòng)，但有時(shí)也會(huì)與他人一起行動(dòng)。這種模式幾乎完全是內(nèi)部人員惡意使用訪問特權(quán)來造成破壞。個(gè)人數(shù)據(jù)仍然是這些泄露最常見的數(shù)據(jù)類型。

在該報(bào)告所分析的所有事件中，屬于該模式的有275起，其中216起確認(rèn)有數(shù)據(jù)泄露的情況。

區(qū)域調(diào)查結(jié)果

DBIR報(bào)告的調(diào)查區(qū)域如下：

亞太地區(qū)（APAC）：包括南亞、東南亞、中亞、東亞和大洋洲；

歐洲、中東和非洲（EMEA）：包括北非、歐洲和北亞、西亞；

北美（NA）：主要包括美國和加拿大；

拉丁美洲和加勒比地區(qū)（LAC）：南美洲、中美洲和加勒比海。

亞太地區(qū)（APAC）

在亞太地區(qū)，社工和黑客攻擊的案件數(shù)量很多，但勒索軟件的案件數(shù)量遠(yuǎn)遠(yuǎn)低于其他地區(qū)。

各種模式在亞太地區(qū)的數(shù)據(jù)泄露事件中所占比例

歐洲、中東和非洲（EMEA）

社工在該地區(qū)的增多說明了需要相關(guān)控制措施來快速檢測此類攻擊。憑證盜竊仍然是一個(gè)大問題，Web應(yīng)用程序攻擊在歐洲、中東和非洲的持續(xù)存在就說明了這一點(diǎn)。

各種模式在歐洲、中東和非洲的數(shù)據(jù)泄露事件中所占比例

北美（NA）

系統(tǒng)入侵已成為該地區(qū)的主要風(fēng)險(xiǎn)。隨著系統(tǒng)入侵的增加，社工逐步讓位，但在北美，像網(wǎng)絡(luò)釣魚等社會(huì)行為也是很大的問題。Web應(yīng)用攻擊也繼續(xù)困擾著這里的組織。

各種模式在北美的數(shù)據(jù)泄露事件中所占比例

拉丁美洲和加勒比地區(qū)（LAC）

與世界其他地區(qū)一樣，拉丁美洲的企業(yè)面臨著針對其業(yè)務(wù)運(yùn)作的攻擊，如勒索軟件和拒絕服務(wù)攻擊。這些攻擊分別占該地區(qū)安全事件的37%和27%。

各種模式在拉丁美洲和加勒比地區(qū)的數(shù)據(jù)泄露事件中所占比例