《2020事件响应和数据泄露报告》解读
7月,著名网络安全公司Crypsis发布了一份有关数据泄密的报告——《2020事件响应和数据泄露报告》。该报告对Crypsis在2019年进行的超过1000项调查的数据进行分析,范围包括勒索软件、商业电子邮件泄露(BEC)、数据泄露事件等。该报告旨在提供信息,使人们丰富、深入了解现实世界的网络安全风险。本文对该报告主要内容进行解读,并提出几点认识与思考。
一 报告主要内容
该报告将2019年进行的超过1000项调查的有关数据泄密的案例分为三种典型类型:勒索软件、商业电子邮件泄露(BEC)、数据泄露,其中数据泄露又包括了网络入侵、内部威胁和疏忽泄露。报告分析了各种类型的数据泄密对各个行业的影响程度和以及造成的原因。该报告通过分析得出了以下结论:勒索软件攻击和BEC仍然是对企业最普遍和影响最大的网络威胁;受网络攻击影响最严重的行业有医疗保健、金融服务行业、信息技术行业;内部威胁是2019年网络风险的黑马,其危险程度不容忽视。报告主要内容概括如下:
(一)勒索软件
2019年勒索软件事件最常见的攻击载体分别是:RDP服务、网络钓鱼、web应用程序。在Crypsis 2019年的数据集中,排名第一的攻击载体是通过RDP服务,发生在50%的勒索软件事件中。当启用时,RDP允许用户远程连接到其他基于windows的设备网络;它通常被IT服务提供商或远程工作者使用。在没有适当控制的情况下实施RDP会使系统易受攻击。例如,弱密码,不受限制的互联网访问,无限制的身份验证尝试和使用过时的RDP协议,这些都为网络攻击者敞开了大门。排名第二大攻击载体通常是通过网络钓鱼或者钓鱼式电子邮件攻击(占了43%的勒索软件事件);而针对外部系统的web应用程序攻击是2019年的第三大攻击源(占勒索软件事件的7%)。在这种情况下,网络威胁者依赖利用面向internet的应用程序中的漏洞来进行网络攻击。
勒索软件攻击更具针对性(主要针对大型企业),网络攻击者要求的赎金金额急剧增加。2018年至2019年之间,平均要求的赎金增加了200%,平均为115123美元。这些勒索软件攻击者现在已经针对性地重点转移到他们知道可以支付更高赎金的大型企业而不是较小的个人企业。这些年来,攻击策略和操纵受害者的方法也已经更成熟。2015年,在加密事件中支付的最高赎金是500万美元,而在2017年和2018年的平均赎金要求高达17707美元。自2018年初以来,赎金平均值的增长甚至更为惊人,从2018年第一季度(5431.4美元)到2019年最后一季度(21728.73美元)增长300%。
任何行业都无法幸免于勒索软件的威胁,受勒索软件影响最大的行业有:医疗保健、制造业、信息技术行业。由于医疗保健行业的特殊性,它为需要帮助的人提供关键功能;急诊室,手术室、互连的高可用性的医疗设备等,使得不允许有那么多的停机时间,这使得医疗部门成为勒索软件威胁参与者的主要目标。在2018年中,针对制造业务的勒索软件攻击增加了73%。工厂中的勒索软件攻击可能会削弱企业的产品生产能力,从而导致数天甚至数周的停机时间,从而严重损害其财务状况。信息技术行业:过去一年对信息技术提供商的攻击增加了185%。信息技术提供商,特别是托管服务提供商(MSP),与其客户紧密联系。当威胁参与者入侵MSP的网络时,通常会使所有客户立即面临风险。在2019年,威胁勒索者能够使用MSP作为勒索软件攻击期间无数受害者的切入点。这些都是勒索软件威胁参与者青睐的原因。
(二)商业电子邮件泄露(BEC)
BEC通过针对性攻击窃取敏感数据信息实现财务欺诈,达到获得一笔大额支付的目的。报告分析了BEC案例中最常见泄露的敏感数据类型,排列最靠前分别是:姓名、生日、电话号码、税收id、金融账户信息、支付卡数据。并且报告认为BEC攻击者通常都是发起有针对性的攻击,攻击者在攻击前会识别和研究受害者组织,以了解该他们所在行业以及欺诈活动成功的可能性。一旦攻击前的侦察工作完成,攻击者通常会利用鱼叉式网络钓鱼邮件来窃取证书,目标通常是高管或拥有高级证书和财务敏感数据访问权限的人,如CEO、会计团队或财务部门。2019年,BEC攻击者平均每次从受害者身上盗窃高达264117美元,相比过去的几年里,盗窃的金额速度增长实在惊人。
唯利是图的BEC攻击高度瞄准具有大量金融交易的金融服务与医疗保健行业。由于金融服务行业存储,传输和处理大量可货币化的敏感信息,这些信息过多地吸引了威胁参与者,成为受攻击的重灾区也是在所难免。金融服务行业成为2019年BEC案例的头号目标,几乎占到总数的18%。从银行到当地房地产资产管理公司,威胁行动者瞄准这些组织,因为他们有机会获得大笔资金。针对医疗机构的攻击占Crypsis BEC所有调查的15%。像绝大多数的BEC攻击一样,这里的威胁行为者都是受金融欺诈的驱使。
(三)数据泄漏事件
除了值得关注的勒索软件和BEC威胁外,报告将数据泄露事件分为三类:网络入侵、敏感数据的意外泄露和内部威胁。综上所述,这些威胁构成了对企业安全防护最有影响的风险领域。
网络入侵的主要途径是通过web应用程序攻击,并经常被威胁行动者用来获得未经授权的网络访问。由于这些应用程序通常是公开的,而攻击者会不惜时间尝试各种利用方法进行攻击。在Web开发时,开发人员常常会利用到开源代码,但这其中可能也暗藏了安全漏洞,而开发人员往往没有太多时间去理解每一行代码,这也就为网络安全风险埋下了隐患。操作系统的漏洞或应用程序补丁也可能是web应用程序攻击的重要根源。而漏洞的发现和补丁管理,并且要求不会对业务运营造成破坏是整个行业极具挑战性的事情。
疏忽泄漏是导致敏感数据泄漏的最主要原因,可能直接影响某些行业的网络安全。报告认为导致疏忽泄露事件的首要原因包括:暴露云数据;导致系统不安全状态的错误配置;电子媒体的丢失,如笔记本电脑、外部硬盘驱动器或手持设备的遗失。在Crypsis2019年的疏忽泄露案例调查中,45%的调查结果导致了敏感数据泄露,平均每件事件曝光71.3万个个人记录。大多数暴露的敏感数据包括名字,出生日期,和电话号码、财务记录,税务识别号码,和医疗记录等。报告通过敏感数据类型分析出由此成为网络攻击高入侵行业的分别是:信息技术(18%)、金融服务(17%)和医疗保健行业(15%)。
内部威胁是2019年网络风险的黑马,其危险程度不容忽视。报告中的“内部威胁”是指员工蓄意、恶意地窃取数据。报告认为,内部人员对企业构成真实而潜在的威胁远比外部威胁大,然而企业通常更关注外部威胁的参与者。2019年一份网络安全内部报告发现,70%的组织表示,他们认为内部攻击变得更加频繁,62%的组织最担心恶意的内部攻击。而Crypsis的调查数据也证实了他们的看法:2018-2019年,内部威胁事件上升了68%(占调查总数的百分比)。通过调查案例分析得出造成内部威胁屡屡频发的最主要的三个原因是:获得专业优势;报复/怨恨;获得财务收益。大多数内部威胁案件的动机似乎都与获得专业优势有关(窃取数据或工作产品以帮助个人在另一家公司的职业生涯)。例如,我们发现个人盗窃源代码的意图显然是为了协助竞争对手的软件开发项目(个人离开该企业开始新的职业)。内部人员对雇主采取恶意行动的第二个主要原因是报复或对雇主怀恨在心。例如,在一个案例中,一名员工意图揭发不公平或歧视的行为。内部盗窃获得财务收益是我们2019年恶意内部攻击的第三大动机。
内部威胁影响最大的行业是:金融服务、医疗保健和信息技术行业。从动机的范围来看,每个行业都可能遭受内部威胁攻击。然而,当我们考虑到更有效地窃取数据所需的技能,以及对如何更多地获得具有竞争优势和有价值的数据时,行业受内部威胁攻击的影响程度就显而易见了。首先是金融服务行业最为严重,金融服务行业的公司在内部威胁数据案例中有很好的代表性;这些业务包括银行、会计、房地产金融服务等,处理大型金融交易,为内部盗窃提供成熟的机会,而财务收益是内部威胁的主要动机之一。其次是医疗行业。在2019年的调查中,医疗行业再次成为内部威胁的“风险”行业。与金融服务公司一样,医疗保健组织也收集了大量完整的客户数据集,包括完整的联系信息、通信方式、支付卡数据和敏感的健康信息——这为内部欺诈行为提供了良好的机会。然后是信息技术行业。信息技术行业的公司不仅有高度集中的高技能员工,他们有能力通过非法手段获取数据,窃取数据,并试图删除他们罪行的证据。因此,信息技术行业成为第三大内部威胁重灾区也就不足为奇了。
二 认识与思考
(一)网络安全态势严峻,防止敏感信息和重要数据泄漏刻不容缓
从报告来看,对企业影响最大的网络威胁商业电子邮件泄露(BEC)和内部威胁攻击案例中,多次提到敏感信息和重要数据的泄漏而导致网络风险。占据所有调查项目34%高比例的BEC案例中,有几乎一半(48%)的案例被判定为敏感信息的泄露,平均每起事件暴露超过9400个人的记录。在BEC案例中,窃取数据并不是主要目的,终极目标是财务欺诈,而敏感重要信息的泄漏直接帮助其成功实施财务欺诈。内部威胁案例中,受影响程度最深的两个行业分别是金融行业和医疗保健行业,其最重要的原因之一也是这些行业会收集到大量完整的客户重要数据,这些个人敏感且重要的数据为网络攻击、欺诈提供了重要支撑。同样就在今年6月,台湾省2000万个人数据在暗网泄漏的报道震惊了网络安全界,因为目前中国台湾人口为2380万,这差不多意味着全体台湾人民的个人数据都遭到了泄漏,这几乎是史前最严重的规模最大的一次数据泄漏事件。另一份Reposify安全评估报告中提到,全球领先跨国银行中,23%都有至少一个配置错误的数据库暴露于互联网,54%的至少有一个RDP暴露于互联网,存在数据泄漏的风险。攻击者可以利用这些风险,来获得对银行内部网络的未授权访问,并导致数据泄漏攻击。而另一份数据则显示,今年受新冠病毒的影响,大流行带来的动荡为恶意行为者创造了独特的机会。2020年第二年季度泄漏的数据量猛增至84亿,与2019年第一季度相比增长了273%,创下至少2005年以来的同期纪录。一系列的数据表明,当前网络安全态势严峻,防止敏感信息和重要数据泄漏刻不容缓。
(二)内部防范力量薄弱、安全意识差,外部数据需要旺盛、新技术带来挑战等诸多因素成为数据安全风险激增的主要原因
无论是勒索软件、BEC攻击还是网络入侵、疏忽泄漏以及内部威胁哪种类型的网络攻击造成的数据安全风险问题,探其原因主要有:
1.企业防范力量薄弱、员工安全意识不强
一方面,员工自身对网络安全数据安全意识不强,不经意的疏忽等原因也是造成数据泄漏的另一原因。报告中,专门对疏忽泄漏案例进行分析得出,2019年,疏忽泄露事件中有45%的案例导致了敏感数据的泄密,平均每件事件曝光71.3万个个人记录。这一点也反映了个人的网络安全意识有待提高。报告中内部威胁案例,则大多数是由于开发人员安全意识不强,或者因公司存在“内鬼”导致的。但开发人员安全意识不强的背后,则是整个企业对信息安全的不重视。2017年著名的WannaCry勒索软件事件爆发前夕,各机构有58天的时间可以进行补丁升级等安全布防工作,但一些机构错误认为自身隔离措施足够安全、打补丁太麻烦,致使其最终遭受勒索病毒攻击。同时一些企业认为自身并非互联网行业的主要参与者,不会成为被攻击对象,因此在用户数据保管上没有做好安全措施,最终导致大批量用户数据泄漏。
2.敏感重要数据市场需求旺盛
随着互联网迅速发展,网络平台的人口红利逐渐消失,当用户普及度已经足够,剩下的只是如何利用信息赚钱的问题。如今,不管功能是否相关,下载任何软件都需要开通通讯录权限、地理位置权限、摄像头权限等等,太多的个人数据,甚至敏感重要数据曝露在网络上,这些都为数据安全埋下了隐患。报告中,勒索软件攻击者在发起攻击前就已经根据数据分析研究后,有针对性对大型企业发起攻击。而BEC攻击行动者也会识别分析受害者的诸如姓名和出生日期、社会安全号码、财务记录等敏感信息后,确定目标为高管或拥有高级证书和财务敏感数据访问权限的人,如CEO、会计团队或财务部门时,发起针对性的攻击。这些都使得敏感信息需求异常旺盛。
3.新技术给数据安全带来新风险
一些新技术应用会给数据中心带来新的安全风险。现在,移动和社交都需要接入到云数据访问后台的服务和应用,随着移动和社交应用的日益普遍,网络攻击者发现,通过移动设备和社交软件上的漏洞进入云数据中心是一种非常可行的方式,一旦找到突破口,移动和社交软件就变成了一个数据导入黑客手中的工具了。黑客所需要的只是一个能接入企业IT系统的人,在他使用的社交和移动应用中植入恶意代码,通过这段恶意代码就能把企业数据同步到某个云盘,然后这些数据就能为黑客所用了。他们不再需要入侵终端设备,也不需要突破安全扫描软件,甚至无需使用钓鱼邮件就能达到目的。除了移动应用是黑客不用费太多力气就能获得重要数据的攻击点以外,SDN和NFV也是。SDN和NFV把很多网络控制的权利转换到软件的手中。这些环境中,攻击者只需要修改很少的几行代码就能拿到打开网络王国的钥匙,进而获得重要资源。
(三)企业内部员工是防止数据泄漏的最佳屏障
报告中,由于人员疏忽诸如意外的云配置错误之类的疏忽泄漏通常导致高度敏感的数据泄露。疏忽泄露事件通常涉及大量数据库,从而暴露了敏感数据的大型存储库。这些事件平均暴露了713,000个人的记录,相比BEC案例中平均每个事件暴露9,400个人的记录,人员疏忽泄漏造成的影响更为严重。而在2019年成为网络风险黑马的内部威胁的调查案例也同比增长约70%,就原因而言,也是内部员工故意、蓄意进行泄漏而造成的。因而,企业可以拥有技术先进的网络安全工具,但是网络上巨大的漏洞实际上是人为因素,它可以摧毁组织的防御。如果通过有效的安全意识培训和网络钓鱼模拟获得正确的帮助,则企业内的工作人员将是最大的安全资产。缓解这种情况的一种方法是让员工成为第一道屏障——人类防火墙。建立强大的网络安全意识文化是成功防御网络攻击的关键。在员工进行培训和教育的文化中,安全在每个决策点都是至关重要的。由于员工的疏忽和对所面临的风险缺乏了解,因此被网络攻击者视为“软目标”。网络攻击者通常不使用技术含量高、耗时长的黑客手段来破坏企业的系统,而是更倾向于攻击员工本身,这被视为获取信息和系统的最薄弱环节。企业需要提高员工的网络安全意识,并为内部员工提供知识、工具和支持,帮助他们成为企业数据安全的最佳屏障。