企业亟需关注“人为错误”所导致的安全风险
勒索软件、供应链威胁以及组织及其员工在安全方面如何成为自己最大的敌人,是Verizon针对过去12个月网络攻击年度报告中所研究的一些关键要点。
周二发布的2022年数据泄露调查报告(DBIR)为旨在保护自己免受可能导致系统泄露和数据、资源、金钱、时间和/或上述所有内容损失的威胁的组织提供了一些严峻的参考数据。
报告背后的研究人员-Gabriel Bassett,C。David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出,过去几年发生的事情对每个人来说都是“压倒性的”,但是他们没有引用显而易见的因素,比如疫情和乌克兰战争的开始。
然而,该报告的研究人员最关心的是与发生的安全事件和违规行为相关的数据——前者是对信息资产的损害,后者则是将数据暴露给未经授权的一方。2021年,研究人员发现,两者的发生率都空前飙升。
“过去一年在许多方面都非同寻常,但在我们报告看来肯定是关于网络犯罪阴暗的世界,其间发生的事情令人难忘,”他们在报告中写道。“从广为人知的关键基础设施攻击到大规模供应链漏洞,出于经济动机的罪犯和邪恶的民族国家行为者在过去12个月中很少(如果有的话)像以前那样摇摆不定。”
勒索软件仍然是主要部分
对于那些在2021年观察安全形势的人来说,DBIR的主要发现中几乎没有惊喜。事实上,一名安全专业人员观察到一些调查结果似乎与报告自2008年成立以来强调的内容一致。
安全公司Token首席执行官John Gunn在给Threatpost的一封电子邮件中写道:“关于网络安全行业最重要的研究已经出来了,感觉就像电影《GroundHog Day》,自2008年第一份报告以来,我们年复一年地获得了同样的结果。”
然而,在过去几年中,一个主要的威胁是发现勒索软件继续呈上升趋势。这种类型的网络犯罪——通过入侵锁定公司的数据,在组织支付巨额勒索金额之前不会发布——在2021年同比增长了近13%。研究人员指出,涨幅与过去五年的总和一样大,勒索软件的发生率总体上升了25%。他们认为:“勒索软件的鼎盛时期仍会持续,今年发现了有近70%的恶意软件漏洞。”
事实上,安全专家指出,尽管勒索软件团体不断更迭,联邦当局在打击此类网络犯罪方面取得了长足进步,但对犯罪分子来说,收益非常有利可图,在利益的驱使之下他们可能会持续一段时间。
安全公司Cerberus Sentinel解决方案架构副总裁Chris Clemens在给Threatpost的电子邮件中表示:“勒索软件是迄今为止网络犯罪分子可以利用损害受害者的最可靠方式。”“其他攻击者都无法采取任何行动接近于保证其运营支出的轻松性和规模。”
供应链受到攻击
研究人员发现,对供应链的重大攻击——在一个系统或软件中发生漏洞,很容易在组织中传播——在2021年,表现出持久影响的显著性和发生率也有所增加。
他们写道:“对于任何与供应链、第三方和合作伙伴打交道的人来说,这(惨痛的经历)也是值得纪念的一年。”
Verizon团队没有提到它的名字,而是以2020年底发生的现在臭名昭著的SolarWinds供应链攻击为例,直到2021年,公司仍然疲于应付。
事实上,研究人员报告称,“供应链受到攻击是今年62%的系统入侵事件的结果”。此外,研究人员表示,与出于经济动机的威胁行为者不同,这些犯罪的肇事者往往是国家赞助的行为者,他们更喜欢“跳过漏洞并保持访问权限”,在组织网络上保持一段时间的持久性。
研究人员,这些攻击非常危险,因为由于攻击可以从一家公司开始,但很快就会传到其客户和合作伙伴那里,因此可能会涉及如此多的受害者。此外,在攻击者已经访问组织系统很久之后,才会发现沿着供应链传播的漏洞,这使得数据泄露和长期盗窃的可能性更大。
人为导致的错误
该报告的另外两项关键发现与最终责任在哪里有关——组织内外犯错的人。事实上,研究人员发现,人为错误仍然是违约方式和原因的主要趋势。
研究人员指出:“错误仍然是一个主导趋势,他们是13%的违规行为发生的原因。”他们说,这一发现主要是由于云存储配置错误,这当然是负责建立系统的人的责任。
事实上,他们说,2021年DBIR分析的漏洞中有82%涉及研究人员所谓的“人类因素,可以是任何数量的东西。”研究人员写道:“无论是使用被盗凭证、网络钓鱼、滥用还是仅仅是错误,人们在事件和违规行为中都继续发挥着非常重要的作用。”
账簿上最古老的风险
一位安全专家指出,安全专家对“人为要素”的发现并不感到惊讶,该发现甚至在安全和周围的整个行业成为一件事情之前就一直困扰着科技行业。
安全公司KnowBe4的数据驱动国防传教士Roger Grimes在给Threatpost的一封电子邮件中指出:“自计算机开始以来一直如此,未来几十年可能会如此。”他说,今天发生的许多错误都是攻击者巧妙的社交工程的结果,特别是在网络钓鱼攻击中,这些攻击诱骗人们点击允许计算机访问的恶意文件或链接,或提供可用于破坏企业系统的个人凭据。
Grimes说,解决人为错误造成的安全问题的唯一方法是通过教育,无论是关于配置错误、修补的重要性、被盗凭据,还是“常规错误,例如当用户不小心通过电子邮件发送错误的人数据时”。
他观察到:“人类一直是计算领域的重要组成部分,但出于某种原因,我们一直认为只有技术解决方案才能解决或预防问题。”“三十年来,除了人的因素外,试图通过关注一切来解决网络安全问题,这表明这不是一项可行的策略。
参考及来源:
https://threatpost.com/verizon-dbir-report-2022/179725/
