通信運營商Verizon公司對2022年數(shù)據(jù)泄露事件的統(tǒng)計數(shù)據(jù)表明，網(wǎng)絡(luò)安全行業(yè)在防范人員攻擊媒介方面還有更多工作要做。網(wǎng)絡(luò)攻擊者竊取憑證、濫用特權(quán)、人為錯誤、精心策劃的社交工程、商業(yè)電子郵件泄露(BEC)的數(shù)量在短短一年內(nèi)翻了一番。每個網(wǎng)絡(luò)安全提供商都需要加緊努力，改進(jìn)身份、特權(quán)訪問和端點安全性，以提供客戶所需的價值。企業(yè)必須超越安全培訓(xùn)，采取行動提供一個強(qiáng)大的防御基線。

網(wǎng)絡(luò)攻擊者正在尋找新的方法來欺騙受害者

Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》反映了網(wǎng)絡(luò)威脅正在以多快的速度演變，人們的善良本性正在被蠶食。當(dāng)同事、朋友和家人需要獲得現(xiàn)金或其他形式的經(jīng)濟(jì)幫助時，通常會幫助他們，而這是網(wǎng)絡(luò)攻擊者精心策劃的社交工程攻擊的一部分。眾所周知的禮品卡騙局已經(jīng)變得如此普遍，以至于美國聯(lián)邦貿(mào)易委員會發(fā)布了如何避免網(wǎng)絡(luò)欺詐的指導(dǎo)方針。根據(jù)美國互聯(lián)網(wǎng)犯罪投訴中心(IC3)發(fā)布的數(shù)據(jù)，商業(yè)電子郵件泄露(BEC)的平均詐騙金額已經(jīng)增長到5萬美元。

【資料圖】

更多的預(yù)算，更多的違規(guī)

該報告最有力的結(jié)論之一是，盡管支出增加，但網(wǎng)絡(luò)安全的改進(jìn)速度還不夠快，不足以保護(hù)人們免受網(wǎng)絡(luò)欺詐和攻擊。應(yīng)對這一挑戰(zhàn)的辦法并不是在安全培訓(xùn)上增加更多的費用，與其相反，如果企業(yè)在發(fā)生數(shù)據(jù)泄露之前采取預(yù)防措施，那么將會更安全。在最近接受行業(yè)媒體采訪時，網(wǎng)絡(luò)安全專家John Kindervag建議企業(yè)從大規(guī)模掌握基本的網(wǎng)絡(luò)安全措施，逐步實施零信任，從一次保護(hù)一個面開始。Kindervag建議企業(yè)不要同時保護(hù)所有的面，而是選擇一種迭代的方法，他指出，這是一種經(jīng)過驗證的零信任方式，無需要求企業(yè)董事會進(jìn)行設(shè)備級投資。

《2023年數(shù)據(jù)泄露調(diào)查報告》的10個要點

網(wǎng)絡(luò)攻擊者的微調(diào)策略縮短了從最初接觸目標(biāo)到目標(biāo)真正成為受害者的時間。竊取特權(quán)訪問憑證仍然是網(wǎng)絡(luò)攻擊者獲得系統(tǒng)訪問權(quán)限并混入常規(guī)系統(tǒng)流量而不被發(fā)現(xiàn)的最常用方法。Verizon公司發(fā)現(xiàn)，僅在一年內(nèi)，被盜憑證的使用量就從41.6%增長到44.7%。

以下是Verizon公司《2023年數(shù)據(jù)泄露調(diào)查報告》的十大關(guān)鍵要點：

(1)83%的網(wǎng)絡(luò)入侵是由尋求快速經(jīng)濟(jì)利益的網(wǎng)絡(luò)攻擊者發(fā)起的。每10次攻擊中有8次是有組織的犯罪團(tuán)伙和網(wǎng)絡(luò)發(fā)起的，95%的情況下是為了經(jīng)濟(jì)利益。針對客戶和金融數(shù)據(jù)的攻擊司空見慣，勒索軟件是首選武器。

金融服務(wù)和制造業(yè)是網(wǎng)絡(luò)攻擊者的首選目標(biāo)，因為這些企業(yè)必須按時提供產(chǎn)品和服務(wù)，才能留住客戶并發(fā)展業(yè)務(wù)。而人員已經(jīng)成為初始威脅面的選擇，采用各種借口，配合社交工程，成為初始攻擊的策略。

(2)84%的網(wǎng)絡(luò)攻擊目標(biāo)是將人類作為攻擊媒介，使用社交工程和商業(yè)電子郵件泄露(BEC)策略。根據(jù)Verizon公司最近發(fā)布的兩份研究報告，許多違規(guī)行為都涉及人為錯誤。根據(jù)今年發(fā)布的研究報告，74%的數(shù)據(jù)泄露始于人為錯誤、社交工程或濫用。在去年的報告中，這一數(shù)字甚至更高，達(dá)到82%。但根據(jù)Verizon公司2021年發(fā)布的研究報告，只有35%的成功違規(guī)行為是以這種方式開始的。

(3)五分之一(19%)的違規(guī)行為來自企業(yè)內(nèi)部。一些企業(yè)的首席信息安全官表示，內(nèi)部攻擊是他們最可怕的噩夢，因為識別和阻止這類漏洞具有挑戰(zhàn)性。這就是擁有人工智能和機(jī)器學(xué)習(xí)專業(yè)知識的行業(yè)領(lǐng)先供應(yīng)商在他們的路線圖上有內(nèi)部威脅緩解的原因。博思艾倫咨詢公司使用數(shù)據(jù)網(wǎng)格架構(gòu)和機(jī)器學(xué)習(xí)算法來檢測、監(jiān)控和響應(yīng)可疑的網(wǎng)絡(luò)活動。Proofpoint公司是另一家使用人工智能和機(jī)器學(xué)習(xí)的內(nèi)部威脅檢測供應(yīng)商。Proofpoint公司的ObserveIT提供實時警報和可操作的用戶活動洞察。

(4)一些供應(yīng)商正在探索或收購一些公司，以增強(qiáng)其平臺抵御內(nèi)部威脅的能力。一個例子是CrowdStrike公司在2022年度大會上宣布收購Reposify公司。Reposify的軟件每天掃描web，搜索暴露的資產(chǎn)以使企業(yè)能夠看到它們，并定義他們需要采取的措施進(jìn)行修復(fù)。CrowdStrike公司計劃將Reposify公司的技術(shù)整合到CrowdStrike平臺中，以幫助客戶阻止內(nèi)部攻擊。

(5)系統(tǒng)入侵、基礎(chǔ)web應(yīng)用程序攻擊和社交工程是主要的攻擊策略。在Verizon公司2021年發(fā)布的研究報告中，基本的web應(yīng)用程序攻擊占違規(guī)行為的39%，89%是出于經(jīng)濟(jì)動機(jī)。當(dāng)年，網(wǎng)絡(luò)釣魚和商業(yè)欺詐也很普遍，而且出于經(jīng)濟(jì)動機(jī)(95%)。相比之下，今年發(fā)布的研究報告中發(fā)現(xiàn)，系統(tǒng)入侵、基本web應(yīng)用程序攻擊和社交工程占信息行業(yè)違規(guī)行為的77%，其中大多數(shù)是出于經(jīng)濟(jì)動機(jī)。

(6)從Verizon公司發(fā)布的兩年研究報告來看，web應(yīng)用程序攻擊的增長趨勢正在增加。這強(qiáng)調(diào)了更有效地采用基于零信任的web應(yīng)用程序安全性和跨企業(yè)的安全網(wǎng)絡(luò)訪問的必要性。該領(lǐng)域的領(lǐng)先供應(yīng)商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler，它們提供零信任網(wǎng)絡(luò)訪問(ZTNA)來保護(hù)用戶訪問和web應(yīng)用程序防火墻((WAF)，以保護(hù)應(yīng)用程序免受攻擊。例如，愛立信公司基于隔離的零信任網(wǎng)絡(luò)訪問(ZTNA)可以保護(hù)企業(yè)網(wǎng)絡(luò)和SaaS應(yīng)用程序的訪問安全，保護(hù)面向公眾的應(yīng)用程序免受攻擊，并提供無客戶端選項，在通過BYOD和第三方非托管設(shè)備訪問安全方面被證明是有效的。

(7)系統(tǒng)入侵是一種網(wǎng)絡(luò)攻擊策略，由更有經(jīng)驗的網(wǎng)絡(luò)攻擊者使用，他們可以訪問惡意軟件來破壞企業(yè)并提供勒索軟件。根據(jù)Verizon公司在去年發(fā)布的研究報告，系統(tǒng)入侵取代了2021年排名第一的基本web應(yīng)用程序攻擊，成為排名第一的事件類別。

(8)社交工程攻擊的復(fù)雜性正在快速增長。今年發(fā)布的研究報告凸顯了社交工程攻擊的利潤是多么豐厚，以及如今的方式是多么復(fù)雜。商業(yè)電子郵件泄露(BEC)在整個事件數(shù)據(jù)集中幾乎翻了一番，現(xiàn)在占社交工程事件的50%以上。相比之下，Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》指出，25%的違規(guī)行為是由社交工程攻擊造成的。在2021年，Verizon公司發(fā)現(xiàn)商業(yè)電子郵件泄露(BEC)的是排名第二常見的社交工程類型，在過去三年中增長了15倍。

(9)2023年95%的數(shù)據(jù)泄露是出于經(jīng)濟(jì)原因，這與有關(guān)民族國家的攻擊活動相反。隨著網(wǎng)絡(luò)攻擊者改進(jìn)他們的社交工程技術(shù)，出于經(jīng)濟(jì)動機(jī)的攻擊比例也在增加。之前報告的趨勢數(shù)據(jù)表明，經(jīng)濟(jì)利益越來越多地成為企業(yè)間諜活動或前雇員報復(fù)性攻擊的主要動機(jī)。根據(jù)Verizon公司的《2022年數(shù)據(jù)泄露調(diào)查報告》，90%的網(wǎng)絡(luò)攻擊者為了經(jīng)濟(jì)利益發(fā)起網(wǎng)絡(luò)攻擊，高于2021年的85%。

這一增長可歸因于更高的潛在勒索軟件支出，以及成功率更高的多種網(wǎng)絡(luò)攻擊策略。還有一種可能是沒有被檢測到的間諜攻擊，因為網(wǎng)絡(luò)攻擊者知道如何竊取特權(quán)訪問憑證，并在幾個月內(nèi)不被發(fā)現(xiàn)地破壞網(wǎng)絡(luò)。

(10)在過去兩年中，每次勒索軟件事件給受害者造成的平均損失增加了一倍多，達(dá)到26000美元，95%的事件造成的損失在100萬至225萬美元之間。隨著網(wǎng)絡(luò)攻擊者以那些因關(guān)閉系統(tǒng)而損失最大的行業(yè)為目標(biāo)，勒索軟件支付的金額繼續(xù)創(chuàng)下紀(jì)錄。正如《2023年數(shù)據(jù)泄露調(diào)查報告》指出的那樣，金融服務(wù)和制造業(yè)成為受影響最嚴(yán)重的行業(yè)并不奇怪。

對于《2021年數(shù)據(jù)泄露調(diào)查報告》,Verizon公司引用了美國聯(lián)邦調(diào)查局(FBI)的數(shù)據(jù)，發(fā)現(xiàn)勒索軟件攻擊事件的平均損失為11150美元。2020年，勒索軟件攻擊事件的平均損失為8100美元，2018年僅為4300美元。因此，在五年內(nèi)，勒索軟件攻擊事件的平均損失增加了兩倍。

今年24%的網(wǎng)絡(luò)攻擊事件涉及勒索軟件，繼續(xù)作為主要攻擊策略呈長期上升趨勢?！?023年數(shù)據(jù)泄露調(diào)查報告》指出，有組織犯罪攻擊者的所有事件中有62%發(fā)現(xiàn)了勒索軟件，所有以經(jīng)濟(jì)為目標(biāo)的事件中有59%發(fā)現(xiàn)了勒索軟件。Verizon公司對2022年的分析發(fā)現(xiàn)，勒索軟件漏洞與前一年相比增加了13%。隨著這一趨勢的延續(xù)和勢頭的增強(qiáng)，勒索軟件攻擊數(shù)量在2022年至2023年間翻了一番多，從2022年的25%上升到今年的62%。

32%以上的Log4j漏洞掃描發(fā)生在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)漏洞之后的前30天。Verizon公司在報告中指出，在網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)漏洞17天之后，漏洞利用就達(dá)到了頂峰。Log4j漏洞的快速利用說明了企業(yè)必須更快地響應(yīng)新威脅的原因。他們必須在發(fā)現(xiàn)漏洞時優(yōu)先修補(bǔ)和更新系統(tǒng)。這包括應(yīng)用所有軟件和系統(tǒng)安全補(bǔ)丁。健壯的漏洞管理程序可以幫助企業(yè)在網(wǎng)絡(luò)攻擊者利用漏洞之前識別和修復(fù)漏洞。

金融和保險行業(yè)74%的數(shù)據(jù)泄露涉及個人數(shù)據(jù)泄露，遠(yuǎn)遠(yuǎn)領(lǐng)先于所有行業(yè)。相比之下，其他行業(yè)的個人數(shù)據(jù)泄露情況要少得多：34%的住宿和餐飲服務(wù)行業(yè)的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的，而教育服務(wù)行業(yè)的這一數(shù)字為56%。

網(wǎng)絡(luò)攻擊者經(jīng)常利用憑證和勒索軟件攻擊金融機(jī)構(gòu)，這就解釋了金融行業(yè)在個人數(shù)據(jù)泄露攻擊方面領(lǐng)先于其他所有行業(yè)的原因。

回顧過去，在所有行業(yè)中，2021年83%的數(shù)據(jù)泄露是由于個人數(shù)據(jù)泄露造成的。根據(jù)Verizon公司發(fā)布的《2023年數(shù)據(jù)泄露調(diào)查報告》，網(wǎng)絡(luò)應(yīng)用程序攻擊、系統(tǒng)入侵和其他錯誤導(dǎo)致了79%的金融和保險違規(guī)行為。

網(wǎng)絡(luò)安全支出是對信任的商業(yè)投資

Verizon公司在今年發(fā)布的研究報告指出，越來越多的人了解網(wǎng)絡(luò)攻擊者如何利用借口和先進(jìn)的數(shù)字欺詐形式改變威脅格局。該報告的主要發(fā)現(xiàn)是，盡管網(wǎng)絡(luò)安全支出有所增加，但違規(guī)行為正變得越來越頻繁和復(fù)雜，這凸顯出需要一種更加集成、統(tǒng)一的網(wǎng)絡(luò)安全方法，而不是讓身份安全成為偶然。

不出所料，24%的違規(guī)行為涉及勒索軟件，這表明網(wǎng)絡(luò)攻擊者越來越多地針對那些因業(yè)務(wù)中斷而損失最大的行業(yè)進(jìn)行攻擊。勒索軟件攻擊事件的平均損失增加，使備份和事件響應(yīng)策略更加必要，以盡量減少損失。Verizon公司在關(guān)于Log4j漏洞被迅速利用的報告中指出，企業(yè)需要迅速采取行動應(yīng)對新的威脅，其中一些方法是加快打補(bǔ)丁和更新系統(tǒng)。

總而言之，《2023年數(shù)據(jù)泄露調(diào)查報告》強(qiáng)調(diào)了企業(yè)重新考慮其網(wǎng)絡(luò)安全戰(zhàn)略的必要性。他們必須考慮人為因素，其中包括內(nèi)部威脅以及攻擊策略的發(fā)展速度。企業(yè)必須創(chuàng)造一種超越IT部門的網(wǎng)絡(luò)安全文化，這是一種提高警惕性、彈性和不斷適應(yīng)不斷變化的威脅的文化。