備受期待的威瑞森《2016數(shù)據(jù)泄露報(bào)告》(DBIR)終于出臺(tái)。今年的報(bào)告在67家貢獻(xiàn)合作伙伴支持下編譯完成,包含了對(duì)82個(gè)國(guó)家,超過(guò)10萬(wàn)起安全事件和2260起已證實(shí)數(shù)據(jù)泄露事件的分析。
雖然業(yè)內(nèi)幾乎每天都會(huì)有只服務(wù)自身的報(bào)告和調(diào)查數(shù)據(jù)涌現(xiàn),威瑞森的年度DBIR依然是一份必讀報(bào)告,還有火眼旗下曼迪安特的《M-Trends》和其他極少數(shù)安全公司的年度報(bào)告也頗值得一看。
不過(guò),即使被認(rèn)為是必讀物,對(duì)長(zhǎng)期關(guān)注業(yè)內(nèi)趨勢(shì)和整體威脅態(tài)勢(shì)的人而言,今年的DBIR并沒(méi)有包含太多驚艷之處。但報(bào)告本身及其結(jié)論還是很重要的。
毫無(wú)意外,威瑞森及其合作伙伴在2015年調(diào)查的大量數(shù)據(jù)泄露事件中表示,人的因素是其中最弱的一環(huán)。
網(wǎng)絡(luò)罪犯在依靠諸如網(wǎng)絡(luò)釣魚(yú)之類熟悉的攻擊模式的同時(shí),一直持續(xù)利用著人類的本性弱點(diǎn)。今年的報(bào)告中,公司終端用戶的各種小失誤,占據(jù)了安全事件根源榜首位置。
這些多種多樣的用戶失誤包括不恰當(dāng)?shù)墓拘畔G棄、IT系統(tǒng)的錯(cuò)誤配置,以及遺失和被盜的筆記本、智能手機(jī)等公司資產(chǎn)。此類失誤中26%都涉及敏感信息誤發(fā)行為。可以說(shuō),今年報(bào)告的所有發(fā)現(xiàn),歸根結(jié)底都指向了一個(gè)共同的主題——人的因素。雖然在信息安全研究和網(wǎng)絡(luò)檢測(cè)解決方案及工具方面有了長(zhǎng)足的進(jìn)步,我們卻依然見(jiàn)證著十幾年前就熟到不能再熟的那些錯(cuò)誤一犯再犯。簡(jiǎn)直不能忍!
登錄憑證讓入侵變得如此輕松
在2260起已證實(shí)數(shù)據(jù)泄露事件的分析過(guò)程中,可以確定,63%都涉及到弱口令、默認(rèn)口令或被盜口令。
弱口令、默認(rèn)口令或被盜口令的利用問(wèn)題不是什么新鮮事,一點(diǎn)都不前沿,也不令人著迷,但確實(shí)有用。靜態(tài)身份驗(yàn)證機(jī)制從來(lái)都是攻擊目標(biāo)。從信息安全角度出發(fā)的密碼猜解,至少?gòu)哪锼谷湎x(chóng)開(kāi)始就有了,并且進(jìn)化到了像狄厄(Dyre)和宙斯這類能捕獲擊鍵動(dòng)作的主流惡意軟件。
另外,93%的案例中,攻擊者只需要幾分鐘就能攻破系統(tǒng)。而公司企業(yè)卻需要數(shù)周乃至更長(zhǎng)的時(shí)間才會(huì)發(fā)現(xiàn)自家防線早已破洞——而且通常是客戶和執(zhí)法機(jī)構(gòu)敲響的警鐘,而不是他們自己的安全措施發(fā)出警報(bào)。
報(bào)告囊括的領(lǐng)域很龐雜,鑒于每個(gè)安全從業(yè)人員都應(yīng)該自己讀讀這份報(bào)告,此處就僅列出幾條必知亮點(diǎn)了。
零日漏洞使用不頻繁——盡管利用零日漏洞的高級(jí)攻擊很能抓人眼球,威瑞森卻發(fā)現(xiàn)大多數(shù)攻擊利用的還是補(bǔ)丁早已推出數(shù)年卻依然沒(méi)被打上的那些已知漏洞。成功漏洞利用案例中,僅前10位已知漏洞就占據(jù)了85%的份額。
Web應(yīng)用攻擊是痛點(diǎn)——Web應(yīng)用攻擊總計(jì)5334起(另外19389起伴隨有衍生動(dòng)機(jī)),其中908起造成了數(shù)據(jù)泄露。95%的已證實(shí)Web應(yīng)用數(shù)據(jù)泄露都是出于經(jīng)濟(jì)原因。更大的復(fù)雜性,包括Web應(yīng)用代碼和其下的業(yè)務(wù)邏輯,以及作為通向存儲(chǔ)器或進(jìn)程中敏感數(shù)據(jù)的跳板潛力,都讓W(xué)eb應(yīng)用服務(wù)器成為了攻擊者的明顯標(biāo)靶。
網(wǎng)絡(luò)釣魚(yú)依然是主要攻擊手段——由于是特別有效的技術(shù),還能為攻擊者提供諸如快速滲透和精準(zhǔn)定位之類優(yōu)勢(shì),網(wǎng)絡(luò)釣魚(yú)長(zhǎng)盛不衰,甚至有所增長(zhǎng)。
移動(dòng)設(shè)備和物聯(lián)網(wǎng)是未經(jīng)證實(shí)的攻擊方法——就如去年的DBIR報(bào)道,移動(dòng)設(shè)備和物聯(lián)網(wǎng)攻擊在今年的企業(yè)攻擊中依然幾乎蹤影全無(wú)。
那些期待今年曝出移動(dòng)設(shè)備攻擊令人跪服,或物聯(lián)網(wǎng)攻擊殺人無(wú)數(shù)的人,大概會(huì)比較失望。使用此類技術(shù)作為企業(yè)攻擊手段的現(xiàn)實(shí)例子依然匱乏。不過(guò),移動(dòng)和物聯(lián)網(wǎng)威脅不應(yīng)該被忽視,依然需要納入風(fēng)險(xiǎn)管理決策考慮過(guò)程中。概念驗(yàn)證例子都是真的,影響移動(dòng)和物聯(lián)網(wǎng)設(shè)備的大規(guī)模數(shù)據(jù)泄露發(fā)生只是時(shí)間問(wèn)題。這意味著公司企業(yè)應(yīng)繼續(xù)保持對(duì)智能手機(jī)和物聯(lián)網(wǎng)設(shè)備防護(hù)的警惕性。
三步攻擊法的興起——網(wǎng)絡(luò)罪犯頻繁重復(fù)使用一種“三步攻擊法”:
發(fā)送網(wǎng)絡(luò)釣魚(yú)電子郵件,內(nèi)含指向惡意網(wǎng)站的鏈接,或惡意附件;
下載惡意軟件到目標(biāo)PC,建立突破橋頭堡,為后續(xù)針對(duì)敏感信息的進(jìn)一步惡意軟件鋪路;
利用竊取的憑證進(jìn)行進(jìn)一步攻擊,比如,登錄到網(wǎng)銀或網(wǎng)購(gòu)第三方網(wǎng)站。
威瑞森數(shù)據(jù)泄露報(bào)告事件
在可行性建議方面,威瑞森團(tuán)隊(duì)列出了以下可大幅減小風(fēng)險(xiǎn)界面的招數(shù):
了解自身行業(yè)內(nèi)最遭受的攻擊模式;
自身系統(tǒng)和其他應(yīng)用,比如流行社交網(wǎng)站,采用雙因子身份驗(yàn)證措施;
及時(shí)打補(bǔ)丁;
監(jiān)測(cè)所有輸入:審查所有日志以幫助發(fā)現(xiàn)惡意行為;
加密數(shù)據(jù):如果被盜設(shè)備是加密的,攻擊者讀取數(shù)據(jù)就難得多;
培訓(xùn)員工:在公司內(nèi)培養(yǎng)安全意識(shí)是非常關(guān)鍵的,尤其是在網(wǎng)絡(luò)釣魚(yú)攻擊盛行的現(xiàn)在;
清楚自己的數(shù)據(jù),做好相應(yīng)的保護(hù),同時(shí)對(duì)可訪問(wèn)數(shù)據(jù)的人員加以限制。
今年的報(bào)告再一次表明,根本沒(méi)有什么不可滲透的系統(tǒng),但即便是最基礎(chǔ)的防御措施,也經(jīng)常能夠挫敗網(wǎng)絡(luò)罪犯挑軟柿子捏的意圖。
事實(shí)上,威瑞森自己也是數(shù)據(jù)泄露的受害者。據(jù)稱,有攻擊者利用該公司網(wǎng)站的漏洞盜走了150萬(wàn)客戶的資料。
這份85頁(yè)的2016DBIR包含了統(tǒng)計(jì)數(shù)據(jù)、事件概覽和你能挪給自家安全團(tuán)隊(duì)用的一些可行性建議。安全公司領(lǐng)導(dǎo)者一定要仔細(xì)解讀這份報(bào)告,并鼓勵(lì)員工也看一看。威瑞森網(wǎng)站上放有報(bào)告的摘要和完整版文檔(PDF),不用注冊(cè)就可獲取。