以勒索钱财为目的的网络攻击正在增加?《Verizon 2019年数据泄露调查报告》发布
Verizon发布2019年数据泄露调查报告,报告指出,间谍活动开始减少,而以金钱为目的的网络攻击正在增加。
文章原文:https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
2008年起,Verizon 每年都发布《数据泄露调查报告》(The Verizon 2019 Data Breach Investigations Report ,简称DBIR)。2019年发布的2019年版DBIR已是其第12版了,同时也是迄今为止涵盖最广的一版,共有73家内容贡献者和对41,686起安全事件的分析,其中包括2,013起已证实的数据泄露事件。
纯从细节和涵盖广度出发,DBIR已成安全行业的数据泄露《圣经》。Verizon 并不揣测其所提供数据的含义,将推测工作留给独立安全分析师去做。与其他调查类似,该报告仅分析并分类其所收到的数据。因此,DBIR提供的是整个行业的安全趋势证据,而不是特定趋势的具体原因。
这一点可以从经济利益驱动的攻击和网络间谍攻击的相关趋势中看出来 (勒索软件可能是最显眼、最具新闻报道价值的样例了)。2019 DBIR报告凸显出经济利益驱动的网络攻击正在全面增长。
制造行业长期以来的普遍认知都是大多数网络攻击是为了获取情报,以网络间谍活动为主。去年的报告首次颠覆了制造行业的这一认知,显示出经济利益驱动的网络攻击已经超越了出于网络间谍目的的攻击。
但Verizon安全研究主管Alex Pinto表示,2018的报告就已显示,以勒索钱财为目的对制造业发动网络攻击的事件多于间谍活动,且在过去一年里,两者的差距继续增大,以勒索钱财为目的的攻击目前占68%。
DBIR不做猜测,只记录事实。Pinto表示,这有可能仅仅是因为经济利益驱动的攻击全面增加,而网络间谍攻击保持不变。但Verizon非常谨慎,不会向制造业表示间谍攻击有下降趋势。
根据个人经验,Pinto认为,新闻媒体报道总有偏向。间谍活动总是比只为求财的攻击有趣得多。所以你会看到新闻媒体大多都在报道网络间谍类攻击。但这并不意味着追求经济利益的攻击就没有发生,这种普通的攻击太多了,未必能得到媒体的青睐。
但是报道偏见有可能影响深远。2018年7月,Sophos报道称,受勒索软件影响的真实数量可能比普遍认为的要高得多。尽管有少数案例确实被媒体大肆报道,但Sophos和Neutrino顺着线索查出:约有233名受害者悄悄支付了赎金,并未上报勒索软件受影响情况。
Verizon的数据显示,影响各行各业的恶意软件类型中,勒索软件排名第二,而医疗保健行业是受勒索软件影响最严重的。由于HIPPA法规的存在,医疗行业必须报告任何数据泄露事件,勒索软件攻击也包含在内。因此,所有医疗机构勒索软件感染事件均能得到上报。
在Verizon的整个数据集中,勒索软件占比24%;但细分到医疗行业,勒索软件感染事件的占比就达到了70%。尽管Verizon并未猜测这一数据背后的种种原因,但显然其他行业很可能因为没有强制上报而实际屈服于勒索软件攻击的数量比报告的数量要多。勒索软件持续增长的数据,也印证了报告中凸显的经济利益驱动型攻击上升的趋势。
而且,瞒报现象表明:勒索软件威胁可能比DBIR数据呈现出的要大。
被问及 2019 DBIR 暴露出的特别趋势时,Pinto点出了两个方面:攻击者转向容易攻击的目标,以及网络钓鱼重心逐渐向高级管理层倾斜(这两个方面可能是同一个趋势的一体两面)。就前者而言,Pinto表示,这一现象在2018年便已广泛存在,不是新出现的。
银行欺诈就是一个例子。EMV智能芯片卡的引入令有卡欺诈更难以实现,罪犯便转向了无卡欺诈。Pinto称:从我们聚集的数据来看,基于Web应用的支付卡欺诈似乎很快便将超过非Web应用欺诈。这两条曲线即将交错。
自2015年起,销售终端(PoS)数据泄露事件下降了10倍,而Web应用数据泄露事件如今增加了13倍。Verizon的合作伙伴,美国国家网络取证与培训联盟(NCFTA)的数据显示,无卡欺诈已比有卡欺诈更为普遍。这一趋势背后的原因无疑就是芯片+密码的引入使网络罪犯转向了更容易操作的犯罪方式。
针对高级管理人员的网络钓鱼也是网络罪犯获取最大回报的一个简单途径。说到商业电邮入侵(BEC)威胁,Pinto评论道:既然可以给首席财务官(CFO)发送电子邮件,让他给黑客汇款,又何必再去费劲黑掉公司企业呢?
今年的BEC数据来自DBIR的新合作伙伴——美国联邦调查局(FBI),其互联网犯罪投诉中心(IC3)贡献了一组新的数据波动。好消息是,BEC损失中位数与二手车均价大致相当。坏消息是,金额轴不是线性的。从零损失到中位数损失的BEC事件数量跟从中位损失金额到1亿美元损失的BEC事件数量一样多。
当然,FBI的职责不仅仅是绘制BEC损失图表,还要尽可能追回这些损失。他们在去年成立了资金恢复团队(RAT),与被骗资金流入的银行合作,共同解决BEC问题。美国发生的BEC案件中,有半数追回或冻结了99%的涉案资金;仅9%的BEC案件分文未回。
Pinto认为,今年一切都在变化,但其实没有任何变化。黑客仍然侵入服务器并发送网络钓鱼邮件,只是他们转向了更容易实现、回报更高的目标。