《2020事件響應和數據泄露報告》解讀 - 網安 - 專業的網絡安全產業、社區、知識平臺

7月，著名網絡安全公司Crypsis發布了一份有關數據泄密的報告——《2020事件響應和數據泄露報告》。該報告對Crypsis在2019年進行的超過1000項調查的數據進行分析，范圍包括勒索軟件、商業電子郵件泄露（BEC）、數據泄露事件等。該報告旨在提供信息，使人們豐富、深入了解現實世界的網絡安全風險。本文對該報告主要內容進行解讀，并提出幾點認識與思考。

一報告主要內容

該報告將2019年進行的超過1000項調查的有關數據泄密的案例分為三種典型類型：勒索軟件、商業電子郵件泄露（BEC）、數據泄露，其中數據泄露又包括了網絡入侵、內部威脅和疏忽泄露。報告分析了各種類型的數據泄密對各個行業的影響程度和以及造成的原因。該報告通過分析得出了以下結論：勒索軟件攻擊和BEC仍然是對企業最普遍和影響最大的網絡威脅；受網絡攻擊影響最嚴重的行業有醫療保健、金融服務行業、信息技術行業；內部威脅是2019年網絡風險的黑馬，其危險程度不容忽視。報告主要內容概括如下：

（一）勒索軟件

2019年勒索軟件事件最常見的攻擊載體分別是：RDP服務、網絡釣魚、web應用程序。在Crypsis 2019年的數據集中，排名第一的攻擊載體是通過RDP服務，發生在50%的勒索軟件事件中。當啟用時,RDP允許用戶遠程連接到其他基于windows的設備網絡;它通常被IT服務提供商或遠程工作者使用。在沒有適當控制的情況下實施RDP會使系統易受攻擊。例如，弱密碼，不受限制的互聯網訪問，無限制的身份驗證嘗試和使用過時的RDP協議，這些都為網絡攻擊者敞開了大門。排名第二大攻擊載體通常是通過網絡釣魚或者釣魚式電子郵件攻擊(占了43%的勒索軟件事件)；而針對外部系統的web應用程序攻擊是2019年的第三大攻擊源(占勒索軟件事件的7%)。在這種情況下，網絡威脅者依賴利用面向internet的應用程序中的漏洞來進行網絡攻擊。

勒索軟件攻擊更具針對性（主要針對大型企業），網絡攻擊者要求的贖金金額急劇增加。2018年至2019年之間，平均要求的贖金增加了200%，平均為115123美元。這些勒索軟件攻擊者現在已經針對性地重點轉移到他們知道可以支付更高贖金的大型企業而不是較小的個人企業。這些年來，攻擊策略和操縱受害者的方法也已經更成熟。2015年，在加密事件中支付的最高贖金是500萬美元，而在2017年和2018年的平均贖金要求高達17707美元。自2018年初以來，贖金平均值的增長甚至更為驚人，從2018年第一季度（5431.4美元）到2019年最后一季度（21728.73美元）增長300%。

任何行業都無法幸免于勒索軟件的威脅，受勒索軟件影響最大的行業有：醫療保健、制造業、信息技術行業。由于醫療保健行業的特殊性，它為需要幫助的人提供關鍵功能；急診室，手術室、互連的高可用性的醫療設備等，使得不允許有那么多的停機時間，這使得醫療部門成為勒索軟件威脅參與者的主要目標。在2018年中，針對制造業務的勒索軟件攻擊增加了73％。工廠中的勒索軟件攻擊可能會削弱企業的產品生產能力，從而導致數天甚至數周的停機時間，從而嚴重損害其財務狀況。信息技術行業：過去一年對信息技術提供商的攻擊增加了185％。信息技術提供商，特別是托管服務提供商（MSP），與其客戶緊密聯系。當威脅參與者入侵MSP的網絡時，通常會使所有客戶立即面臨風險。在2019年，威脅勒索者能夠使用MSP作為勒索軟件攻擊期間無數受害者的切入點。這些都是勒索軟件威脅參與者青睞的原因。

（二）商業電子郵件泄露（BEC）

BEC通過針對性攻擊竊取敏感數據信息實現財務欺詐，達到獲得一筆大額支付的目的。報告分析了BEC案例中最常見泄露的敏感數據類型，排列最靠前分別是：姓名、生日、電話號碼、稅收id、金融賬戶信息、支付卡數據。并且報告認為BEC攻擊者通常都是發起有針對性的攻擊，攻擊者在攻擊前會識別和研究受害者組織，以了解該他們所在行業以及欺詐活動成功的可能性。一旦攻擊前的偵察工作完成，攻擊者通常會利用魚叉式網絡釣魚郵件來竊取證書，目標通常是高管或擁有高級證書和財務敏感數據訪問權限的人，如CEO、會計團隊或財務部門。2019年，BEC攻擊者平均每次從受害者身上盜竊高達264117美元，相比過去的幾年里，盜竊的金額速度增長實在驚人。

唯利是圖的BEC攻擊高度瞄準具有大量金融交易的金融服務與醫療保健行業。由于金融服務行業存儲，傳輸和處理大量可貨幣化的敏感信息，這些信息過多地吸引了威脅參與者，成為受攻擊的重災區也是在所難免。金融服務行業成為2019年BEC案例的頭號目標，幾乎占到總數的18%。從銀行到當地房地產資產管理公司，威脅行動者瞄準這些組織，因為他們有機會獲得大筆資金。針對醫療機構的攻擊占Crypsis BEC所有調查的15%。像絕大多數的BEC攻擊一樣，這里的威脅行為者都是受金融欺詐的驅使。

（三）數據泄漏事件

除了值得關注的勒索軟件和BEC威脅外，報告將數據泄露事件分為三類:網絡入侵、敏感數據的意外泄露和內部威脅。綜上所述，這些威脅構成了對企業安全防護最有影響的風險領域。

網絡入侵的主要途徑是通過web應用程序攻擊，并經常被威脅行動者用來獲得未經授權的網絡訪問。由于這些應用程序通常是公開的，而攻擊者會不惜時間嘗試各種利用方法進行攻擊。在Web開發時，開發人員常常會利用到開源代碼，但這其中可能也暗藏了安全漏洞，而開發人員往往沒有太多時間去理解每一行代碼，這也就為網絡安全風險埋下了隱患。操作系統的漏洞或應用程序補丁也可能是web應用程序攻擊的重要根源。而漏洞的發現和補丁管理，并且要求不會對業務運營造成破壞是整個行業極具挑戰性的事情。

疏忽泄漏是導致敏感數據泄漏的最主要原因，可能直接影響某些行業的網絡安全。報告認為導致疏忽泄露事件的首要原因包括:暴露云數據；導致系統不安全狀態的錯誤配置；電子媒體的丟失，如筆記本電腦、外部硬盤驅動器或手持設備的遺失。在Crypsis2019年的疏忽泄露案例調查中，45%的調查結果導致了敏感數據泄露，平均每件事件曝光71.3萬個個人記錄。大多數暴露的敏感數據包括名字,出生日期,和電話號碼、財務記錄,稅務識別號碼,和醫療記錄等。報告通過敏感數據類型分析出由此成為網絡攻擊高入侵行業的分別是：信息技術（18%）、金融服務（17%）和醫療保健行業（15%）。

內部威脅是2019年網絡風險的黑馬，其危險程度不容忽視。報告中的“內部威脅”是指員工蓄意、惡意地竊取數據。報告認為，內部人員對企業構成真實而潛在的威脅遠比外部威脅大，然而企業通常更關注外部威脅的參與者。2019年一份網絡安全內部報告發現，70%的組織表示，他們認為內部攻擊變得更加頻繁，62%的組織最擔心惡意的內部攻擊。而Crypsis的調查數據也證實了他們的看法:2018-2019年，內部威脅事件上升了68%(占調查總數的百分比)。通過調查案例分析得出造成內部威脅屢屢頻發的最主要的三個原因是：獲得專業優勢；報復/怨恨；獲得財務收益。大多數內部威脅案件的動機似乎都與獲得專業優勢有關（竊取數據或工作產品以幫助個人在另一家公司的職業生涯）。例如，我們發現個人盜竊源代碼的意圖顯然是為了協助競爭對手的軟件開發項目（個人離開該企業開始新的職業）。內部人員對雇主采取惡意行動的第二個主要原因是報復或對雇主懷恨在心。例如，在一個案例中，一名員工意圖揭發不公平或歧視的行為。內部盜竊獲得財務收益是我們2019年惡意內部攻擊的第三大動機。

內部威脅影響最大的行業是：金融服務、醫療保健和信息技術行業。從動機的范圍來看，每個行業都可能遭受內部威脅攻擊。然而，當我們考慮到更有效地竊取數據所需的技能，以及對如何更多地獲得具有競爭優勢和有價值的數據時，行業受內部威脅攻擊的影響程度就顯而易見了。首先是金融服務行業最為嚴重，金融服務行業的公司在內部威脅數據案例中有很好的代表性；這些業務包括銀行、會計、房地產金融服務等，處理大型金融交易，為內部盜竊提供成熟的機會，而財務收益是內部威脅的主要動機之一。其次是醫療行業。在2019年的調查中，醫療行業再次成為內部威脅的“風險”行業。與金融服務公司一樣，醫療保健組織也收集了大量完整的客戶數據集，包括完整的聯系信息、通信方式、支付卡數據和敏感的健康信息——這為內部欺詐行為提供了良好的機會。然后是信息技術行業。信息技術行業的公司不僅有高度集中的高技能員工，他們有能力通過非法手段獲取數據，竊取數據，并試圖刪除他們罪行的證據。因此，信息技術行業成為第三大內部威脅重災區也就不足為奇了。

二認識與思考

（一）網絡安全態勢嚴峻，防止敏感信息和重要數據泄漏刻不容緩

從報告來看，對企業影響最大的網絡威脅商業電子郵件泄露（BEC）和內部威脅攻擊案例中，多次提到敏感信息和重要數據的泄漏而導致網絡風險。占據所有調查項目34%高比例的BEC案例中，有幾乎一半（48%）的案例被判定為敏感信息的泄露，平均每起事件暴露超過9400個人的記錄。在BEC案例中，竊取數據并不是主要目的，終極目標是財務欺詐，而敏感重要信息的泄漏直接幫助其成功實施財務欺詐。內部威脅案例中，受影響程度最深的兩個行業分別是金融行業和醫療保健行業，其最重要的原因之一也是這些行業會收集到大量完整的客戶重要數據，這些個人敏感且重要的數據為網絡攻擊、欺詐提供了重要支撐。同樣就在今年6月，臺灣省2000萬個人數據在暗網泄漏的報道震驚了網絡安全界，因為目前中國臺灣人口為2380萬，這差不多意味著全體臺灣人民的個人數據都遭到了泄漏，這幾乎是史前最嚴重的規模最大的一次數據泄漏事件。另一份Reposify安全評估報告中提到，全球領先跨國銀行中，23%都有至少一個配置錯誤的數據庫暴露于互聯網，54%的至少有一個RDP暴露于互聯網，存在數據泄漏的風險。攻擊者可以利用這些風險，來獲得對銀行內部網絡的未授權訪問，并導致數據泄漏攻擊。而另一份數據則顯示，今年受新冠病毒的影響，大流行帶來的動蕩為惡意行為者創造了獨特的機會。2020年第二年季度泄漏的數據量猛增至84億，與2019年第一季度相比增長了273%，創下至少2005年以來的同期紀錄。一系列的數據表明，當前網絡安全態勢嚴峻，防止敏感信息和重要數據泄漏刻不容緩。

（二）內部防范力量薄弱、安全意識差，外部數據需要旺盛、新技術帶來挑戰等諸多因素成為數據安全風險激增的主要原因

無論是勒索軟件、BEC攻擊還是網絡入侵、疏忽泄漏以及內部威脅哪種類型的網絡攻擊造成的數據安全風險問題，探其原因主要有：

1.企業防范力量薄弱、員工安全意識不強

一方面，員工自身對網絡安全數據安全意識不強，不經意的疏忽等原因也是造成數據泄漏的另一原因。報告中，專門對疏忽泄漏案例進行分析得出，2019年，疏忽泄露事件中有45%的案例導致了敏感數據的泄密，平均每件事件曝光71.3萬個個人記錄。這一點也反映了個人的網絡安全意識有待提高。報告中內部威脅案例，則大多數是由于開發人員安全意識不強，或者因公司存在“內鬼”導致的。但開發人員安全意識不強的背后，則是整個企業對信息安全的不重視。2017年著名的WannaCry勒索軟件事件爆發前夕，各機構有58天的時間可以進行補丁升級等安全布防工作，但一些機構錯誤認為自身隔離措施足夠安全、打補丁太麻煩，致使其最終遭受勒索病毒攻擊。同時一些企業認為自身并非互聯網行業的主要參與者，不會成為被攻擊對象，因此在用戶數據保管上沒有做好安全措施，最終導致大批量用戶數據泄漏。

2.敏感重要數據市場需求旺盛

隨著互聯網迅速發展，網絡平臺的人口紅利逐漸消失，當用戶普及度已經足夠，剩下的只是如何利用信息賺錢的問題。如今，不管功能是否相關，下載任何軟件都需要開通通訊錄權限、地理位置權限、攝像頭權限等等，太多的個人數據，甚至敏感重要數據曝露在網絡上，這些都為數據安全埋下了隱患。報告中，勒索軟件攻擊者在發起攻擊前就已經根據數據分析研究后，有針對性對大型企業發起攻擊。而BEC攻擊行動者也會識別分析受害者的諸如姓名和出生日期、社會安全號碼、財務記錄等敏感信息后，確定目標為高管或擁有高級證書和財務敏感數據訪問權限的人，如CEO、會計團隊或財務部門時，發起針對性的攻擊。這些都使得敏感信息需求異常旺盛。

3.新技術給數據安全帶來新風險

一些新技術應用會給數據中心帶來新的安全風險。現在，移動和社交都需要接入到云數據訪問后臺的服務和應用，隨著移動和社交應用的日益普遍，網絡攻擊者發現，通過移動設備和社交軟件上的漏洞進入云數據中心是一種非常可行的方式，一旦找到突破口，移動和社交軟件就變成了一個數據導入黑客手中的工具了。黑客所需要的只是一個能接入企業IT系統的人，在他使用的社交和移動應用中植入惡意代碼，通過這段惡意代碼就能把企業數據同步到某個云盤，然后這些數據就能為黑客所用了。他們不再需要入侵終端設備，也不需要突破安全掃描軟件，甚至無需使用釣魚郵件就能達到目的。除了移動應用是黑客不用費太多力氣就能獲得重要數據的攻擊點以外，SDN和NFV也是。SDN和NFV把很多網絡控制的權利轉換到軟件的手中。這些環境中，攻擊者只需要修改很少的幾行代碼就能拿到打開網絡王國的鑰匙，進而獲得重要資源。

（三）企業內部員工是防止數據泄漏的最佳屏障

報告中，由于人員疏忽諸如意外的云配置錯誤之類的疏忽泄漏通常導致高度敏感的數據泄露。疏忽泄露事件通常涉及大量數據庫，從而暴露了敏感數據的大型存儲庫。這些事件平均暴露了713,000個人的記錄，相比BEC案例中平均每個事件暴露9,400個人的記錄，人員疏忽泄漏造成的影響更為嚴重。而在2019年成為網絡風險黑馬的內部威脅的調查案例也同比增長約70%，就原因而言，也是內部員工故意、蓄意進行泄漏而造成的。因而，企業可以擁有技術先進的網絡安全工具，但是網絡上巨大的漏洞實際上是人為因素，它可以摧毀組織的防御。如果通過有效的安全意識培訓和網絡釣魚模擬獲得正確的幫助，則企業內的工作人員將是最大的安全資產。緩解這種情況的一種方法是讓員工成為第一道屏障——人類防火墻。建立強大的網絡安全意識文化是成功防御網絡攻擊的關鍵。在員工進行培訓和教育的文化中，安全在每個決策點都是至關重要的。由于員工的疏忽和對所面臨的風險缺乏了解，因此被網絡攻擊者視為“軟目標”。網絡攻擊者通常不使用技術含量高、耗時長的黑客手段來破壞企業的系統，而是更傾向于攻擊員工本身，這被視為獲取信息和系統的最薄弱環節。企業需要提高員工的網絡安全意識，并為內部員工提供知識、工具和支持，幫助他們成為企業數據安全的最佳屏障。