企業亟需關注“人為錯誤”所導致的安全風險
勒索軟件、供應鏈威脅以及組織及其員工在安全方面如何成為自己最大的敵人,是Verizon針對過去12個月網絡攻擊年度報告中所研究的一些關鍵要點。
周二發布的2022年數據泄露調查報告(DBIR)為旨在保護自己免受可能導致系統泄露和數據、資源、金錢、時間和/或上述所有內容損失的威脅的組織提供了一些嚴峻的參考數據。
報告背后的研究人員-Gabriel Bassett,C。David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出,過去幾年發生的事情對每個人來說都是“壓倒性的”,但是他們沒有引用顯而易見的因素,比如疫情和烏克蘭戰爭的開始。
然而,該報告的研究人員最關心的是與發生的安全事件和違規行為相關的數據——前者是對信息資產的損害,后者則是將數據暴露給未經授權的一方。2021年,研究人員發現,兩者的發生率都空前飆升。
“過去一年在許多方面都非同尋常,但在我們報告看來肯定是關于網絡犯罪陰暗的世界,其間發生的事情令人難忘,”他們在報告中寫道。“從廣為人知的關鍵基礎設施攻擊到大規模供應鏈漏洞,出于經濟動機的罪犯和邪惡的民族國家行為者在過去12個月中很少(如果有的話)像以前那樣搖擺不定。”
勒索軟件仍然是主要部分
對于那些在2021年觀察安全形勢的人來說,DBIR的主要發現中幾乎沒有驚喜。事實上,一名安全專業人員觀察到一些調查結果似乎與報告自2008年成立以來強調的內容一致。
安全公司Token首席執行官John Gunn在給Threatpost的一封電子郵件中寫道:“關于網絡安全行業最重要的研究已經出來了,感覺就像電影《GroundHog Day》,自2008年第一份報告以來,我們年復一年地獲得了同樣的結果。”
然而,在過去幾年中,一個主要的威脅是發現勒索軟件繼續呈上升趨勢。這種類型的網絡犯罪——通過入侵鎖定公司的數據,在組織支付巨額勒索金額之前不會發布——在2021年同比增長了近13%。研究人員指出,漲幅與過去五年的總和一樣大,勒索軟件的發生率總體上升了25%。他們認為:“勒索軟件的鼎盛時期仍會持續,今年發現了有近70%的惡意軟件漏洞。”
事實上,安全專家指出,盡管勒索軟件團體不斷更迭,聯邦當局在打擊此類網絡犯罪方面取得了長足進步,但對犯罪分子來說,收益非常有利可圖,在利益的驅使之下他們可能會持續一段時間。
安全公司Cerberus Sentinel解決方案架構副總裁Chris Clemens在給Threatpost的電子郵件中表示:“勒索軟件是迄今為止網絡犯罪分子可以利用損害受害者的最可靠方式。”“其他攻擊者都無法采取任何行動接近于保證其運營支出的輕松性和規模。”
供應鏈受到攻擊
研究人員發現,對供應鏈的重大攻擊——在一個系統或軟件中發生漏洞,很容易在組織中傳播——在2021年,表現出持久影響的顯著性和發生率也有所增加。
他們寫道:“對于任何與供應鏈、第三方和合作伙伴打交道的人來說,這(慘痛的經歷)也是值得紀念的一年。”
Verizon團隊沒有提到它的名字,而是以2020年底發生的現在臭名昭著的SolarWinds供應鏈攻擊為例,直到2021年,公司仍然疲于應付。
事實上,研究人員報告稱,“供應鏈受到攻擊是今年62%的系統入侵事件的結果”。此外,研究人員表示,與出于經濟動機的威脅行為者不同,這些犯罪的肇事者往往是國家贊助的行為者,他們更喜歡“跳過漏洞并保持訪問權限”,在組織網絡上保持一段時間的持久性。
研究人員,這些攻擊非常危險,因為由于攻擊可以從一家公司開始,但很快就會傳到其客戶和合作伙伴那里,因此可能會涉及如此多的受害者。此外,在攻擊者已經訪問組織系統很久之后,才會發現沿著供應鏈傳播的漏洞,這使得數據泄露和長期盜竊的可能性更大。
人為導致的錯誤
該報告的另外兩項關鍵發現與最終責任在哪里有關——組織內外犯錯的人。事實上,研究人員發現,人為錯誤仍然是違約方式和原因的主要趨勢。
研究人員指出:“錯誤仍然是一個主導趨勢,他們是13%的違規行為發生的原因。”他們說,這一發現主要是由于云存儲配置錯誤,這當然是負責建立系統的人的責任。
事實上,他們說,2021年DBIR分析的漏洞中有82%涉及研究人員所謂的“人類因素,可以是任何數量的東西。”研究人員寫道:“無論是使用被盜憑證、網絡釣魚、濫用還是僅僅是錯誤,人們在事件和違規行為中都繼續發揮著非常重要的作用。”
賬簿上最古老的風險
一位安全專家指出,安全專家對“人為要素”的發現并不感到驚訝,該發現甚至在安全和周圍的整個行業成為一件事情之前就一直困擾著科技行業。
安全公司KnowBe4的數據驅動國防傳教士Roger Grimes在給Threatpost的一封電子郵件中指出:“自計算機開始以來一直如此,未來幾十年可能會如此。”他說,今天發生的許多錯誤都是攻擊者巧妙的社交工程的結果,特別是在網絡釣魚攻擊中,這些攻擊誘騙人們點擊允許計算機訪問的惡意文件或鏈接,或提供可用于破壞企業系統的個人憑據。
Grimes說,解決人為錯誤造成的安全問題的唯一方法是通過教育,無論是關于配置錯誤、修補的重要性、被盜憑據,還是“常規錯誤,例如當用戶不小心通過電子郵件發送錯誤的人數據時”。
他觀察到:“人類一直是計算領域的重要組成部分,但出于某種原因,我們一直認為只有技術解決方案才能解決或預防問題。”“三十年來,除了人的因素外,試圖通過關注一切來解決網絡安全問題,這表明這不是一項可行的策略。
參考及來源:
https://threatpost.com/verizon-dbir-report-2022/179725/
