网络安全 频道

2012年Verizon数据泄露报告分析

  【IT168技术】根据Verizon公司2012年的数据泄漏调查报告(Data Breach Investigations Report,DBIR),在大型企业和小型公司中缺失仔细地日志监控和使用默认的、可猜测或是偷窃的凭证,继续成为最为普遍的安全问题,尽管简单和低廉的解决方案能够解决这些问题。

  Verizon公司今年的DBIR是基于发生在2011年的855起不同的数据泄漏事故,由Verizon公司以及在美国、荷兰、澳大利亚、爱尔兰和英国的政府机构收集的信息,而且还包括对大型和小型公司的建议。

  对于那些定义为拥有1000名以上员工的大型公司来说,该报告强调日志监控的必要以及要遵守合规标准。这两个主题总是放在一起谈论。为了达到合规性,公司通常不得不记录活动日志。

  该报告声明96%的受害公司没有达到PCI DSS合规标准,比上一年上升7%。巧合的是,被入侵的记录数量也比去年上升,从400万跃至1亿7千4百万。

  据Verizon公司表示,“无需费力或是购买昂贵的对策即可避免(至少从事后来看)大多数的数据泄漏,这一事实并不让人惊讶。对于相关的企业来说低标准地遵守PCI DSS合规要求也能暴露公司内大量的问题。

  据Verizon公司风险团队总管Wade Baker表示,记录和保存日志的公司的数量同比从60%增到80%。但是大多数公司没有足够密切地监控他们的日志,或是通常的监控并不能让他们自己捕捉到数据泄漏活动。

  “在这些公司中的许多公司的日志记录都是到位的,但是人们并不查看那些日志。那恰好是应该做的事情”,Verizon公司风险团队的负责人Christopher Porter表示。

  看来问题似乎不是是否应该给与日志监控优先级,而是如何处理日志监控这个任务。

  “在你的工作中有些你必须监控的事情”,安全研究公司Securosis的CEO和分析师Rich Mogull谈到,“问题是什么类型的工具能帮助你完成监控”。

  Mogull建议,拥有更多资源的大型公司可以购买安全信息管理系统(SIM),并且培训员工正确地使用它们。他表示日志监控必须是某个人定期要做的一部分工作内容,并且他需要时间来完成。如果没有这些前提的话,购买该产品只是浪费金钱。

  Porter也表示,有迹象表明大型企业正在使用SIM技术,因为在Verizon公司2012年的DBIR中8%的数据泄漏事件是由内部发现的。

  据Porter表示对于许多小型公司来说该技术仍然过于昂贵,但是对于中小型公司来说有另一条路来处理沉重的日志监控工作量。Mogull建议他们考虑自动化技术或是和服务提供商进行协同工作。

  “要么你需要自己来进行监控,或者需要付钱让某人来做这件事”,他表示。因为你的组织会遭受数据泄漏的可能性很大。

  “自始至终我们看到数据泄漏事件是由外部人员发现的”,Mogull说。“如果你没有尽力监控,当然没有机会侦测到它”。

  根据Verizon公司2012的DBIR,今年92%的数据泄漏事件是由受害公司以外人员发现的,通常是客户、合作伙伴或是执法部门。该报告声明作为该趋势的后果,大多数的数据泄漏事件在发生数周或是数月后才被发现。

  小型企业要处理该任务需要面对不同的问题。对于那些像服务或是零售的行业来说,危险在于他们通常不认为他们是足够大的目标。然而事实上2012的DBIR声明攻击变得更加自动化和投机化。并且此类攻击瞄准的是那些拥有较少资源的中小型公司。

  Verizon公司报导85%的投机化攻击的目标公司是那些少于1000名雇员的公司,并且几乎四分之三的投机式攻击命中到零售和服务行业。

  该报告声明,“这些观察结果似乎证实……大范围的自动化攻击是投机方式地攻击中小型公司,并且POS系统经常提供该机会”。

  由于包含支付信息,所以POS系统经常成为攻击目标。尽管看似它是公司想要保护的东西,但许多公司更关注于关键问题而不为他们客户的安全着想,Porter谈到。因为这个缘故,POS系统经常没有修改默认密码就被部署上线。这个简单的修补措施是免费的,并且能够有助于阻止数据泄漏事件发生。

  使用默认、偷窃或是可猜测的密码,以及使用像键盘记录器、表格采集器、或是间谍软件这样的恶意软件来偷取账户凭证是Verizon公司2012年的DBIR记录中排在最前面的两种威胁活动。48%的攻击利用了键盘记录器,同时44%的攻击利用可猜测或是偷窃的凭证。

  该报告声明将键盘记录器与其它手段,如后门软件组合使用是十分普遍的,并且它算在98%的用来窃取数据的恶意软件中。

  为了减轻攻击者使用键盘记录器的攻击,该DBIR报告建议大型企业限制用户的管理员权限,使用代码签名,使用启动CD和一次性密码,更新防病毒软件和防间谍软件,实施个人防火墙,Web内容过滤和黑名单以及更多的技术。他们还推荐使用双因子认证,并且修改密码来减轻攻击者使用偷窃或是可猜测凭证的攻击。

  该报告提醒读者们,这些风险缓和技术是现场可用的,并且能够以最小的成本来实施。

  据报告内容表示,“对于优秀员工的挑战在于为手头的工作选择合适的工具,并且不让它们随着时间变钝和生锈。证据显示当工具变得不好用或有缺陷时,攻击者们会迅速地利用弱点来进行攻击”。

  TechTarget中国原创内容,原文链接:http://www.searchsecurity.com.cn/showcontent_59833.htm

${PageNumber}

  黑客,通常是年轻的网络犯罪活动分子,他们试图推动政治和社会。据2012年Verizon数据泄露报告(Data Breach Investigations Report,DBIR),在2011年,黑客们已经给数据泄露带来了严重影响。

  2012年Verizon数据泄漏调查报告调查了855件泄漏事件和1.74亿条被盗记录,这是Verizon有史以来进行数据分析时使用数据最多的一次。除美国特勤局(U.S. Secret Service)外,Verizon调查的数据泄漏案件包括荷兰国家高科技犯罪单位和澳大利亚、爱尔兰和伦敦的警察机关。这份报告的结果是基于2004年至2011年间Verizon取证调查的第一手资料。其中,2012年报告的独家关注点是基于去年90件已被证实的数据泄漏以及765件由执法部门调查的泄漏事件。

  Verizon公司警告说,它的数据和参与执法的机构的数据含有一定程度的样本偏差。例如,报告中称内部威胁造成的泄漏事件仅占4%,对此,Verizon承认这一情况可能被低估了。Verizon表示,许多泄漏没有被报告出来,同时,其他很多组织还没意识到自己已经被攻破。

  据Verizon,尽管报告中分析,2011年的泄露事件中黑客团体只占了约3%,但他们的战利品包括超过1亿多条记录,这占所有窃取数据的58%。“这个数量几乎是那些以经济利益为动机的专业人员所造成损害的两倍,”报告中写道。

  Verizon风险管理团队的主要负责人Christopher Porter说道,通常网络犯罪活动分子部署的攻击方法都相对简单,类似于对一家便利商店进行砸窗行窃,或闯入大型企业偷窃尽可能多的资料。该方法与自动化的大规模攻击不同,它主要针对的是小企业,包括餐馆和零售商。

  “很多时候,黑客活动家们似乎在寻找任何他们可以找到的弱点,从而攻击企业。在造成攻击事实后,他们再发布信息,给出一个他们攻击该企业的原因,”Porter说道。

  Porter表示,黑客活动家们根本懒得去掩饰自己的行踪,因为他们没有经济利益动机,不会在黑市上出售信息,他们把窃取的数据都公之于众,从而导致一桩尴尬的引人注目的泄漏事件,并带来一笔昂贵的清理费用。

  报告中写道,在2011年,79%的攻击都是机会型的,其中许多涉及到黑客活动家们。在所有的攻击中,96%的都不是高难度的。Verizon发现,重新重视基本的和相对低廉的安全措施是可以解决黑客们带来的威胁的,还可以解决受经济利益驱动的网络犯罪分子所制造的自动化攻击。

  “当有组织的犯罪团体闯入一个企业时,他们试图尽可能保持安静,从而一直保持访问并收集数据,”Porter说道,“黑客很少费心思去掩盖他们的踪迹。”

  比起使用恶意软件,黑客们以Web应用程序漏洞为目标,Porter说道,使他们能够获得对网站本身后面的Web服务器的访问。在2011年,Web应用程序是第三大最常见的攻击媒介,所有数据丢失中有超过三分之一的与此有关。据2012年Verizon数据泄露调查报告的统计数据,56%的大型企业数据泄露都是通过Web应用程序。

  此外,远程访问服务是自动化攻击者最喜欢使用的攻击媒介,2011年中88%的泄露事件由其产生,而后门是第二个最常见的黑客攻击途径途经。为了抵御攻击,Verizon强烈建议企业部署和监控安全信息管理(SIM)系统,并检查销售点终端(POS)系统默认的口令和弱口令。

  虽然2011年中有一些财务数据被黑客盗取了,但个人身份信息,企业邮箱,密码文件和受害企业的系统架构信息才是黑客们窃取的主要数据。

  在2012年的Verizon数据泄露调查报告分析中,48%的泄露事件涉及到支付卡信息,超过了其它任何数据类型。身份验证凭据泄露占42%。个人身份信息,包括姓名,电子邮件和国家标识只占所有泄露事件的4%,而95%的泄露都是记录丢失,相比之下,记录丢失在2010年仅为1%。

  Solera网络研究实验室(Solera Networks Research Labs)的威胁研究主任Andrew Brandt说道,企业不应该对其基于一个潜在威胁源的安全策略作出重大改变,比如黑客行为(hacktivism,译者注:Hacktivism泛指因政治或社团目的而产生的黑客行为,或者是入侵计算机系统。独立完成这种行为的个人被称为黑客行动主义者——hacktivist)。一项安全意识的业务应进行审核工作,以确定系统的弱点,至少每年评估一次风险最高点,Brandt补充道。

  “不管是黑客行动主义者们,网络犯罪团伙,或一个使用自动化工具包的单独攻击者,就被关注的网络角度而言,一个探测器就应该发挥一个探测器的功能,不管是谁启动它,”Brandt说。“我们已经进入这样一个时代,人们没完没了地琢磨,最终有人会犯下一个错误,不管是人为错误还是技术错误,而这个错误将成为成功攻击过程中众多事件中的一件。

  黑客攻击会对企业造成伤害,而最近的泄漏事件也说明了这一事实。被认为是AntiSec Movement(反安全运动)成员的六名黑客行动主义者已被逮捕,这使我们进而获得了最新细节,关于Straffor数据泄露事件和黑客成功攻击Austin公司(总部位于得克萨斯州的地缘政治情报公司(geopolitical intelligence company))的相关费用。这六个人面临着各种网络攻击的相关费用,涉及到Stratfor公司、福克斯广播公司、索尼影像娱乐公司和公共广播服务(Public Broadcasting Service)公司。据报道,针对Stratfor的攻击使该公司至少损失200万美元,导致70万美元未经授权的信用卡收费,影响了Stratfor的客户。

  漏洞管理和端点安全厂商Lumension公司的安全与取证分析师Paul Henry表示,该攻击说明了黑客组织制造的威胁,如何升级到超过网站毁损和Web服务器泄漏的规模。企业需要保持警觉,对有经济动机的网络犯罪分子,试图窃取知识产权的民族国家,以及暗度陈仓在被盗系统上发表一项政治声明的黑客们。

  Henry说,反安全运动(The Antisec Movement)很可能变得更以经济利益为驱动。黑客攻击可以与国家赞助的网络攻击相结合,他补充说道。

  “民族国家或许已经意识到,通过黑客从他们的敌对国中收集信息似乎更为有效,所以我不会对一些政府在某种程度上赞助的黑客活动者们掉以轻心,”Henry说。“黑客可以让他们的声音被听到,同时还可以挣取几美元。”

  TechTarget中国原创内容,原文链接:http://www.searchsecurity.com.cn/showcontent_59838.htm

${PageNumber}

  关于黑客如何老练地运用恶意软件和高级黑客技术盗窃支付信息或者敏感企业数据的信息总是不绝于耳。虽然有针对性的攻击主要指向高价值的目标,比如政府机构、国防工业基地或金融机构,但根据2012年Verizon数据泄露调查报告(Verizon Data Breach Investigations Report,以下简称DBIR),大部分受害者是一些小公司,它们深受商业攻击之害,暴露了其在基本信息安全非常好的实践中的弱点。报告指出,创新并不一定在于所涉及的恶意软件有多精巧,而在于攻击背后的自动化和精细过程。

  今天公开发布的Verizon DBIR 2012指出,黑客通过大规模自动化攻击普遍缺少防火墙或者其他安全控制的POS机和远程访问系统,发现了一个特殊的弱点。正如DBIR一年前指出的,这被称为“伺机攻击”,中小企业,尤其是食品行业和酒店行业的企业,正处在攻击者的瞄准镜中。

  Verizon的RISK团队调查显示,酒店行业和食品行业占数据泄露案例的54%;零售业紧随其后占20%。相比之下,大多数导致数据泄露的有针对性的攻击是针对金融和保险部门的,其中大多数是大型企业(有超过1000名员工);大型企业所遭受的攻击中,超过50%是有针对性的而不是伺机的。

  Verizon的RISK团队负责人Christopher Porter说,有组织的网络犯罪集团使用连续的自动化攻击。这些集团会扫描因特网寻找暴露的PoS或远程管理服务,比如远程桌面管理,然后使用暴力破解攻击取得登录权限。由于很多人在这些系统上使用着默认的、或容易猜测的密码,取得登录权限并非难事。一旦进入系统,就安装恶意软件——通常是键盘记录器——并开始收集数据。恶意软件被预设置为通过FTP或者电子邮件向攻击者控制的Web服务器发送数据。然后,数据将在黑市上出售,或者,如果证书被盗,将针对银行账户或企业内部的其他系统发起更深层次的攻击。

  “我们开玩笑说肯定有些犯罪团伙已经取得了MBA学位,”Porter说。“从最近几年的工业化攻击类型中,我们发现了过程和方法上的创新。整个过程紧密连接,并且是大规模的。通常,小公司会遭受这种攻击,因为小公司总在担心财务盈亏。由于专业知识、时间和资源等问题,它们无法做好防御。”

  Porter说,一般而言,预防就是把默认密码或者现有密码改得更复杂一些,并且在远程访问服务前面设置访问控制列表。这些策略可以给潜在受害者减轻来自商业攻击的压力,因为在这些攻击中,攻击者并不会为每个目标定制恶意软件。DBIR指出定制恶意软件只存在于针对性的攻击中,这些恶意软件是从头开始写的或用已有代码修改的。

  报告指出,“在这些大规模、受害者众多的攻击方案中,由于攻击者使用普通的工具就能攻陷成千上万的受害者,因而他们没有必要为定制恶意软件而费心。”

  攻击者也不太可能在一个小型企业中花费大量时间,DBIR中提道。不像大型企业那样有着丰富的数据和互相依赖的系统,小型企业存储在服务器上的所有数据经常在一夜间全被盗窃,然后攻击者全身而退。在攻击大型企业时,攻击者更有可能使用后门程序来反复登录系统,悄悄地实施攻击。

  “相比起来,这些简单的攻击几乎不需要深度知识和创新。它们经常是脚本化的,针对很多目标,而且,如果不成功,就撤退,””报告中说道。“实际上,直到窃贼检查接收截获数据的远程服务器时,他才知道他到底偷到了什么东西。简单地说,目标不值得攻击者花费太多心机,因为在这些事件中,很少记录被盗;目标有多大规模才是他们关心的。”

  TechTarget中国原创内容,原文链接:http://www.searchsecurity.com.cn/showcontent_59937.htm

0
相关文章