通信运营商Verizon公司对2022年数据泄露事件的统计数据表明,网络安全行业在防范人员攻击媒介方面还有更多工作要做。网络攻击者窃取凭证、滥用特权、人为错误、精心策划的社交工程、商业电子邮件泄露(BEC)的数量在短短一年内翻了一番。每个网络安全提供商都需要加紧努力,改进身份、特权访问和端点安全性,以提供客户所需的价值。企业必须超越安全培训,采取行动提供一个强大的防御基线。
网络攻击者正在寻找新的方法来欺骗受害者Verizon公司发布的《2023年数据泄露调查报告》反映了网络威胁正在以多快的速度演变,人们的善良本性正在被蚕食。当同事、朋友和家人需要获得现金或其他形式的经济帮助时,通常会帮助他们,而这是网络攻击者精心策划的社交工程攻击的一部分。众所周知的礼品卡骗局已经变得如此普遍,以至于美国联邦贸易委员会发布了如何避免网络欺诈的指导方针。根据美国互联网犯罪投诉中心(IC3)发布的数据,商业电子邮件泄露(BEC)的平均诈骗金额已经增长到5万美元。
【资料图】
更多的预算,更多的违规该报告最有力的结论之一是,尽管支出增加,但网络安全的改进速度还不够快,不足以保护人们免受网络欺诈和攻击。应对这一挑战的办法并不是在安全培训上增加更多的费用,与其相反,如果企业在发生数据泄露之前采取预防措施,那么将会更安全。在最近接受行业媒体采访时,网络安全专家John Kindervag建议企业从大规模掌握基本的网络安全措施,逐步实施零信任,从一次保护一个面开始。Kindervag建议企业不要同时保护所有的面,而是选择一种迭代的方法,他指出,这是一种经过验证的零信任方式,无需要求企业董事会进行设备级投资。
《2023年数据泄露调查报告》的10个要点网络攻击者的微调策略缩短了从最初接触目标到目标真正成为受害者的时间。窃取特权访问凭证仍然是网络攻击者获得系统访问权限并混入常规系统流量而不被发现的最常用方法。Verizon公司发现,仅在一年内,被盗凭证的使用量就从41.6%增长到44.7%。
以下是Verizon公司《2023年数据泄露调查报告》的十大关键要点:
(1)83%的网络入侵是由寻求快速经济利益的网络攻击者发起的。每10次攻击中有8次是有组织的犯罪团伙和网络发起的,95%的情况下是为了经济利益。针对客户和金融数据的攻击司空见惯,勒索软件是首选武器。
金融服务和制造业是网络攻击者的首选目标,因为这些企业必须按时提供产品和服务,才能留住客户并发展业务。而人员已经成为初始威胁面的选择,采用各种借口,配合社交工程,成为初始攻击的策略。
(2)84%的网络攻击目标是将人类作为攻击媒介,使用社交工程和商业电子邮件泄露(BEC)策略。根据Verizon公司最近发布的两份研究报告,许多违规行为都涉及人为错误。根据今年发布的研究报告,74%的数据泄露始于人为错误、社交工程或滥用。在去年的报告中,这一数字甚至更高,达到82%。但根据Verizon公司2021年发布的研究报告,只有35%的成功违规行为是以这种方式开始的。
(3)五分之一(19%)的违规行为来自企业内部。一些企业的首席信息安全官表示,内部攻击是他们最可怕的噩梦,因为识别和阻止这类漏洞具有挑战性。这就是拥有人工智能和机器学习专业知识的行业领先供应商在他们的路线图上有内部威胁缓解的原因。博思艾伦咨询公司使用数据网格架构和机器学习算法来检测、监控和响应可疑的网络活动。Proofpoint公司是另一家使用人工智能和机器学习的内部威胁检测供应商。Proofpoint公司的ObserveIT提供实时警报和可操作的用户活动洞察。
(4)一些供应商正在探索或收购一些公司,以增强其平台抵御内部威胁的能力。一个例子是CrowdStrike公司在2022年度大会上宣布收购Reposify公司。Reposify的软件每天扫描web,搜索暴露的资产以使企业能够看到它们,并定义他们需要采取的措施进行修复。CrowdStrike公司计划将Reposify公司的技术整合到CrowdStrike平台中,以帮助客户阻止内部攻击。
(5)系统入侵、基础web应用程序攻击和社交工程是主要的攻击策略。在Verizon公司2021年发布的研究报告中,基本的web应用程序攻击占违规行为的39%,89%是出于经济动机。当年,网络钓鱼和商业欺诈也很普遍,而且出于经济动机(95%)。相比之下,今年发布的研究报告中发现,系统入侵、基本web应用程序攻击和社交工程占信息行业违规行为的77%,其中大多数是出于经济动机。
(6)从Verizon公司发布的两年研究报告来看,web应用程序攻击的增长趋势正在增加。这强调了更有效地采用基于零信任的web应用程序安全性和跨企业的安全网络访问的必要性。该领域的领先供应商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler,它们提供零信任网络访问(ZTNA)来保护用户访问和web应用程序防火墙((WAF),以保护应用程序免受攻击。例如,爱立信公司基于隔离的零信任网络访问(ZTNA)可以保护企业网络和SaaS应用程序的访问安全,保护面向公众的应用程序免受攻击,并提供无客户端选项,在通过BYOD和第三方非托管设备访问安全方面被证明是有效的。
(7)系统入侵是一种网络攻击策略,由更有经验的网络攻击者使用,他们可以访问恶意软件来破坏企业并提供勒索软件。根据Verizon公司在去年发布的研究报告,系统入侵取代了2021年排名第一的基本web应用程序攻击,成为排名第一的事件类别。
(8)社交工程攻击的复杂性正在快速增长。今年发布的研究报告凸显了社交工程攻击的利润是多么丰厚,以及如今的方式是多么复杂。商业电子邮件泄露(BEC)在整个事件数据集中几乎翻了一番,现在占社交工程事件的50%以上。相比之下,Verizon公司的《2022年数据泄露调查报告》指出,25%的违规行为是由社交工程攻击造成的。在2021年,Verizon公司发现商业电子邮件泄露(BEC)的是排名第二常见的社交工程类型,在过去三年中增长了15倍。
(9)2023年95%的数据泄露是出于经济原因,这与有关民族国家的攻击活动相反。随着网络攻击者改进他们的社交工程技术,出于经济动机的攻击比例也在增加。之前报告的趋势数据表明,经济利益越来越多地成为企业间谍活动或前雇员报复性攻击的主要动机。根据Verizon公司的《2022年数据泄露调查报告》,90%的网络攻击者为了经济利益发起网络攻击,高于2021年的85%。
这一增长可归因于更高的潜在勒索软件支出,以及成功率更高的多种网络攻击策略。还有一种可能是没有被检测到的间谍攻击,因为网络攻击者知道如何窃取特权访问凭证,并在几个月内不被发现地破坏网络。
(10)在过去两年中,每次勒索软件事件给受害者造成的平均损失增加了一倍多,达到26000美元,95%的事件造成的损失在100万至225万美元之间。随着网络攻击者以那些因关闭系统而损失最大的行业为目标,勒索软件支付的金额继续创下纪录。正如《2023年数据泄露调查报告》指出的那样,金融服务和制造业成为受影响最严重的行业并不奇怪。
对于《2021年数据泄露调查报告》,Verizon公司引用了美国联邦调查局(FBI)的数据,发现勒索软件攻击事件的平均损失为11150美元。2020年,勒索软件攻击事件的平均损失为8100美元,2018年仅为4300美元。因此,在五年内,勒索软件攻击事件的平均损失增加了两倍。
今年24%的网络攻击事件涉及勒索软件,继续作为主要攻击策略呈长期上升趋势。《2023年数据泄露调查报告》指出,有组织犯罪攻击者的所有事件中有62%发现了勒索软件,所有以经济为目标的事件中有59%发现了勒索软件。Verizon公司对2022年的分析发现,勒索软件漏洞与前一年相比增加了13%。随着这一趋势的延续和势头的增强,勒索软件攻击数量在2022年至2023年间翻了一番多,从2022年的25%上升到今年的62%。
32%以上的Log4j漏洞扫描发生在网络攻击者发现漏洞之后的前30天。Verizon公司在报告中指出,在网络攻击者发现漏洞17天之后,漏洞利用就达到了顶峰。Log4j漏洞的快速利用说明了企业必须更快地响应新威胁的原因。他们必须在发现漏洞时优先修补和更新系统。这包括应用所有软件和系统安全补丁。健壮的漏洞管理程序可以帮助企业在网络攻击者利用漏洞之前识别和修复漏洞。
金融和保险行业74%的数据泄露涉及个人数据泄露,远远领先于所有行业。相比之下,其他行业的个人数据泄露情况要少得多:34%的住宿和餐饮服务行业的数据泄露是由于个人数据泄露造成的,而教育服务行业的这一数字为56%。
网络攻击者经常利用凭证和勒索软件攻击金融机构,这就解释了金融行业在个人数据泄露攻击方面领先于其他所有行业的原因。
回顾过去,在所有行业中,2021年83%的数据泄露是由于个人数据泄露造成的。根据Verizon公司发布的《2023年数据泄露调查报告》,网络应用程序攻击、系统入侵和其他错误导致了79%的金融和保险违规行为。
网络安全支出是对信任的商业投资Verizon公司在今年发布的研究报告指出,越来越多的人了解网络攻击者如何利用借口和先进的数字欺诈形式改变威胁格局。该报告的主要发现是,尽管网络安全支出有所增加,但违规行为正变得越来越频繁和复杂,这凸显出需要一种更加集成、统一的网络安全方法,而不是让身份安全成为偶然。
不出所料,24%的违规行为涉及勒索软件,这表明网络攻击者越来越多地针对那些因业务中断而损失最大的行业进行攻击。勒索软件攻击事件的平均损失增加,使备份和事件响应策略更加必要,以尽量减少损失。Verizon公司在关于Log4j漏洞被迅速利用的报告中指出,企业需要迅速采取行动应对新的威胁,其中一些方法是加快打补丁和更新系统。
总而言之,《2023年数据泄露调查报告》强调了企业重新考虑其网络安全战略的必要性。他们必须考虑人为因素,其中包括内部威胁以及攻击策略的发展速度。企业必须创造一种超越IT部门的网络安全文化,这是一种提高警惕性、弹性和不断适应不断变化的威胁的文化。