Verizon數據泄漏報告2011:攻擊者改變他們的目標
Verizon數據泄漏報告,攻擊者正改變他們入侵企業的方式,他們轉移到更小的的目標上,因為小目標的安全防御較少。根據Verizon 2011年數據泄漏調查報告中的最新資料,攻擊者的這一轉變舉動,將數據泄漏的數量壓到了歷史最低點。
本周二發布的Verizon數據泄漏報告2011版顯示,受到破壞的記錄數大幅下降,從2008年的高達3.61億條記錄,降到2010年的4萬條。安全專家表示,這項研究已經成為業界最可靠的泄漏調查參考來源,它是此類調查中規模最大的。他們研究了923件獨立的案件,涵蓋了由Verizon,美國密勤局(the U.S. Secret Service)和荷蘭國家高科技犯罪小組( Dutch National High Tech Crime Unit,為歐洲提供攻擊事件的數據)進行的六年多的調查。
Verizon調查響應中心的主管Bryan Sartin說道,這些數據表明,網絡犯罪分子已被迫改變他們的戰術。事實上,過去充斥著市場的信用卡數據竊取,目前在網絡犯罪分子間急劇下降,Sartin解釋道。
同時,他還表示,認證記錄,例如用戶名和密碼,價值大增。能夠訪問政府系統的憑證,在黑市上可以賣到高達3萬美元。此外,公司專有的數據,包括知識產權,銷售聯系人和其他敏感的數據也變得更有價值。
“對于目標,攻擊者不再像他們過去追求的那樣,攻擊‘大象’,他們現在的目標是‘兔子’,”Sartin說道,“網絡犯罪分子意識到,當他們入侵大公司時,大公司有最夠的安全措施,他們的行動會留下足跡,而這些足跡會導致檢舉。”
研究發現,幾乎所有2010年該組織進行的數據泄漏調查都涉及到外部攻擊,而涉及內部的泄漏數卻接近歷史最低點。Sartin表示,最終,攻擊者竊取用戶的憑據進行訪問,入侵網絡并安裝惡意軟件,從而破壞服務器的機密性和完整性。
Verizon的數字顯示,攻擊者繼續選擇低垂的果實:去年的襲擊事件大多是相對簡單且大多受害者是機會的目標(targets of opportunity)。
Sartin表示,該報告偏差很小,三個組織提供的數據結果驚人的相似。50%的數據泄漏案件涉及各種黑客攻擊,49%包含某種形式的惡意軟件,比2009年的數字增長了11%。
58%的攻擊被追蹤到是有組織的犯罪集團,而40%的數據泄漏案件涉及個人,Sartin說道,這可能表明,自動化攻擊工具比以往更容易獲得和使用。攻擊也變得更加自動化和可重復的。2010年的調查中,至少有140個泄漏案件是一個人使用同樣的方法做的。雖然該該報告只報告2010年的數據,但Verizon表示,2011年發現有數百人與2010年是同一批人。
Sartin說,比起廣泛的攻擊,更小、更有針對性的攻擊更難被追蹤,因為在入口點攻擊者經常使用偷來的用戶名和密碼。雖然攻擊目標變小了,但它們往往涉及大品牌的特許經銷商,Sartin補充道。調查中,酒店業占數據泄漏事件的40%,零售業占了25%,金融服務業占了22%。
“在擁有雇員人數為1到100的公司中,比起過去,我們看到更多偏差,這些公司現在成為了攻擊者目標,”Sartin補充說,小公司通常需要更長的時間才能發現泄漏,從入侵到發現多6達個月的時間,這給攻擊者清理痕跡的時間。一個最近的攻擊例子是連鎖餐廳Briar集團。Briar集團餐廳系統上的惡意軟件在被刪除前,已經存在了8個月。此外,對于計算機取證調查,小企業已經對日志信息沒有限制,而且它們中的許多都沒有入侵檢測或預防系統。
“安全不是他們的工作,很多時候他們甚至徹底外包其IT功能,”Sartin說道,“你發現沒有人真正對安全負責,而很多時候你的系統只是以默認狀態運行。”
幾乎所有的有過泄漏的公司都遵守了支付卡行業數據安全標準(PCI DSS)。但調查卻發現89%的公司在數據泄漏時沒有遵從標準。
Sartin表示,PCI可能會助長竊取知識產權行為的增加。他說,當伺機攻擊者發現孤立網絡上的支付系統和信用卡數據,且被鎖藏時,常常忽視消費者的數據。
“十次有九次,只有一家公司的支付卡數據遵守了外部規則標準,且數據被鎖住和加密,企業對于誰以及何時可以訪問都規定了責任,”Sartin說道,“當數據泄漏在以上企業中發生時,相比有措施的企業,那些企業是無保護和無說明的。”
【編輯推薦】
