Verizon 2010年度數(shù)據(jù)泄露調(diào)查報告概述
原創(chuàng)【51CTO.com獨家翻譯】根據(jù)Verizon公司2010年度數(shù)據(jù)泄露調(diào)查報告(DBIR),數(shù)據(jù)泄露事件的總數(shù)在2009年里有所下降。Verizon公司負責技術和企業(yè)創(chuàng)新的副總裁Peter Tippett說:“數(shù)據(jù)泄露事件的下降是一個良好的跡象,表明我們在對抗網(wǎng)絡犯罪方面有了一定的進步?!辈贿^,服務器和應用程序所導致的被盜記錄仍占到了98.5%,這一點并沒有發(fā)生改變。
2010年度數(shù)據(jù)泄露調(diào)查是Verizon與美國特情局(U.S. Secret Service,USSS)首次聯(lián)合開展的。該報告顯示,去年電子記錄的泄露涉及到了更多的內(nèi)部人士的威脅(insider threats)、更多的社會工程學和有組織犯罪。Tippett說,“通過把美國特情局所記錄的案例次數(shù)包含在內(nèi),使我們擴大了對網(wǎng)絡犯罪的認識,提高了我們阻止數(shù)據(jù)泄露的能力?!盫erizon和美國特情局(負責調(diào)查經(jīng)濟犯罪)聯(lián)合調(diào)查的數(shù)據(jù)設計到過去六年的900多起數(shù)據(jù)泄露事件,被盜的記錄超過9億條。
“在2009年導致數(shù)據(jù)泄露的威脅行為(threat actions)排行榜上,數(shù)據(jù)濫用位居榜首。這并不是說黑客攻擊和惡意軟件已經(jīng)消失了,它們?nèi)苑謩e位列第二和第三,需要對95%的被盜數(shù)據(jù)負責。在一些組織試圖保護自己的信息資產(chǎn)時,證書強度弱或者被盜、SQL注入和數(shù)據(jù)捕獲、定制的惡意軟件等仍然困擾著人們。而社會工程學導致的數(shù)據(jù)泄漏事件增加了兩倍還多,物理攻擊(如盜竊、竄改和監(jiān)控則上升了好幾倍?!?/P>
威脅行為有如下幾種(包含了各自在泄露事件和被盜記錄中所占的百分比):惡意軟件(泄露事件的38%,被盜記錄的94%)、黑客攻擊(泄露事件的40%,被盜記錄的94%)、社會工程學(泄露事件的28%,被盜記錄的3%)、數(shù)據(jù)濫用(泄露事件的48%,被盜記錄的3%)、物理攻擊(泄露事件的15%,被盜記錄的1%)、錯誤(泄露事件的2%,小于被盜記錄的1%)和環(huán)境因素(泄露事件的0%,記錄的0%)。
2010年度報告的主要發(fā)現(xiàn)包含:
69%的數(shù)據(jù)泄露是由外部攻擊造成的,只有11%的數(shù)據(jù)泄露與商業(yè)合作伙伴有關。而49%的數(shù)據(jù)泄露則是由內(nèi)部人士造成的,這一項比以前的報告有所增加,主要和數(shù)據(jù)集(dataset)的擴大以及美國特勤局所研究的案件類別有關。
權限濫用占到數(shù)據(jù)泄露的很大一份。48%的數(shù)據(jù)泄露是由于用戶惡意地濫用訪問企業(yè)信息的權利而造成的。數(shù)據(jù)泄露的另外40%是黑客攻擊的結果,而其中28%是由于社會工程學,14%是由于物理攻擊。
與往年一樣,幾乎所有的數(shù)據(jù)都是在服務器和網(wǎng)絡應用程序上被盜的。85%的泄露事件并不十分困難的。而高達87%的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù),但他們卻錯過了。如果安全規(guī)則得到遵守,大多數(shù)的數(shù)據(jù)泄露都是可以避免的。只有4%的數(shù)據(jù)泄露需要困難的、昂貴的自我保護措施才能得以實現(xiàn)。在去年被盜的所有數(shù)據(jù)中,有組織犯罪占到了85%。
在受害者中,有些是需要遵守PCI-DSS標準的,但79%的受害者在數(shù)據(jù)泄露發(fā)生之前,都沒能實現(xiàn)規(guī)則遵從(compliance)。
只要有足夠的時間、資源和專注,犯罪分子就能攻破他們所選擇的任何一個組織,但他們并沒有足夠的資源攻破所有的組織。在大型的數(shù)據(jù)泄露事件里,黑客侵入受害者的網(wǎng)絡(通常通過利用一些錯誤或漏洞)后,在受害者的系統(tǒng)上安裝惡意軟件以收集大量的數(shù)據(jù)。你得在對手控制你的電腦前阻止他們,因為等他們成功入侵你的系統(tǒng)之后再去阻止,那將會變得非常困難。在2009年,惡意軟件呈現(xiàn)大幅上升的局面。下面是Verizon公司提供的一個圖表,展示了各種惡意軟件在數(shù)據(jù)泄露中所占百分比,以及用紅色表示的被盜記錄百分比。
內(nèi)部人士作案并不是虛構的事情。網(wǎng)絡罪犯善于煽動,他們會勸說那些不滿的系統(tǒng)管理員或者正處在經(jīng)濟困難中的員工出賣自己的登錄信息或者VPN。Verizon負責調(diào)查響應的總監(jiān)Bryan Sartin說:“內(nèi)部作案總會被抓到?!?/P>
社會工程學在數(shù)據(jù)泄露中占的比例更大(28%,而在2008年只有12%)。社會工程學運用了欺騙、操縱、恐嚇等來利用人為因素、或者信息資產(chǎn)的用戶。引誘和賄賂發(fā)生的頻率往往比其他類型的社會工程學更高。美國特勤局表示,這些通常是有組織犯罪的慣用伎倆,他們會招募甚至在目標組織的內(nèi)部安置一個內(nèi)線,以盜用或者侵吞貨幣資產(chǎn)和數(shù)據(jù),事后內(nèi)線會分到一部分好處。社會工程學瞄準的一些小目標如零售店和酒店的出納員,而大一點的目標則更容易涉及銀行職員以及其他類似的人員。在2009年所發(fā)現(xiàn)其他一些常見的社會工程學類型還包括網(wǎng)絡釣魚和假托技術(Pretexting)。
2010年的研究再次表明,當簡單的保護行動被勤勉的、連續(xù)的完成時,就能獲得巨大的好處。
#p#
向企業(yè)推薦的保護行動包括:
限制和監(jiān)督特權用戶。美國特勤局的數(shù)據(jù)顯示,內(nèi)部人士導致的數(shù)據(jù)泄露比以往任何時候都要多。內(nèi)部人士,尤其是具有高特權的那類人,可能很難對其進行監(jiān)督。最好的策略是信任他們,但在他們加入公司之前必須通過嚴格的審查,限制他們的用戶權限,以及采用職責分離策略。特權使用應詳細記錄和并為管理層生成詳細的行為報告。
注意“小的”政策違規(guī)。研究發(fā)現(xiàn),看似很小的政策違規(guī)和嚴重數(shù)據(jù)濫用之間存在著一定的聯(lián)系。這意味著,組織必須有所提防,并對各項政策的所有違規(guī)行為進行充分的響應。根據(jù)案件的數(shù)據(jù),用戶系統(tǒng)上存在的非法內(nèi)容或其他不適當?shù)男袨樵谖磥韺⒊蔀閿?shù)據(jù)泄露的一個合理指標。積極尋找這些指標可能會更為有效。
采取措施以阻止證書被盜。讓系統(tǒng)遠離可以進行證書捕獲的惡意軟件是需要首先進行的事情??梢钥紤]在合適的時候進行雙因素(two-factor)驗證。如果允許的話,還可以采用使用時間(time-of-use)規(guī)則、IP黑名單,以及限制行政溝通(administrative connections)。
監(jiān)控和過濾對外流量(Outbound Traffic)。在許多數(shù)據(jù)泄露事件的某些時間點上,一些東(數(shù)據(jù)、通信、連接)通過組織的網(wǎng)絡向外傳輸,如果傳輸被阻止,就可能打破鏈路進而阻止數(shù)據(jù)泄露的發(fā)生。通過監(jiān)測、了解和控制對外流量,組織可以大大減輕惡意活動帶來的危害。
改變事件監(jiān)測與日志分析的方法。第三方的欺詐檢測仍然是讓受害者了解自身處境的最常見方法,但幾乎所有受害者的日志里面都有數(shù)據(jù)泄露的證據(jù)。弄清楚哪里出了問題,并做出必要的改動,并不會占用你很多的時間。組織應擠出時間以更加徹底地檢查批處理的數(shù)據(jù),并進行日志分析。確保有足夠的人、足夠的工具和完善的流程可以發(fā)現(xiàn)并響應異常。
共享事件信息。一個組織可以自我保護的能力大小,在于其獲得資料的多少。Verizon認為,在同網(wǎng)絡犯罪對抗的時候,信息的可用度和分享十分關鍵。我們贊賞在這方面有所貢獻的所有組織,Verizon的VERIS架構也是一個類似的數(shù)據(jù)共享計劃(data-sharing programs)。
至于說日志,Verizon的Bryan Sartin表示,網(wǎng)絡管理員應該檢查他們的日志以確定是否發(fā)生了數(shù)據(jù)泄露,這一點非常重要。因為網(wǎng)絡管理員往往并不需要大海撈針,只要能看見大海就可以了?!拔覀儾粩喟l(fā)現(xiàn),近90%的日志是可用的,但是通過日志分析有所發(fā)現(xiàn)的幾率卻低于5%。有三大征兆值得我們警覺:1)日志數(shù)據(jù)異常增長;2 )日志中行(lines)的長度異常;3)日志數(shù)據(jù)的缺乏(或異常減少)。在一次數(shù)據(jù)泄露事件發(fā)生之后,我們看到日志的條目增加了500%。而在黑客關閉日志記錄之后,我們在幾個月內(nèi)根本發(fā)現(xiàn)不了日志。我們發(fā)現(xiàn),SQL注入攻擊和其他攻擊在日志中所留下的行(lines)要比標準活動留下的長很多。不必大海撈針,因為大海更容易發(fā)現(xiàn)?!?/P>
如果想查看完整的“2010年度數(shù)據(jù)泄露調(diào)查報告”,您可以點擊鏈接http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-rep...(文中圖片由Verizon 2010 DBIR提供)。
【編輯推薦】