Verizon数据泄漏报告,攻击者正改变他们入侵企业的方式,他们转移到更小的的目标上,因为小目标的安全防御较少。根据Verizon 2011年数据泄漏调查报告中的最新资料,攻击者的这一转变举动,将数据泄漏的数量压到了历史最低点。
本周二发布的Verizon数据泄漏报告2011版显示,受到破坏的记录数大幅下降,从2008年的高达3.61亿条记录,降到2010年的4万条。安全专家表示,这项研究已经成为业界最可靠的泄漏调查参考来源,它是此类调查中规模最大的。他们研究了923件独立的案件,涵盖了由Verizon,美国密勤局(the U.S. Secret Service)和荷兰国家高科技犯罪小组( Dutch National High Tech Crime Unit,为欧洲提供攻击事件的数据)进行的六年多的调查。
Verizon调查响应中心的主管Bryan Sartin说道,这些数据表明,网络犯罪分子已被迫改变他们的战术。事实上,过去充斥着市场的信用卡数据窃取,目前在网络犯罪分子间急剧下降,Sartin解释道。
同时,他还表示,认证记录,例如用户名和密码,价值大增。能够访问政府系统的凭证,在黑市上可以卖到高达3万美元。此外,公司专有的数据,包括知识产权,销售联系人和其他敏感的数据也变得更有价值。
“对于目标,攻击者不再像他们过去追求的那样,攻击‘大象’,他们现在的目标是‘兔子’,”Sartin说道,“网络犯罪分子意识到,当他们入侵大公司时,大公司有最够的安全措施,他们的行动会留下足迹,而这些足迹会导致检举。”
研究发现,几乎所有2010年该组织进行的数据泄漏调查都涉及到外部攻击,而涉及内部的泄漏数却接近历史最低点。Sartin表示,最终,攻击者窃取用户的凭据进行访问,入侵网络并安装恶意软件,从而破坏服务器的机密性和完整性。
Verizon的数字显示,攻击者继续选择低垂的果实:去年的袭击事件大多是相对简单且大多受害者是机会的目标(targets of opportunity)。
Sartin表示,该报告偏差很小,三个组织提供的数据结果惊人的相似。50%的数据泄漏案件涉及各种黑客攻击,49%包含某种形式的恶意软件,比2009年的数字增长了11%。
58%的攻击被追踪到是有组织的犯罪集团,而40%的数据泄漏案件涉及个人,Sartin说道,这可能表明,自动化攻击工具比以往更容易获得和使用。攻击也变得更加自动化和可重复的。2010年的调查中,至少有140个泄漏案件是一个人使用同样的方法做的。虽然该该报告只报告2010年的数据,但Verizon表示,2011年发现有数百人与2010年是同一批人。
Sartin说,比起广泛的攻击,更小、更有针对性的攻击更难被追踪,因为在入口点攻击者经常使用偷来的用户名和密码。虽然攻击目标变小了,但它们往往涉及大品牌的特许经销商,Sartin补充道。调查中,酒店业占数据泄漏事件的40%,零售业占了25%,金融服务业占了22%。
“在拥有雇员人数为1到100的公司中,比起过去,我们看到更多偏差,这些公司现在成为了攻击者目标,”Sartin补充说,小公司通常需要更长的时间才能发现泄漏,从入侵到发现多6达个月的时间,这给攻击者清理痕迹的时间。一个最近的攻击例子是连锁餐厅Briar集团。Briar集团餐厅系统上的恶意软件在被删除前,已经存在了8个月。此外,对于计算机取证调查,小企业已经对日志信息没有限制,而且它们中的许多都没有入侵检测或预防系统。
“安全不是他们的工作,很多时候他们甚至彻底外包其IT功能,”Sartin说道,“你发现没有人真正对安全负责,而很多时候你的系统只是以默认状态运行。”
几乎所有的有过泄漏的公司都遵守了支付卡行业数据安全标准(PCI DSS)。但调查却发现89%的公司在数据泄漏时没有遵从标准。
Sartin表示,PCI可能会助长窃取知识产权行为的增加。他说,当伺机攻击者发现孤立网络上的支付系统和信用卡数据,且被锁藏时,常常忽视消费者的数据。
“十次有九次,只有一家公司的支付卡数据遵守了外部规则标准,且数据被锁住和加密,企业对于谁以及何时可以访问都规定了责任,”Sartin说道,“当数据泄漏在以上企业中发生时,相比有措施的企业,那些企业是无保护和无说明的。”
【编辑推荐】
