Verizon日前公布了其《数据泄露报告》。该报告基于全球67个机构，包括安全人员和执法部门发生的53000起安全事件，对去年的安全漏洞进行了深入而广泛的分析研究。

导致泄露的最常见的攻击类型为对被盗证书的恶意使用，其次是内存抓取，再次是钓鱼和权限滥用。尽管如此，为了给受害公司带来损失，攻击不一定非要制造数据泄露事件。

很多计算机防御措施都非常薄弱而且考虑不周全，以至于黑客和恶意软件可以随意侵入，只不过恶意入侵者没想攻破整个环境而已。计算机防御措施是如此的糟糕，千疮百孔，因此首席执行官们一直认为不可能阻止黑客和恶意软件。他们所能做的不过是“承认被攻破”，尽快检测出自己的环境中是否有攻击者，并减缓攻击者的进攻罢了。

你能想象一名将军在受到攻击后，告诉下属和士兵，不管他们做什么，都绝对不会赢——即便给了他很多的士兵和武器，并在要害位置做好了布防？但现在的网络安全大环境就是这样，这让首席执行官们觉得理应如此。

虽然的确很难阻止一些国家资助的专业黑客组织，但通过一些良好的措施还是能够阻止大多数黑客和恶意软件入侵的。其实企业已经采取了这些措施，只是没有用好。更有针对性的IT安全策略和一些关键的防御措施能够大幅度降低黑客和恶意软件侵入企业环境的风险。

之所以盲目地认为黑客和恶意软件是防不住的，部分原因是，世人普遍觉得黑客都非常聪明，异于常人，是超级天才，挡也挡不住。好莱坞电影实际上对这种不切实际的情况起到了推波助澜的作用，在这些电影里，黑客们轻松地就能猜出任何系统的密码，就能够控制全世界的计算机。电影里的黑客比其他人都聪明，按几下按键就能发射核导弹，抹掉人们的数字身份……等等。

之所以有这种错误观念，是因为大部分被黑客攻击或者感染了恶意软件的人既不是程序员也不是IT安全人员。对他们来说，这些都不可思议，必须要有莱克斯·卢瑟（电影《超人》系列中的超级反派角色）那样的超能力才行。

现实情况是，大多数黑客都是普通人，他们的智商一般，在爱因斯坦面前，他们就是水管工和电工。黑客们只需知道怎样采用前辈们留下的某种工具来完成某一项任务，当然这不是水管工和电工干的活，而是计算机黑客。这并不是说没有非常出色的黑客，但和其他行业一样，这类黑客非常少，屈指可数。不幸的是，所有黑客都异于常人这种误解进一步让人觉得黑客是无法击败的。

大多数首席执行官认为他们的补丁都是受控的。所谓“受控”，我的意思是软件的补丁程序是100%最新的或者接近最新。相反，在我30多年的IT从业经验中，从来没有过打好所有补丁的计算机或者设备。从来没有，一个也没有。特别是那些非常安全的设备，比如路由器、防火墙和服务器等，大家都认为这些设备应该很好地打了补丁。很多IT安全部门可能会告诉他们的首席执行官补丁打的“近乎完美”，可能高达90％，但“细节是魔鬼”。

高比例的原因在于：很多企业都有成百上千需要打补丁的程序。大部分程序不需要打补丁，不是因为没有漏洞，而是因为攻击者不会去攻击它们。不用去找这些漏洞，也不用给这些漏洞打上补丁。

在大多数企业中，10到20个未打补丁的程序极有可能带来被黑客攻击的风险。在这些程序中，大多数程序的补丁准确率会非常高，可能只有一两个程序打补丁的准确率没有像其他程序那样高。然而，就是这一两个没有打好补丁的程序给很多企业带来了巨大的风险，但如果你只看数字本身，可能看起来补丁打得很好。

举个例子。假设一家企业只有100个程序要打补丁。在这100个程序中，只有一个程序打补丁的比例很低，比如说只打了50%的补丁。那么打补丁的整体比例为99.5%。这似乎很好，但数字真正的含义是，一半的计算机是有漏洞的，没有打上补丁，而更有可能的是，某一个只打了一半补丁的程序便是黑客用来闯入企业的未打补丁的主要程序之一。

我甚至没有提及大量未打补丁的硬件、固件和驱动程序，很多企业甚至不打算去给它们打上补丁。它们通常不包括在补丁报告中。如果包括它们在内，补丁比例看起来更糟糕。最近，黑客们更频繁地攻击硬件和固件。这不是巧合。

这份报告的重点为勒索软件。在去年的报告中，勒索软件为第五大与安全事件有关联的常见恶意软件类型，而在今年的报告中，勒索软件的排名已经上升到了首位。该报告的共同作者，Verizon信息安全数据科学家、研究员兼架构师 Gabriel Bassett 称：“在与恶意软件有关的安全事件中，39%的事件涉及这类软件。”

此外，勒索软件已经不再仅仅将目标锁定为用户桌面。为了勒索更高的赎金和攫取更多的犯罪利益，攻击者正逐步将目标转向关键的业务系统。

这些并不代表勒索软件已经成为了组织机构在去年面对的最大类型的攻击。拒绝服务（DoS）攻击是常见攻击的27倍。意外损失和错误也是安全事件中的常见因素，如钓鱼攻击。

Bassett指出，勒索软件并不是造成数据泄露的一个因素，因为它们通常与任何数据外泄都没有联系。DoS攻击也与许多数据泄露无关。实际上，虽然我们常常听到攻击者使用DoS攻击来掩盖数据窃取行为的说法，但是在今年的数据中仅有一起数据泄露涉及DoS攻击。

在这起数据泄露事件中，DoS攻击也没有被用于掩护数据窃取行为，它们是以另外一种方式被加以利用，即数据泄露导致资产被盗用，进而这些被盗用的资产被用于发动分布式拒绝服务攻击（DDoS）。

用户设备（User device）、

个人（Person）、服务器（Server）、

网络（Network）和嵌入系统（Embedded）

在DDoS攻击方面，随着时间的推移，攻击规模正由中等程度向小型化转变，大部分攻击的时间正在缩短，仅持续数分钟。呈现上升趋势的是放大攻击的百分比，由2013年的25%稳步上升到了目前的80%。

在放大攻击中，黑客利用系统漏洞放大了发送给受害者的信息的数量或规模。Bassett 称：“这就引出了一个问题，而这对于IT行业以及希望看到这份报告的人而言尤为重要。那就是，不要成为这一问题当中的一部分。”

例如，在公司披露web应用带有已知漏洞后，攻击者就能够利用这些漏洞。另一些被DDoS攻击者使用的向量包括DNS和NTP服务。他称：“攻击者将你的基础设施变成了他们的基础设施，使用你的设备攻击别人。这是一个重要的考虑事项。你可能并不是系统被侵害的唯一受害者。”

虽然去年的许多新闻都充斥着俄罗斯黑客的消息，但是政府和与政府有联系的人仅占已识别黑客数量的14%。62%的攻击者与有组织犯罪有关联，20%的攻击者与任何组织都没有联系。

经济上的收益是这些攻击者的最大动机，约占数据泄露事件的76%。间谍活动是排名第二的动机，约占数据泄露事件的13%。这一数据与去年相比已经有了大幅下降，当时21%的数据泄露事件是由网络间谍造成的。

经济收益（Financial）、间谍活动（Espionage）、

发泄不满（Grudge）、追求刺激（Fun）等

Bassett称，与网络间谍相关的数据泄露并不仅仅是在百分比上出现了下降，其绝对值也同时出现了下降。今年的报告时间涵盖范围为2016年11月至2017年10月。这段时间内与网络间谍相关的数据泄露事件为171起。而在上一年度的报告中，与网络间谍相关的数据泄露事件为292起。

他指出，由于许多数据泄露事件并不会立即被发现，因此在这些事件中，有一些在近期才被披露出来。例如，与网络间谍有关的数据泄露可能并不会像出现在网上黑市上的被盗信用卡号那样马上产生影响。

在今年的报告中，网络间谍攻击的主要行业——制造、公共部门、教育的数据泄露事件在数量上均出现了下降。而在去年的报告中，所有数量都比上一年度有所增加。

Bassett称，去年的网络间谍攻击未必都与DNC泄露和2016年其他备受瞩目的攻击有关联。他还表示，对单一机构的攻击无论会造成多大的影响都被仅按一次数据泄露事件统计。但是尽管如此，对一个PoS技术厂商的攻击可能会导致大量的零售机构出现数据泄露事件。

与此同时，与单独的行业垂直领域故障率相比，所有行业受到网络间谍攻击的平均值并没有什么用处。“我认为，我们有时候会为了整个森林而错过了一些树。总的来说，网络间谍行为毫无疑问是第二大动机。虽然低于经济动机，但是高于其他的动机。零售业中与网络间谍行为有关的数据泄露已经下降了约12倍，而在制造业和政府机构中，因网络间谍行为导致的数据泄露仍占其数据泄露事件的一半左右。”

例如，在公共部门，与网络间谍有关的数据泄露事件在今年高于因其他网络攻击形式导致的数据泄露。此外，网络间谍行为也是制造业中最为常见的数据泄露因素。

通过观察产生重大影响的攻击，Bassett发现攻击者已经开始专攻一些行业领域。“不同的行业就如同不同的孤岛。”他以酒店服务业为例称，“在住宿方面，我们看到PoS数据泄露正成为一个重大趋势。攻击者在他们擅长的领域发动攻击可以花最少的精力获得最大的回报。”

Verizon在今年首次开始绘制从攻击者最初入侵到最终数据泄露的路径。这需要收集事件链条中的数据。Bassett称，迄今为止，数据集还不足以通过行业或攻击者类型进行细致的分析，也不足以进行历史比对。

目前最大的收获是多数攻击并不是按照以往人们认为的需要经过侦察、初次侵害、权限提升、横向扩展、数据收集、指挥控制、数据外泄这一多步骤的链条实现的。实际上，多数攻击路径都非常短。Bassett 称：“大多数的攻击只有一到两个步骤。”

这一研究结果与数据泄露是长期而复杂的事件的主流观点相左。Bassett将其比喻为高尔夫球，场地设计者希望选手经过一个较长且充满障碍的路径到达球洞，如积水区和沙坑等。但是如果选手能够保持一杆进洞，那么这些障碍没有一个能够发挥阻挡作用。

钓鱼、冒充老板诈骗（CEO fraud）等社区攻击在过去几年一直呈上升势头，比重从2010年不足10%已经发展到在2017年的报告中占到了近40%。

今年这一趋势出现了下降。在最新的关于社交策略的报告中，这一部分导致的数据泄露仅占17%。实际上，报告显示，大多数人从未点击过钓鱼邮件。模拟钓鱼攻击得出的分析结果表明，78%的人全年都不会点击一封钓鱼邮件，但是只要一个人点击就会让攻击者得逞。

黑客攻击（Hacking）、恶意软件（Malware）、

操作不当（Misuse）、人为错误（Error）、

社交攻击（Social）、物理攻击（Physical）

尽管如此，以财务为幌子的攻击正在上升，由去年的61起上升至今年的170起，其中很大一部分攻击将目标锁定为HR员工。电子邮件也是恶意软件传播的最常见形式。报告称，92%的被发现的恶意软件是通过电子邮件形式传播的，其次是通过web浏览器，约占6%。Bassett 称：“如果你正在运营一个机构并惹来恶意软件，那么你知道它们会在哪里。”

该报告的目的是给安全人员提供可行动的情报。作为其中的一部分，Verizon列出了最常见的带有恶意软件的文件类型。其中最常见的是JavaScript，占总数的37%；其次是Visual Basic，占21%；Windows可执行文件占15%，微软Office文件占14%。

与去年一样，Verizon建议让补丁程序保持最新，加密敏感数据，使用双因素认证。虽然去年与未修补漏洞有关的数据泄露仅占6%，但是其中有一起是当年最大的数据泄露事件，即Equifax数据泄露事件，事件导致近1.5亿条记录被泄露。

相比之下，与被盗证书有关的数据泄露事件占22%，这使得其成为了主要的行为类型。Verizon 在报告中指出“密码本身就存在不足，这与长度或复杂性无关。”报告还将默认密码和容易破解的密码等同于未设密码，并指出这种情况非常普遍。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。