勒索软件、供应链威胁以及组织及其员工在安全方面如何成为自己最大的敌人,这些都是Verizon年度报告中的调查结果过去12个月的网络攻击。该研究的一些关键要点。周二发布的2022年数据泄露调查报告(DBIR)为旨在保护自己免受可能导致系统泄露和数据、资源、金钱、时间和/或所有上述一切损失的威胁的组织提供了一些严峻的参考数字。报告背后的研究人员——GabrielBassett、C.DavidHylender、PhilippeLanglois、AlexPinto和SuzanneWidup指出,过去几年发生的事件对每个人来说都是“压倒性的”,但他们没有列举明显的因素,例如大流行和乌克兰战争的开始。然而,该报告的研究人员最关心的是与发生的安全事件和违规行为相关的数据——前者以信息资产损坏的形式出现,而后者则是在将数据暴露给未授权方的情况下。2021年,研究人员发现这两种情况的发生率都出现了前所未有的飙升。他们在报告中写道:“过去的一年在许多方面都非同寻常,但在我们的报告看来,网络犯罪的阴暗世界肯定是不平凡的,发生了令人难忘的事件。”“从广为人知的对关键基础设施的攻击到大规模的供应链漏洞,在过去的12个月里,出于经济动机的犯罪分子和邪恶的民族国家行为者很少(如果有的话)动摇过。”勒索软件仍然是主要部分对于那些关注2021年安全形势的人来说,DBIR的主要发现几乎没有什么意外。事实上,一位安全专业人士观察到,一些调查结果似乎与该报告自2008年发布以来所强调的内容一致。安全公司Token的首席执行官JohnGunn在给Threatpost的电子邮件中写道:“关于网络安全的最重要研究自从2008年第一次报告以来,行业就出来了,感觉就像电影《GroundHog Day》。我们年复一年地得到相同的结果。然而,在过去几年中,勒索软件的主要威胁被发现持续上升。这种类型的网络犯罪——通过入侵锁定公司的数据,直到组织支付巨额勒索金额才会释放——正在上升。2021年同比增长近13%。研究人员指出,增幅与过去五年的总和一样大,勒索软件的发生率总体增长了25%。他们认为:“勒索软件的鼎盛时期到了保持不变,今年发现的所有恶意软件攻击占近70%。事实上,安全专家指出,尽管勒索软件组织不断变化,联邦当局在打击此类网络犯罪方面也取得了长足进步,但其收益对于犯罪分子来说是如此有利可图,以至于他们可能会持续一段时间。安全公司CerberusSentinel解决方案架构副总裁ChrisClemens在给Threatpost的一封电子邮件中说:“勒索软件是迄今为止网络犯罪分子可以利用来伤害受害者的最可靠方式。”没有其他攻击者可以做任何接近保证轻松的事情“供应链受到攻击”研究人员发现,对供应链的重大攻击——系统或软件中的漏洞很容易在整个组织中传播——在2021年显示出持久的影响。重要性和发生率也有所增加。他们写道:“对于与供应链、第三方和合作伙伴打交道的任何人来说,这也是值得纪念的一年。”Verizon团队没有点名,而是引用了2020年底现在臭名昭著的SolarWinds供应链攻击为例,到2021年,该公司仍在苦苦挣扎。事实上,研究人员报告说,“供应链受到损害是今年62%的系统违规的结果。”此外,与金融业不同出于动机的威胁行为者,这些犯罪的肇事者通常是国家支持的行为者,他们更愿意“跳过漏洞并保持访问”,这些行为会在组织的网络上持续存在一段时间。研究人员表示,这些攻击非常危险,因为攻击可以从一家公司开始,但会迅速传播到其客户和合作伙伴,因此可能涉及许多受害者。此外,在攻击者已经获得对组织系统的访问权限后很长时间都不会发现沿着供应链传播的漏洞,这使得数据泄露和长期盗窃更有可能发生。人为错误应该报告的另外两个关键发现与最终责任所在——谁在组织内外犯错有关。事实上,研究人员发现,人为错误仍然是违规发生的方式和原因的主要趋势。研究人员指出:“错误仍然是主导趋势,他们对13%的违规行为负责。他们说,这一发现主要是由于云存储配置错误造成的,这当然是负责构建系统的人员的责任。他们说,事实上,DBIR在2021年分析的漏洞中有82%涉及研究人员所说的“人为因素”,可以是任意数量的东西。研究人员写道:“无论是使用被盗凭据、网络钓鱼、滥用,还是仅仅是一个错误,人们在事件和违规行为中继续发挥着非常重要的作用。”历史上最古老的风险安全专家对发现“人为因素”并不感到惊讶,这种“人为因素”甚至在安全和围绕它的整个行业成为现实之前就已经困扰着科技行业,一位安全专家说。安全RogerGrimes是KnowBe4公司的数据驱动防御布道者,他在给Threatpost的电子邮件中指出:“自计算开始以来,这一直是真实的,并且可能在未来几十年内都是真实的。他说,今天发生的许多错误都是攻击者巧妙的社会工程造成的,特别是网络钓鱼攻击,这些攻击诱使人们点击恶意文件或链接,让他们的计算机访问它们,或者提供可用于危害公司的信息系统。个人凭证。Grimes说,解决由人为错误引起的安全问题的唯一方法是通过教育,无论是关于错误配置、打补丁的重要性、凭证被盗,还是“例行错误,比如用户不小心通过电子邮件发送了错误的人类数据”,他观察到:“人类一直是计算的重要组成部分,但出于某种原因,我们一直认为只有技术解决方案才能解决或预防问题。“三十年来试图通过关注除人为因素以外的一切来解决网络安全问题表明,这不是一个可行的战略。”本文翻译自:https://threatpost.com/verizon-dbir-report-2022/179725/如有转载请注明出处。
