TOP5 | 头条：2023数据泄漏报告十大发现

2023数据泄漏报告十大发现；

标签：2023，数据泄漏

2022和2023年的数据泄露报告统计数据表明，网络安全行业在“人的因素”方面还有更多工作要做。攻击者正在大量利用被盗凭据、特权滥用、人为错误、精心策划的社会工程、商业电子邮件欺诈(BEC)。每个网络安全厂商都需要加紧努力，改进身份、特权访问和端点安全，以提供客户所需的价值。企业不能满足于安全培训，需要采取行动打造强大的防御基线。

作为网络安全业界最权威的报告之一，Verizon 2023年数据泄露调查报告(DBIR)揭示了安全行业的关键趋势和挑战。其中最值得业界反思的一点是：尽管企业的网络安全支出有所增加，但网络安全的发展速度并未跟上攻击者的步伐，数据泄漏（损失）不但没有缓解，反而更加严重。

网络安全专家约翰金德瓦格建议企业不要尝试同时保护所有攻击面，而是选择迭代方法，大规模获得基本的网络安全卫生并逐步实施零信任，一次保护一个攻击面。这是一种经过验证的扩展零信任的方法，无需董事会为设备级投资提供资金。

以下是DBIR 2023年数据泄露报告的十大发现：

一、83%的数据泄露行为是由寻求经济利益的外部攻击者发起的。每10起数据泄露事件中就有8起是有组织犯罪团伙发起的，95%的攻击都是为了获取经济利益，通常涉及窃取客户敏感数据，勒索软件是首选武器。

金融服务和制造业是攻击者的首选，因为这些企业必须按时交付产品和服务以留住客户并生存。人员是主要的初始攻击面，与针对人员的社会工程攻击组合是最常见的初始攻击策略。

二、84%的数据泄漏利用了社会工程和BEC策略，将人员作为攻击媒介。根据最近两份Verizon DBIR报告，许多数据泄露都涉及人为错误，且人为错误在数据泄露事件原因中的占比也在快速增长。根据2023年的报告，74%的数据泄露始于人为错误、社会工程或滥用。在去年的报告中，这个数字甚至更高，为82%。2021年的DBIR报告中只有35%的（成功）数据泄露始于人为错误。

三、五分之一的数据泄露(19%)来自内部。内部攻击是CISO的噩梦，因为识别和阻止此类数据泄漏行为非常具有挑战性。这就是为什么拥有AI和机器学习技术的领先安全供应商的路线图上经常会出现“内部威胁缓解”的原因。Booz Allen Hamilton使用数据网格架构和机器学习算法来检测、监控和响应可疑的网络活动。Proofpoint是另一家应用人工智能和机器学习检测内部威胁的供应商。Proofpoint的ObserveIT能提供实时警报和对用户活动的可操作洞察。

四、一些供应商正在探索或收购公司以加强平台对内部威胁的防御能力。例如，CrowdStrike去年宣布收购Reposify。Reposify的产品能扫描网络，帮助企业发现暴露的资产，并定义他们需要采取的补救措施。CrowdStrike计划将Reposify的技术整合到CrowdStrike平台中，以帮助客户阻止内部攻击。

五、系统入侵、基本Web应用程序攻击和社会工程学是主要的攻击策略。两年前，在2021年DBIR报告中，基本Web应用程序攻击占数据泄漏事件的39%，其中89%是出于经济动机。同年，网络钓鱼和BEC也很普遍，95%出于经济动机。相比之下，2023年的DBIR报告发现系统入侵、基本Web应用程序攻击和社会工程攻击占比迅速提高，占数据泄漏事件的77%，其中大部分是出于经济动机。

Web应用程序攻击持续增长。这意味着企业需要更有效地采用基于零信任的Web应用安全和跨企业安全网络访问。该领域的领先供应商包括Broadcom/Symantec、Cloudflare、Ericom、Forcepoint、iboss、Menlo Security、MacAfee、NetSkope和Zscaler等。这些厂商提供ZTNA方案来保护用户访问，用Web应用程序防火墙(WAF)来保护应用程序的攻击面。例如，Ericom基于隔离的ZTNA可保护对企业Web和SaaS应用程序的访问，保护面向公众的应用程序表面免受攻击，并提供经证明可有效保护通过BYOD和第三方非托管设备进行访问的无客户端选项。

系统入侵是高经验值攻击者经常使用的一种攻击策略，可以通过恶意软件来破坏企业并投放勒索软件。去年的DBIR报告显示系统入侵成为头号安全事件类别，取代了2021年的头号事件类别——基本Web应用程序攻击。

以系统入侵为目标，攻击者使用各种技术（包括网络钓鱼、窃取凭据、后门和漏洞）来策划攻击，遍历组织的环境和节点，并用勒索软件感染网络及系统。

六、社会工程攻击的复杂性正在快速增长。今年的DBIR报告突出了社会工程攻击的盈利能力以及当今的攻击手法是多么复杂。BEC在整个事件数据集中几乎翻了一番，占社会工程事件的50%以上。相比之下，2022年DBIR报告发现社会工程攻击仅涉及25%的数据泄漏事件。在2021年的DBIR报告中，BEC是第二常见的社会工程类型。

七、2023年95%的数据泄漏都是经济驱动的，而不是媒体炒作的国家间谍活动。随着攻击者不断磨练其社会工程技术，出于经济动机的网络攻击的百分比会继续增加。往期DBIR报告中的趋势数据显示，经济利益正在成为企业间谍活动或前雇员报复攻击的主要动机。2022年的DBIR报告发现，90%的攻击者都是为了经济利益而发起攻击，高于2021年的85%。

经济动机的占比跃升可归因于更高的潜在勒索软件收益，以及成功概率更高的多重攻击策略。

八、过去两年中，勒索软件攻击导致的平均损失增加了一倍多，达到2.6万美元，其中95%的事件造成的损失在1-225万美元之间。随着越来越多的攻击者开始针对业务停顿损失巨大的行业，勒索软件赎金“收益”将持续创造新的记录。正如2023年DBIR报告所述，金融服务和制造业是当前受灾最严重的行业。

2021年DBIR报告引用了FBI数据，发现勒索软件支付的中位数为11150美元。2020年，勒索软件的平均赎金支出为8100美元，2018年仅为4,300美元。因此，在五年内，勒索软件的平均赎金收入增加了两倍。

今年24%的数据泄漏涉及勒索软件，后者作为主要攻击策略将保持长期上升趋势。

九、超过32%的Log4j漏洞扫描发生在漏洞披露后的30天内。2023年DBIR报告发现，攻击者的漏洞利用平均在发现漏洞后第17天达到顶峰。超过32%的Log4j漏洞扫描发生在漏洞披露的30天内，这表明企业必须更快地响应新威胁，在发现高危漏洞时优先修补和更新系统，包括应用所有软件和系统安全补丁。

十、74%的金融和保险行业数据泄漏事件涉及个人数据泄露——大幅领先于其它所有行业。相比之下，其他行业的个人数据泄露情况要少得多：34%的住宿和餐饮服务行业数据泄漏事件涉及个人数据泄露。不过，教育服务行业的个人数据泄漏占比为56%，仅次于金融行业。

信源：GoUpSec

DARPA研究将敌方部队的微生物改造为监控间谍；

标签：DARPA，微生物，监控间谍

据美国《大众机械》月刊网站近日报道，美国国防部的研究开发部门国防部高级研究计划局（DARPA）正在探索利用微生物悄无声息地监视敌人的活动并及时向美国军队发出警报。“地球”项目将为设计微生物传感器创造条件。这种隐形间谍能够保持休眠状态，一旦敌人采取某种行动，它会快速发送隐秘信号。这些行动包括坦克越过边界、核电站启动等等。

报道称，DARPA曾推动开发RNA疫苗和互联网等大受欢迎的产品，如今这家机构希望掌握迅速开发出用于监视敌方部队的微生物的能力。根据该机构的新闻稿，“地球”项目“希望确定微生物设备能够探测的化学和物理信号范围，确定微生物设备能够适应的环境条件以及可以生成的输出信号的种类”。

DARPA称，化学信号包括有毒物质或放射性物质，以及重金属污染物。物理信号包括光、电流和磁场。这类微生物的另一个优点是自己为自己供能，无需外部能量来源，甚至不需要人照看。

一旦这种微生物探测到活动，它们就能释放自己的化学或物理信号，包括“光、无毒有机化合物或者电流”。这些信号虽然明显，但也只能够触发警报，不足以让敌人知道自己正在被监控。

“地球”项目的备选材料包括细菌、真菌和微藻。微生物能够在多种环境中生存，甚至是一些非常极端的环境，包括海平面、地下、水下等，不同环境的温度差异很大，或炎热，或寒冷，还包括其他恶劣天气。

一个有效的微生物间谍如何提醒己方敌人正在开展活动呢？报道称，在战术层面，美国可以改造微生物的基因结构，如果有汽车从上面驶过，这些微生物就会发光。这些微生物将被散播在美国盟国与敌对国家之间的边界上。如果敌国入侵美国盟国，尤其是在一个偏远的位置，那么这些具备生物发光性的微生物就能点亮敌军的轨迹，顺着轨迹就可以找到入侵的军队。

据报道，DARPA希望在为期两年半的开发活动结束时生产出“微生物设备”样品，并且能够估算新设备可以在多快时间内完成设计和部署。

信源：参考消息

黑客论坛 15,000 美元出售美方军事卫星接入；

标签：军事卫星

据称，这颗卫星据称由美国著名空间技术公司 Maxar Technologies 所有。而有人表示，访问这颗卫星可能会提供对美国境内军事和战略定位的了解。

活跃在俄语黑客论坛上的一名黑客发布了一则广告，出售Maxar Technologies运营的一颗军用卫星的访问权限。这家总部位于科罗拉多州的空间技术公司专门制造用于通信、地球观测、雷达和在轨服务的卫星。黑客的说法表明，潜在买家可以获得有关美国军事和战略定位的敏感信息。

尽管这些说法的真实性仍不确定，但黑客提出使用托管（一种值得信赖的第三方支付服务）的事实增加了该提议的可信度。

此访问的广告价格已定为 15,000 美元。值得注意的是，未经授权访问军事卫星可能会产生严重的法律和安全后果。

AT&T 访问广告（图片来源：Hackread.com）

由于军事卫星在监视、通信和战略行动中发挥着至关重要的作用，这种访问违规的影响是重大的。任何未经授权访问这些系统都可能危及国家安全并构成严重威胁。

在 Hackread.com 观察到的相关帖子中，同一黑客还以 7,000 美元的价格提供AT&T 公司的电子邮件帐户访问权限。黑客声称，所提供的访问权限将禁用双因素身份验证 (2FA)，从而使帐户容易受到潜在的网络攻击。

AT&T 是一家总部位于美国的大型电信公司，处理大量敏感信息，包括客户数据和公司通信。破坏这些电子邮件帐户可能会泄露机密信息，并可能导致进一步的未经授权的活动。

虽然这些说法的可信度和合法性尚未得到证实，但 Maxar Technologies 和 AT&T 必须立即采取行动，调查潜在的安全漏洞并解决任何潜在的漏洞。

此外，个人和组织保持警惕、定期更新安全措施并利用强大的身份验证协议来防止未经授权的访问和网络威胁至关重要。

执法机构、网络安全公司和受影响的公司应合作彻底调查这些指控，识别潜在漏洞，并采取必要措施确保其系统和数据的安全性和完整性。

信源：E安全

出资2000万美元！谷歌将在全美推广免费网络安全诊所；

标签：谷歌，网络安全诊所

近日，谷歌声明将投入2000万美元，用于在美国各地开设更多的网络安全实践诊所，以帮助填补美国的网络安全劳动力缺口，并在不断变化的威胁面前保持领先地位。

周四（6月22日），Alphabet和谷歌首席执行官Sundar Pichai在华盛顿特区的一次活动上与美国网络安全诊所联盟合作宣布了这一计划。

Sundar Pichai表示：这笔资金将支持全美20所高等教育机构创建和扩大网络安全诊所。他还提到，人工智能是未来十年影响国家安全的最关键技术之一。

这些免费诊所将为学生提供更多的学习机会，就像法学院或医学院在他们的社区提供免费诊所一样。他们不仅为学生提供学习和提高技能的机会，同时帮助保护医院、学校和电网等关键基础设施。

联合会表示，每个被选中的学院、大学或社区学院将获得高达100万美元的资金，以增加有兴趣从事网络安全职业的学生的机会。同时，实践诊所内的导师将由具有行业专长的谷歌员工担任。

被选中参加该计划的学校的申请程序将于今年10月开始，其他详细的申请信息可参照谷歌官网。

上个月，谷歌还推出了一个入门级网络安全谷歌职业证书，也是属于该倡议的一部分。新的谷歌网络安全证书三个月内就可以获得，并且无需经验就可以报名，同时还将为无力承担证书培训的学生提供奖学金。

Sundar Pichai说，美国有20多万人，全球有50多万人已经接受了谷歌证书项目的培训和认证。

此外，谷歌宣布了一项与纽约几所大学的新研究计划，以扩大安全学习，促进职业机会，并激发创新。

Sundar Pichai说，这些诊所还将获得免费的谷歌防钓鱼的泰坦安全密钥，以实施双因素认证。

根据谷歌的数据，目前在美国有超过75万个空缺的网络安全工作岗位。

自2017年以来，与谷歌一起成长的核心倡议已与数千个组织合作，培训了超过一千万的美国工人加入技术领域。

Sundar Pichai谈到了他自己在职业生涯早期开始在谷歌建立Chrome浏览器时的经历。并表示安全对他所做的工作至关重要。它是我们所做的一切的核心，而目前人工智能的拐点正在帮助我们达到新的水平。

谷歌执行官希望新的诊所计划有助于改善安全行业工人的多样性。据统计，西班牙裔、黑人和女性工人的比例严重不足。

Sundar Pichai指出，2022年全球网络攻击的数量增加了38%，致使政府、医院和电网等关键基础设施面临更大风险。在过去五年中，这些攻击使美国经济损失了数十亿美元。

一个国家需要一支强大的网络安全工作队伍，以在新的挑战和不断变化的威胁面前保持领先地位。

信源：https://cybernews.com/security/google-pledges-20m-free-cybersecurity-clinics-across-us/

GitHub上数百万个存储库可能被劫持；

标签：GitHub，存储库劫持

一项新的研究显示，许多企业在重命名项目时，不知不觉地将其代码库的用户暴露在重载劫持之下。

GitHub上数以百万计的企业软件存储库容易受到劫持，这是一种相对简单的软件供应链攻击，攻击者会将某个特定存储库的项目重定向到一个恶意的存储库。

Aqua Security的研究人员在本周的一份报告中说，这个问题与GitHub如何处理依赖关系有关，当GitHub用户或组织更改项目名称或将其所有权转让给另一个实体时，容易受到重新劫持。

为了避免破坏代码的依赖性，GitHub在原 repo 名称和新名称之间建立了一个链接，因此所有依赖原 repo 的项目都会自动重定向到新更名的项目。然而，如果一个组织未能充分保护旧的用户名，攻击者可以简单地重新使用它来创建一个原始仓库的木马版本，这样任何依赖该存储库的项目将重新开始从该存储库下载。

Aqua公司的研究人员在本周的博客中说：当版本库所有者改变他们的用户名时，对于任何从旧版本库下载依赖项的人来说，在旧名称和新名称之间会产生一个链接。然而，任何人都有可能创建旧的用户名并破坏这个链接。

Aqua发现了两个问题：一是，GitHub上有数百万个这样的软件库，包括属于谷歌和Lyft等公司的软件库；二是，攻击者很容易找到这些软件库以及劫持它们的工具。其中一个工具是GHTorrent，这个工具对GitHub上的所有公共事件（如提交和请求）进行了几乎完整的记录。攻击者可以使用GHTorrent来获取组织之前使用的GitHub仓库的名称。然后他们可以用这个旧用户名注册存储库，并向任何使用该存储库的项目传输恶意软件。

任何直接引用GitHub存储库的项目，如果存储库的所有者改变或删除了他们存储库的用户名，就会受到攻击。

因此，组织不应假定他们的旧名称不会被披露，而是要在GitHub上认领并保留他们的旧用户名。同时企业可以通过扫描他们的代码、存储库和关联性的GitHub链接来减轻他们面临的劫持威胁。

信源：https://www.freebuf.com/news/370289.html