2020数据泄露调查报告

admin

138635
文章

114
评论

2020年8月12日18:52:03评论1,776 views字数 3903阅读13分0秒阅读模式

2020数据泄露调查报告

日前，Verizon发布了《2020年数据泄露调查报告》。这份报告涵盖了157525件安全事件，其中符合报告质量标准的安全事件有32002件，并且有3950件安全事件被认定为数据泄露。

报告中涉及的数据以及事件来源包括：Verizon威胁研究咨询中心（VTRAC）调查人员提供的案例，外部合作者提供的案例以及公开披露的安全事件。

*我们仅截了取部分内容进行翻译，完整报告请查看：

https://enterprise.verizon.com/resources/reports/dbir/

调查结果摘要

从威胁行为看，45%的数据泄露来自于黑客攻击。自身错误引发的数据泄露跃居第二，占比达到22%。

进一步分析威胁行为我们可以看到，在黑客攻击中，最主要的攻击目标是WEB应用，且87%都是出于经济动机。最主流的威胁行为方式是钓鱼和勒索软件威胁，分别占比22%、27%。

从威胁行为组织来看，数据泄露事件的发生70%来自于外部的威胁行为组织，例如犯罪团伙。

从受害者看，72%的泄露事件涉及大企业，58%的受害者个人数据遭到了泄露，28%的泄露事件来自小企业，81%的泄露信息在数天内得到了遏制。

调查结果和相关分析

Verizon对几种典型的威胁行为种类（Threat Action Variety）的历年占比趋势进行了分析：

2020数据泄露调查报告

Verizon指出，木马这种恶意代码威胁行为样式的占比现如今已经大幅降低。在2016年2017年的时候曾经占比相当高（接近50%的泄露都是木马导致），而在2020年仅占6.5%。同样，内存抓取类恶意代码的占比也已经大幅降低。

排名有降就有升。如上图可见，黑客的攻击行为逐渐转向了用钓鱼攻击和窃取到的凭据来作案。此外，人为错误占比也在上升。

攻击者

如图7所示，在Verizon的数据中我们可以看到从2015年至今，外部攻击者比内部攻击者更为普遍。

2015-2019年威胁组织内、外部占比走势

在图8、9中，从威胁组织的动机这块来看，大约80%都是财务动机，间谍类动机的占比只有20%。

2020数据泄露调查报告

2015-2019年威胁组织动机走势和占比

实际上，在犯罪论坛和地下数据中，有5％表示“服务”。该服务可能包括黑客，勒索软件，分布式拒绝服务（DDoS），垃圾邮件，代理，信用卡犯罪相关或其他非法活动。更糟糕的是，该“服务”可能仅托管在您的硬件上。

图10显示，有组织的犯罪是DBIR的主要参与者。但还有其他这些人来自未知领域，他们的动机并不固定。通过查看我们上面提到的犯罪论坛和市场数据，可能会发现这些行为者的潜在来源。

泄露事件中威胁行为的主要参与者

威胁行为

自去年的报告以来，滥用、黑客攻击、恶意软件和社交活动都有所减少。另一方面，在过去五年中，恶意软件在泄露事件中占比持续稳定下降。这是为什么？Verizon认为其他攻击类型（例如黑客攻击和社交攻击）会从凭据盗窃中受益，这导致恶意软件流行率有所下降。

2015-2019年泄露事件中各种威胁行为占比走势

威胁行为种类

Verizon深入研究了窥各种威胁行动的种类，图12提供了一个概念，显示了哪种操作类型会驱动事件数量变化，而令人震惊的是，拒绝服务（DoS）发挥了重要作用。

从图13中可以看到，排名前五的威胁行为方式有网络钓鱼、使用被盗凭据、传递错误和配置错误。传递错误在今年尤其突出（主要表现在文档和电子邮件以错误的收件人为结尾）。Verizon认为这是一种数据的人为现象，且变得越来越规范化。

事实证明，很多泄露行为都没有包含任何主流手段。泄露行为的方式多种多样，并且永远围绕在你身边。

在普通事件和泄露事件中不同威胁行为种类的占比

错误攻击

错误攻击是今年冉冉升起的新星。现在，它比恶意软件更为普遍，而且在所有行业中无处不在。在图14中你可以看到，自2017年以来，错误配置比重一直在增加。这很可能与安全研究人员和第三方发现的网络公开存储有关。

2015-2019年在泄露事件中主要错误种类占比趋势

恶意软件

Verizon的恶意软件调查结果进一步强调了网络钓鱼和获取违规凭证的趋势。如图16所示，密码转储程序在恶意软件种类中排名第一。电子邮件（通常与网络钓鱼有关）和直接安装程序是最主要的媒介。

Ransomware是第三大最常见的恶意软件种类，下载器紧随其后，但加密货币挖掘并没有在前十名内。

泄露事件中主要恶意软件种类

黑客攻击

在Verizon的数据集中，黑客攻击甚至是由凭证盗窃驱动的。黑客攻击中超过80％的泄露行为涉及暴力破解，使用丢失或被盗的凭据。这些黑客种类以及对漏洞的利用（SQLi）在很大程度上与Web应用程序相关联，如图21所示。这种以网络应用程序为攻击源的趋势不会消失。这与将有价值的数据转移到云（包括电子邮件帐户和与业务相关的流程）有关。

报告还显示，漏洞利用（无论是黑客利用漏洞发起攻击还是恶意代码利用漏洞）在整个黑客攻击种类占比一直都不算高。

泄露事件中主要黑客攻击种类

社交事件

图28显示了社交事件细分为两种类型的事件：网络钓鱼和电话窃听。再看图29，你会注意到，尽管凭据是迄今为止最常见的网络钓鱼破坏属性，但仍有很多其他数据类型。但网络钓鱼仍然对攻击者而言最有效的方法。

泄露事件中主要社交攻击种类

在网络钓鱼中主要受损的数据类型

资产攻击

图33概述了资产攻击趋势。其中服务器无疑是领导者，并且它们的占比持续上升。这主要是由于行业转向Web应用程序，其系统接口已作为软件即服务（SaaS）交付。个人连续第二年排名第二，信息站和终端占比持续下降。这主要是由于攻击者不再将重点放在实体店，而是转移到线上移动支付。

2015-2019年泄露事件中资产攻击占比趋势

数据属性

如图37所示，个人数据在所有数据属性中占主导地位，它是黑客和错误攻击的重要目标。其次是凭据数据，最后，我们看到与恶意软件相关的漏洞导致软件安装时数据泄露。从图37中可以看到的另一项值得注意的观察是，银行和付款数据几乎相等。

泄露事件中主要的数据属性

数据泄露事件的攻击路径

如下图所示，数据泄露的目标从Availability、Confidentiality、Integrity（CIA）三性上确认是否遭到破坏，并且可以看到大部分的数据泄露攻击都是在6-8步之内完成的。说明威胁者通常会使用简单快捷的手段进行攻击，七种攻击手段中，物理攻击、社交攻击和滥用较为突出。如此相比，恶意代码和黑客攻击会有较为复杂的攻击步骤。

数据泄露事件的攻击路径

产业分析

Verizon对数据泄露影响的十五个行业进行了重点分析，我们将截取建筑、教育、金融和保险、医疗保障、信息行业、零售行业等。

按受害行业和组织规模划分的泄露事件数量

建筑

根据Verizon的统计，该行业大多数据泄露数事件出于经济动机，通常是由有组织的犯罪集团实施。如黑客可以通过构建虚假的网络环境、网络钓鱼等方式诱导受害者，于此同时，勒索病毒也逐渐在建筑行业中盛行。

教育

该行业中有28％的违规行为发生了网络钓鱼攻击，而有23％的违规行为发生是通过凭据被盗窃。在事件数据中，勒索软件约占该行业恶意软件感染的80％。教育服务部门在报告网络钓鱼攻击方面表现不佳，从而使受害组织失去了关键的响应时间。相比于其他行业，内部威胁在此行业中所占的比例较少。

金融和保险

金融和保险行业一直以来都是出于经济动机的有组织犯罪分析的最爱，毋庸置疑，web应用程序攻击和杂项错误是导致黑客的最热门手段。在此行业中，内部攻击的占比相对较大，尽管报告中显示“滥用权责”的比例大幅度下降，但并不表示现实中这类现象有所缓和，依然需要引起重视。

金融和保险行业存在的另一大安全隐患即是邮件的错误发送。还有一种攻击不可被忽视，即钓鱼攻击，黑客通常会使用伪装公司管理层的钓鱼邮件欺骗员工支付金钱，往往在诸多组织中，员工安全是整体建设最薄弱的环节，一般员工丝毫不会质疑邮件的真实性，给了黑客有机可乘的机会，这类攻击的目的几乎是来源于经济驱动，少量为间谍活动。

医疗保障

医疗保障领域的数据泄露事件与去年的304起相比大幅增加，同时，其仍然是内部恶意行为者数量最多的行业之一。其次，随着医疗行业使用越来越多网络技术方式与患者互动，使得网络应用程序攻击成为常见的手段之一。

信息行业

在信息行业中，利用网络应用程序进行攻击的事件数量有所增加，黑客通常利用网络漏洞和窃取凭证的手段来获取应用程序的访问权利，以进行进一步的攻击。错误也是第二类常见的类型，其中错误配置经常出现，主要与数据库、文件存储不安全，以及使用云服务的过程中暴露弱点有关。在信息领域中，黑客对网络宽带的攻击也不容忽视。

零售行业

经济利益是零售行业受到黑客攻击的主要原因。黑客们试图从零售行业获取大量的银行卡和个人支付信息等数据，这些数据常常被打包售卖。

近几年，随着网络支付方式的改变，黑客的攻击手法也随之改变，如攻击对象从PoS设备和控制器转向了网络应用，但PoS设备依然是攻击的主流对象之一。