勒索軟件、供應(yīng)鏈威脅以及組織及其員工在安全方面如何成為自己最大的敵人，是Verizon針對(duì)過(guò)去12個(gè)月網(wǎng)絡(luò)攻擊年度報(bào)告中所研究的一些關(guān)鍵要點(diǎn)。

周二發(fā)布的2022年數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）為旨在保護(hù)自己免受可能導(dǎo)致系統(tǒng)泄露和數(shù)據(jù)、資源、金錢、時(shí)間和/或上述所有內(nèi)容損失的威脅的組織提供了一些嚴(yán)峻的參考數(shù)據(jù)。

報(bào)告背后的研究人員-Gabriel Bassett，C。David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出，過(guò)去幾年發(fā)生的事情對(duì)每個(gè)人來(lái)說(shuō)都是“壓倒性的”，但是他們沒(méi)有引用顯而易見(jiàn)的因素，比如疫情和烏克蘭戰(zhàn)爭(zhēng)的開(kāi)始。

然而，該報(bào)告的研究人員最關(guān)心的是與發(fā)生的安全事件和違規(guī)行為相關(guān)的數(shù)據(jù)——前者是對(duì)信息資產(chǎn)的損害，后者則是將數(shù)據(jù)暴露給未經(jīng)授權(quán)的一方。2021年，研究人員發(fā)現(xiàn)，兩者的發(fā)生率都空前飆升。

“過(guò)去一年在許多方面都非同尋常，但在我們報(bào)告看來(lái)肯定是關(guān)于網(wǎng)絡(luò)犯罪陰暗的世界，其間發(fā)生的事情令人難忘，”他們?cè)趫?bào)告中寫道?！皬膹V為人知的關(guān)鍵基礎(chǔ)設(shè)施攻擊到大規(guī)模供應(yīng)鏈漏洞，出于經(jīng)濟(jì)動(dòng)機(jī)的罪犯和邪惡的民族國(guó)家行為者在過(guò)去12個(gè)月中很少（如果有的話）像以前那樣搖擺不定?！?/p>

勒索軟件仍然是主要部分

對(duì)于那些在2021年觀察安全形勢(shì)的人來(lái)說(shuō)，DBIR的主要發(fā)現(xiàn)中幾乎沒(méi)有驚喜。事實(shí)上，一名安全專業(yè)人員觀察到一些調(diào)查結(jié)果似乎與報(bào)告自2008年成立以來(lái)強(qiáng)調(diào)的內(nèi)容一致。

安全公司Token首席執(zhí)行官John Gunn在給Threatpost的一封電子郵件中寫道：“關(guān)于網(wǎng)絡(luò)安全行業(yè)最重要的研究已經(jīng)出來(lái)了，感覺(jué)就像電影《GroundHog Day》，自2008年第一份報(bào)告以來(lái)，我們年復(fù)一年地獲得了同樣的結(jié)果。”

然而，在過(guò)去幾年中，一個(gè)主要的威脅是發(fā)現(xiàn)勒索軟件繼續(xù)呈上升趨勢(shì)。這種類型的網(wǎng)絡(luò)犯罪——通過(guò)入侵鎖定公司的數(shù)據(jù)，在組織支付巨額勒索金額之前不會(huì)發(fā)布——在2021年同比增長(zhǎng)了近13%。研究人員指出，漲幅與過(guò)去五年的總和一樣大，勒索軟件的發(fā)生率總體上升了25%。他們認(rèn)為：“勒索軟件的鼎盛時(shí)期仍會(huì)持續(xù)，今年發(fā)現(xiàn)了有近70%的惡意軟件漏洞?！?/p>

事實(shí)上，安全專家指出，盡管勒索軟件團(tuán)體不斷更迭，聯(lián)邦當(dāng)局在打擊此類網(wǎng)絡(luò)犯罪方面取得了長(zhǎng)足進(jìn)步，但對(duì)犯罪分子來(lái)說(shuō)，收益非常有利可圖，在利益的驅(qū)使之下他們可能會(huì)持續(xù)一段時(shí)間。

安全公司Cerberus Sentinel解決方案架構(gòu)副總裁Chris Clemens在給Threatpost的電子郵件中表示：“勒索軟件是迄今為止網(wǎng)絡(luò)犯罪分子可以利用損害受害者的最可靠方式?！薄捌渌粽叨紵o(wú)法采取任何行動(dòng)接近于保證其運(yùn)營(yíng)支出的輕松性和規(guī)模?！?/p>

供應(yīng)鏈?zhǔn)艿焦?/h4>

研究人員發(fā)現(xiàn)，對(duì)供應(yīng)鏈的重大攻擊——在一個(gè)系統(tǒng)或軟件中發(fā)生漏洞，很容易在組織中傳播——在2021年，表現(xiàn)出持久影響的顯著性和發(fā)生率也有所增加。

他們寫道：“對(duì)于任何與供應(yīng)鏈、第三方和合作伙伴打交道的人來(lái)說(shuō)，這（慘痛的經(jīng)歷）也是值得紀(jì)念的一年?！?/p>

Verizon團(tuán)隊(duì)沒(méi)有提到它的名字，而是以2020年底發(fā)生的現(xiàn)在臭名昭著的SolarWinds供應(yīng)鏈攻擊為例，直到2021年，公司仍然地疲于應(yīng)付。

事實(shí)上，研究人員報(bào)告稱，“供應(yīng)鏈?zhǔn)艿焦羰墙衲?2%的系統(tǒng)入侵事件的結(jié)果”。此外，研究人員表示，與出于經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者不同，這些犯罪的肇事者往往是國(guó)家贊助的行為者，他們更喜歡“跳過(guò)漏洞并保持訪問(wèn)權(quán)限”，在組織網(wǎng)絡(luò)上保持一段時(shí)間的持久性。

研究人員，這些攻擊非常危險(xiǎn)，因?yàn)橛捎诠艨梢詮囊患夜鹃_(kāi)始，但很快就會(huì)傳到其客戶和合作伙伴那里，因此可能會(huì)涉及如此多的受害者。此外，在攻擊者已經(jīng)訪問(wèn)組織系統(tǒng)很久之后，才會(huì)發(fā)現(xiàn)沿著供應(yīng)鏈傳播的漏洞，這使得數(shù)據(jù)泄露和長(zhǎng)期盜竊的可能性更大。

人為導(dǎo)致的錯(cuò)誤

該報(bào)告的另外兩項(xiàng)關(guān)鍵發(fā)現(xiàn)與最終責(zé)任在哪里有關(guān)——組織內(nèi)外犯錯(cuò)的人。事實(shí)上，研究人員發(fā)現(xiàn)，人為錯(cuò)誤仍然是違約方式和原因的主要趨勢(shì)。

研究人員指出：“錯(cuò)誤仍然是一個(gè)主導(dǎo)趨勢(shì)，他們是13%的違規(guī)行為發(fā)生的原因。”他們說(shuō)，這一發(fā)現(xiàn)主要是由于云存儲(chǔ)配置錯(cuò)誤，這當(dāng)然是負(fù)責(zé)建立系統(tǒng)的人的責(zé)任。

事實(shí)上，他們說(shuō)，2021年DBIR分析的漏洞中有82%涉及研究人員所謂的“人類因素，可以是任何數(shù)量的東西?！毖芯咳藛T寫道：“無(wú)論是使用被盜憑證、網(wǎng)絡(luò)釣魚、濫用還是僅僅是錯(cuò)誤，人們?cè)谑录瓦`規(guī)行為中都繼續(xù)發(fā)揮著非常重要的作用?！?/p>

賬簿上最古老的風(fēng)險(xiǎn)

一位安全專家指出，安全專家對(duì)“人為要素”的發(fā)現(xiàn)并不感到驚訝，該發(fā)現(xiàn)甚至在安全和周圍的整個(gè)行業(yè)成為一件事情之前就一直困擾著科技行業(yè)。

安全公司KnowBe4的數(shù)據(jù)驅(qū)動(dòng)國(guó)防傳教士Roger Grimes在給Threatpost的一封電子郵件中指出：“自計(jì)算機(jī)開(kāi)始以來(lái)一直如此，未來(lái)幾十年可能會(huì)如此?！彼f(shuō)，今天發(fā)生的許多錯(cuò)誤都是攻擊者巧妙的社交工程的結(jié)果，特別是在網(wǎng)絡(luò)釣魚攻擊中，這些攻擊誘騙人們點(diǎn)擊允許計(jì)算機(jī)訪問(wèn)的惡意文件或鏈接，或提供可用于破壞企業(yè)系統(tǒng)的個(gè)人憑據(jù)。

Grimes說(shuō)，解決人為錯(cuò)誤造成的安全問(wèn)題的唯一方法是通過(guò)教育，無(wú)論是關(guān)于配置錯(cuò)誤、修補(bǔ)的重要性、被盜憑據(jù)，還是“常規(guī)錯(cuò)誤，例如當(dāng)用戶不小心通過(guò)電子郵件發(fā)送錯(cuò)誤的人數(shù)據(jù)時(shí)”。

他觀察到：“人類一直是計(jì)算領(lǐng)域的重要組成部分，但出于某種原因，我們一直認(rèn)為只有技術(shù)解決方案才能解決或預(yù)防問(wèn)題?！薄叭陙?lái)，除了人的因素外，試圖通過(guò)關(guān)注一切來(lái)解決網(wǎng)絡(luò)安全問(wèn)題，這表明這不是一項(xiàng)可行的策略。

本文翻譯自：https://threatpost.com/verizon-dbir-report-2022/179725/如若轉(zhuǎn)載，請(qǐng)注明原文地址。