威脅情報平臺供應商HackNotice分析了過去三年裡超過6萬份入侵事件報告,並發現了一些令人不安卻意料之中的結果——入侵事件增長的高速度和官方報告入侵事件數量的相對下降。其一,當駭客們變得越來越老練的時候,防禦者們可能花費了太多的時間和精力在閃亮的新工具上,而不是在網路安全的最最基礎的措施上。其二,企業把防禦力量集中在了錯誤的領域。駭客屢屢得手的重要原因,即他們的目標不是基礎設施,而是背後的人。龐大的預算,時髦的最新概念,最先進的防禦系統,抵擋不住一次精心設計的釣魚郵件和一個弱口令。正所謂基礎不牢,地動山搖。新常態下,人是網路安全的邊界。人性的弱點怎麼解決,網路安全文化應該是一條路徑!
主要發現
駭客披露的包含被攻陷公司資料的洩露報告(41,030起)。
新聞媒體;這是由一個線上新聞服務首先公佈的一份入侵報告(15219起)。
由於最先被駭客披露的資料洩露量是新聞服務機構的2.7倍,這意味著,為了自己或供應商的利益而監控新聞的公司,最好還是監控一下暗網。
勒索軟體,當受害者拒絕支付贖金時駭客洩露的資料(988起)。
這並不能說明成功地勒索軟體攻擊的數量,而只能說明在日益頻繁的雙重勒索攻擊中,有多少家公司遭到入侵,但拒絕支付贖金。第一起此類入侵事件發生在2020年4月,但到2021年1月1日,數量增至近1000起。這意味著雙重勒索攻擊正在增加,並可能在2021年及以後繼續增加。
網站汙損,即網站被攻破,內容被駭客更改作為證據(2243起)。
網站汙損一直以來都很受駭客主義者的歡迎,他們希望藉此表明自己的觀點——通常是政治上的或者道德上的。十年前,這種攻擊很常見,但近年來似乎不怎麼流行。然而,根據HackNotice的資料,從2019年7月又開始增加,令人關注的是從2020年4月開始大幅增加。考慮到近年來地緣政治的動盪狀態,這或許並不令人意外。
很難預測這種情況是否會持續下去,但它很可能反映出國家和國際地緣政治的狀況。從事政治或道德敏感領域工作的公司應該格外小心,保護自己的網站免受毀損攻擊。
這裡有趣的一點是,透過官方渠道報告的入侵數量相對較少,約佔總數的13.5%。這一比例已逐漸下降,最初分析開始時為25%。
關於發生在2018年至2020年的入侵事件的最新分析中,有兩個元素特別有趣:駭客成功次數的穩步增長,以及透過官方渠道披露的入侵事件的百分比下降。
2018年,HackNotice發現了29562處報告的入侵事件。截至2019年12月,發現的總數已上升至44863起,同比增長51.7%。到2020年12月,總數已經上升到67529起,比2019年上升了50.5%。從絕對數字來看,2019年相比2018年增加了15301起,2020年比2019年增加了22666起。
一個顯而易見的問題是,當我們增加了安全預算,推出了更多據稱更優秀的安全產品時,為什麼駭客會屢屢得手,攻擊成功?
史蒂夫·托馬斯認為,這是因為企業把防禦力量集中在了錯誤的領域。“駭客正在贏得網路戰爭,”他說,“主要是因為他們的目標不是基礎設施,而是人。”“網路釣魚、偽造證書、盜取個人賬戶以進入企業賬戶……所有主要的攻擊載體都依賴於這樣一個事實:普通員工不知道自己暴露在多大的風險之下,他們對安全的重視程度遠低於安全團隊。”
網路安全專家解讀
Josh Angell,弗吉尼亞州nVisium的應用程式安全顧問,他認為這一統計資料表明,“人為錯誤仍然是這些事件的主要原因,如果這些網路和系統維護的人,使用過時的工具和安全編碼實踐,還有那些訪問公司電子郵件和敏感的客戶資料的人,不遵守行業最佳實踐,結果可想而知。”
總部位於加州聖何塞的Netenrich公司資訊長布蘭登·霍夫曼(Brandon Hoffman)解釋說:“有幾個因素導致了入侵事件的增加。”他說:“其中一些確實與對手的聰明才智有關,但大部分似乎與未落實基本安全控制有關。安全工具已經有了很大的進步,但是安全作為一門學科的重點似乎更多地放在高階工具的使用上。這帶來的挑戰是時間和資源。”
總部位於舊金山的Digital Shadows公司的威脅情報團隊負責人Alec Alvarado總結了這個觀點:“駭客/壞人之所以能贏得網路對抗,僅僅是因為他們堅持了行之有效的方法。即使是最強大的安全團隊、最廣泛的網路安全實踐和數百萬美元的網路安全預算,也會因為一封精心設計的釣魚郵件或一個弱口令的一次點選而失敗。”
言外之意很清楚。當駭客們變得越來越老練的時候,防禦者們可能花費了太多的時間和精力在閃亮的新玩具上,而不是在安全的最最基礎的措施上。
官方通報機制失效
HackNotice研究的第二個值得注意的發現是,透過官方渠道披露的入侵洩露數量有所下降。考慮到目前存在的越來越多的國家和國際入侵事件披露法律,這似乎令人驚訝。HackNotice的執行長托馬斯將這種明顯的反常現象歸結為,美國有很多州違反了法律,相關規定要求必須提前30天或更早的時間內通知客戶。
他告訴《安全週刊》說:“美國沒有聯邦安全攻擊事件通報法,所以你必須根據各州的情況行事。”然而,各州的法律規定各不相同,法律允許被入侵的公司在必須披露資訊前30天甚至更早時間內披露資訊。新聞媒體、勒索軟體和破壞團伙最終在官方通知之前披露資訊,所以我們看到官方披露資訊的佔比正在減少。”
把洩露事件的通報拖延到最後一刻,幾乎像是在玩弄系統。Netenrich的Hoffman同意這一點。他說:“我們安全行業也懷疑,實際上有人違反了通報法規,或者有人濫用通知期限,為投資者和公眾提供一個更美好的前景。”“換句話說,如果一個組織受到了攻擊,根據法律法規,他們的通報視窗期是90天,他們在用了89天進行最大限度的分類和清理工作後才會宣佈,這樣當他們宣佈時,他們就可以聲稱一切都得到了解決。”
Angell補充道:“入侵事件通報法規並不能保證公司願意犧牲投資者的信心或冒著被起訴的風險來披露每次出現的入侵情況。”
Digital Shadows的Alverado對此有一個有趣的補充。他承認,目前的通報法規給公司提供了迴旋的餘地,以避免股票價值和品牌形象受到損害,但他補充說,“我們經常聽到一家公司宣佈‘發生了網路安全事故,但沒有跡象表明資料被竊取’。”這應該會讓大多數人感到驚訝,因為這不符合典型的威脅行為者的動機,坐在一個網路上,而不提取資料或找到方法來賺錢。“當我們聽到‘事件’的時候,我們可能會自動懷疑‘可能的攻擊入侵’。
結論
對過去三年6萬起入侵洩露事件的分析提供了大量資料,揭示了哪些地方出現了問題,並突出了未來可能出現的趨勢。重要的是,這表明網路犯罪分子正在取勝。對於公司來說,可能至少有一個部分的解決方案,那就是在基本安全方面做得更好,而不是把錢砸在最新、最閃亮的產品上。
這個研究還表明,如果瞭解正在發生的事情很重要,那麼透過威脅情報監控暗網,而不是監控新聞源,可以獲得更準確的態勢。它還表明,目前的安全事件通報法規並不真正適合於掌握安全事件態勢的目的。
關於HackNoticeHackNotice是一家總部位於德克薩斯州奧斯汀的初創公司,成立於2018年。關於此次調查,執行長兼聯合創始人史蒂夫·托馬斯告訴《安全週刊》,該公司從數百個來源收集駭客通知(資料洩露、破壞、勒索軟體等),全天蒐集官方資料洩露網站、勒索軟體洩露網站、API、twitter賬戶和標籤。所有這些事件都進入一個佇列,每個事件都由安全研究人員檢查。首先刪除所有的重複和擾亂資料,識別被入侵的公司,並將這些事件新增到公司的專門系統中。最後使用機器學習來分析每個事件的披露宣告,以確定哪些資料被披露。