企業(yè)亟需關(guān)注的安全風(fēng)險

侯彬炳

勒索軟件、供應(yīng)鏈威脅以及組織和員工是自身安全的最大敵人，這是Verizon針對過去12個月網(wǎng)絡(luò)攻擊年度報告中所研究的一些關(guān)鍵要點(diǎn)。近期發(fā)布的2022年數(shù)據(jù)泄露調(diào)查報告（DBIR）旨在保護(hù)企業(yè)免受可能導(dǎo)致系統(tǒng)泄露或數(shù)據(jù)、資源、金錢、時間等方面出現(xiàn)損失的威脅。

報告背后的研究人員Gabriel BassettC、David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出，過去幾年發(fā)生的事情對每個人來說都是“壓倒性的”，但是他們沒有引用顯而易見的因素，比如疫情和烏克蘭戰(zhàn)爭。

然而，該報告的研究人員最關(guān)心的是與發(fā)生的安全事件和違規(guī)行為相關(guān)的數(shù)據(jù)，前者是對信息資產(chǎn)的損害，后者則是將數(shù)據(jù)暴露給未經(jīng)授權(quán)的一方。2021年，研究人員發(fā)現(xiàn)，二者的發(fā)生率都在空前飆升。

“過去一年在許多方面都非同尋常，但在報告看來肯定是關(guān)于網(wǎng)絡(luò)犯罪陰暗的世界，其間發(fā)生的事情令人難忘，”他們在報告中寫道：“從廣為人知的關(guān)鍵基礎(chǔ)設(shè)施攻擊到大規(guī)模供應(yīng)鏈漏洞，出于經(jīng)濟(jì)動機(jī)的罪犯和民族主義行為者在過去12個月中很少（如果有的話）像以前那樣搖擺不定?！?h3>勒索軟件仍然是主要部分

2022年度的DBIR報告和2021年的并不太大不同。事實(shí)上，一名安全專業(yè)人員觀察到一些調(diào)查結(jié)果似乎與報告自2008年成立以來強(qiáng)調(diào)的內(nèi)容一致。

安全公司Token首席執(zhí)行官John Gunn在給Threatpost的一封電子郵件中寫道：“關(guān)于網(wǎng)絡(luò)安全行業(yè)最重要的研究已經(jīng)出來了，感覺就像電影《GroundHog Day》，自2008年第一份報告以來，我們年復(fù)一年地獲得了同樣的結(jié)果。”

然而，在過去幾年中，一個主要的威脅是勒索軟件繼續(xù)呈上升趨勢。這種類型的網(wǎng)絡(luò)犯罪通過入侵鎖定公司的數(shù)據(jù)，在組織支付巨額勒索金額之前不會公布（在2021年同比增長了近13 %）。研究人員指出，漲幅與過去5年的總和一樣大，勒索軟件的發(fā)生率總體上升了25 %。他們認(rèn)為：“勒索軟件的鼎盛時期仍會持續(xù)，2022年發(fā)現(xiàn)了有近70 %的惡意軟件漏洞?！?/p>

事實(shí)上，安全專家指出，盡管勒索軟件團(tuán)體不斷更迭，聯(lián)邦當(dāng)局在打擊此類網(wǎng)絡(luò)犯罪方面取得了長足進(jìn)步，但對犯罪分子來說，收益非?？捎^，在利益的驅(qū)使之下他們可能會持續(xù)一段時間。

安全公司Cerberus Sentinel解決方案架構(gòu)副總裁Chris Clemens在給Threatpost的電子郵件中表示：“截至目前，勒索軟件是網(wǎng)絡(luò)犯罪分子能夠攻陷受害者的最可靠方式。沒有任何一種活動帶來的利益能和勒索攻擊的輕松和巨大影響面相提并論?！?h3>供應(yīng)鏈?zhǔn)艿焦?/h3>

研究人員發(fā)現(xiàn)，對供應(yīng)鏈的重大攻擊（在一個系統(tǒng)或軟件中發(fā)生漏洞，很容易在組織中傳播）在2021年，表現(xiàn)出持久影響性，發(fā)生率也有所增加。

Verizon團(tuán)隊(duì)認(rèn)為，對于任何與供應(yīng)鏈、第三方和合作伙伴打交道的人來說，這種慘痛的經(jīng)歷是值得記住的。以2020年底發(fā)生的、臭名昭著的SolarWinds供應(yīng)鏈攻擊為例，直到2021年，公司仍然在疲于應(yīng)付。

事實(shí)上，研究人員的報告稱：“2022年，62 %的系統(tǒng)入侵事件都是供應(yīng)鏈攻擊活動?！贝送猓芯咳藛T表示，與出于經(jīng)濟(jì)動機(jī)的威脅行為者不同，這些犯罪的肇事者往往是國家贊助的行為者，他們更喜歡“跳過漏洞并保持訪問權(quán)限”，在組織的網(wǎng)絡(luò)上保持一段時間。

研究人員表示，這些攻擊非常危險，因?yàn)楣艨梢詮囊患夜鹃_始，很快就傳到其客戶和合作伙伴那里，因此可能會涉及非常多的受害者。此外，在攻擊者已經(jīng)訪問系統(tǒng)很久之后，人們才會發(fā)現(xiàn)供應(yīng)鏈數(shù)據(jù)泄露，，這使得數(shù)據(jù)泄露和長期盜竊的可能性增大。

人為導(dǎo)致的錯誤

該報告的另外2項(xiàng)關(guān)鍵發(fā)現(xiàn)與最終責(zé)任在哪里有關(guān)———組織內(nèi)外犯錯的人。事實(shí)上，研究人員發(fā)現(xiàn)，人為錯誤仍然是產(chǎn)生威脅的主要原因。

研究人員指出：“錯誤仍然是一個主導(dǎo)趨勢，大概是13 %數(shù)據(jù)泄露事件產(chǎn)生的原因?！?/p>

實(shí)際上，2021年DBIR報告中82%的數(shù)據(jù)泄露事件涉及“人為元素”。人為元素多種多樣，包括“是否使用了被盜憑據(jù)、釣魚、濫用或僅僅是錯誤造成的，人的因素在事件和泄露等活動中繼續(xù)扮演著非常重要的作用”。

賬簿上最古老的風(fēng)險

一位安全專家指出，安全專家對“人為因素”的發(fā)現(xiàn)并不感到驚訝，該發(fā)現(xiàn)甚至在安全和整個行業(yè)一直困擾著科技研究人員。

安全公司KnowBe4的數(shù)據(jù)驅(qū)動國防傳教士Roger Grimes在給Threatpost的一封電子郵件中指出：“自計算機(jī)開始以來一直如此，未來幾十年可能也會如此?！彼f，今天發(fā)生的許多錯誤都是攻擊者巧妙設(shè)計的結(jié)果，特別是在網(wǎng)絡(luò)釣魚攻擊中，這些攻擊誘騙人們點(diǎn)擊允許計算機(jī)訪問的惡意文件或鏈接，或提供可用于破壞企業(yè)系統(tǒng)的個人憑據(jù)。

Grimes說，解決人為錯誤造成的安全問題的唯一方法是通過教育，無論是關(guān)于配置錯誤、修補(bǔ)的重要性、被盜憑據(jù)，還是常規(guī)錯誤（例如當(dāng)用戶不小心通過電子郵件發(fā)送錯誤的數(shù)據(jù)時）等。他觀察到：“人類一直是計算領(lǐng)域的重要組成部分，但出于某種原因，我們一直認(rèn)為只有技術(shù)解決方案才能解決或預(yù)防問題。30年來，我們一直試圖通過除了人為因素以外的方法來修復(fù)網(wǎng)絡(luò)安全問題，事實(shí)證明并不奏效?！?/p>