Verizon報告：勒索軟件攻擊目標轉向關鍵系統

Maria Korolov

Verizon日前公布了其《數據泄露報告》。該報告基于全球67個機構，包括安全人員和執法部門發生的53000起安全事件，對去年的安全漏洞進行了深入而廣泛的分析研究。

導致泄露的最常見的攻擊類型為對被盜證書的惡意使用，其次是內存抓取，再次是釣魚和權限濫用。盡管如此，為了給受害公司帶來損失，攻擊不一定非要制造數據泄露事件。

勒索軟件概況

這份報告的重點為勒索軟件。在去年的報告中，勒索軟件為第五大與安全事件有關聯的常見惡意軟件類型，而在今年的報告中，勒索軟件的排名已經上升到了首位。該報告的共同作者，Verizon信息安全數據科學家、研究員兼架構師 Gabriel Bassett 稱：“在與惡意軟件有關的安全事件中，39%的事件涉及這類軟件。”

此外，勒索軟件已經不再僅僅將目標鎖定為用戶桌面。為了勒索更高的贖金和攫取更多的犯罪利益，攻擊者正逐步將目標轉向關鍵的業務系統。

這些并不代表勒索軟件已經成為了組織機構在去年面對的最大類型的攻擊。拒絕服務（DoS）攻擊是常見攻擊的27倍。意外損失和錯誤也是安全事件中的常見因素，如釣魚攻擊。

Bassett指出，勒索軟件并不是造成數據泄露的一個因素，因為它們通常與任何數據外泄都沒有聯系。DoS攻擊也與許多數據泄露無關。實際上，雖然我們常常聽到攻擊者使用DoS攻擊來掩蓋數據竊取行為的說法，但是在今年的數據中僅有一起數據泄露涉及DoS攻擊。

在這起數據泄露事件中，DoS攻擊也沒有被用于掩護數據竊取行為，它們是以另外一種方式被加以利用，即數據泄露導致資產被盜用，進而這些被盜用的資產被用于發動分布式拒絕服務攻擊（DDoS）。

在DDoS攻擊方面，隨著時間的推移，攻擊規模正由中等程度向小型化轉變，大部分攻擊的時間正在縮短，僅持續數分鐘。呈現上升趨勢的是放大攻擊的百分比，由2013年的25%穩步上升到了目前的80%。

在放大攻擊中，黑客利用系統漏洞放大了發送給受害者的信息的數量或規模。Bassett 稱：“這就引出了一個問題，而這對于IT行業以及希望看到這份報告的人而言尤為重要。那就是，不要成為這一問題當中的一部分。”

例如，在公司披露web應用帶有已知漏洞后，攻擊者就能夠利用這些漏洞。另一些被DDoS攻擊者使用的向量包括DNS和NTP服務。他稱：“攻擊者將你的基礎設施變成了他們的基礎設施，使用你的設備攻擊別人。這是一個重要的考慮事項。你可能并不是系統被侵害的唯一受害者。”

外國網絡間諜

雖然去年的許多新聞都充斥著俄羅斯黑客的消息，但是政府和與政府有聯系的人僅占已識別黑客數量的14%。62%的攻擊者與有組織犯罪有關聯，20%的攻擊者與任何組織都沒有聯系。

經濟上的收益是這些攻擊者的最大動機，約占數據泄露事件的76%。間諜活動是排名第二的動機，約占數據泄露事件的13%。這一數據與去年相比已經有了大幅下降，當時21%的數據泄露事件是由網絡間諜造成的。

Bassett稱，與網絡間諜相關的數據泄露并不僅僅是在百分比上出現了下降，其絕對值也同時出現了下降。今年的報告時間涵蓋范圍為2016年11月至2017年10月。這段時間內與網絡間諜相關的數據泄露事件為171起。而在上一年度的報告中，與網絡間諜相關的數據泄露事件為292起。

他指出，由于許多數據泄露事件并不會立即被發現，因此在這些事件中，有一些在近期才被披露出來。例如，與網絡間諜有關的數據泄露可能并不會像出現在網上黑市上的被盜信用卡號那樣馬上產生影響。

在今年的報告中，網絡間諜攻擊的主要行業——制造、公共部門、教育的數據泄露事件在數量上均出現了下降。而在去年的報告中，所有數量都比上一年度有所增加。

Bassett稱，去年的網絡間諜攻擊未必都與DNC泄露和2016年其他備受矚目的攻擊有關聯。他還表示，對單一機構的攻擊無論會造成多大的影響都被僅按一次數據泄露事件統計。但是盡管如此，對一個PoS技術廠商的攻擊可能會導致大量的零售機構出現數據泄露事件。

與此同時，與單獨的行業垂直領域故障率相比，所有行業受到網絡間諜攻擊的平均值并沒有什么用處。“我認為，我們有時候會為了整個森林而錯過了一些樹。總的來說，網絡間諜行為毫無疑問是第二大動機。雖然低于經濟動機，但是高于其他的動機。零售業中與網絡間諜行為有關的數據泄露已經下降了約12倍，而在制造業和政府機構中，因網絡間諜行為導致的數據泄露仍占其數據泄露事件的一半左右。”

例如，在公共部門，與網絡間諜有關的數據泄露事件在今年高于因其他網絡攻擊形式導致的數據泄露。此外，網絡間諜行為也是制造業中最為常見的數據泄露因素。

通過觀察產生重大影響的攻擊，Bassett發現攻擊者已經開始專攻一些行業領域。“不同的行業就如同不同的孤島。”他以酒店服務業為例稱，“在住宿方面，我們看到PoS數據泄露正成為一個重大趨勢。攻擊者在他們擅長的領域發動攻擊可以花最少的精力獲得最大的回報。”

侵害路徑比人們預想的要短

Verizon在今年首次開始繪制從攻擊者最初入侵到最終數據泄露的路徑。這需要收集事件鏈條中的數據。Bassett稱，迄今為止，數據集還不足以通過行業或攻擊者類型進行細致的分析，也不足以進行歷史比對。

目前最大的收獲是多數攻擊并不是按照以往人們認為的需要經過偵察、初次侵害、權限提升、橫向擴展、數據收集、指揮控制、數據外泄這一多步驟的鏈條實現的。實際上，多數攻擊路徑都非常短。Bassett 稱：“大多數的攻擊只有一到兩個步驟。”

這一研究結果與數據泄露是長期而復雜的事件的主流觀點相左。Bassett將其比喻為高爾夫球，場地設計者希望選手經過一個較長且充滿障礙的路徑到達球洞，如積水區和沙坑等。但是如果選手能夠保持一桿進洞，那么這些障礙沒有一個能夠發揮阻擋作用。

電子郵件是最薄弱的環節

釣魚、冒充老板詐騙（CEO fraud）等社區攻擊在過去幾年一直呈上升勢頭，比重從2010年不足10%已經發展到在2017年的報告中占到了近40%。

今年這一趨勢出現了下降。在最新的關于社交策略的報告中，這一部分導致的數據泄露僅占17%。實際上，報告顯示，大多數人從未點擊過釣魚郵件。模擬釣魚攻擊得出的分析結果表明，78%的人全年都不會點擊一封釣魚郵件，但是只要一個人點擊就會讓攻擊者得逞。

盡管如此，以財務為幌子的攻擊正在上升，由去年的61起上升至今年的170起，其中很大一部分攻擊將目標鎖定為HR員工。電子郵件也是惡意軟件傳播的最常見形式。報告稱，92%的被發現的惡意軟件是通過電子郵件形式傳播的，其次是通過web瀏覽器，約占6%。Bassett 稱：“如果你正在運營一個機構并惹來惡意軟件，那么你知道它們會在哪里。”

該報告的目的是給安全人員提供可行動的情報。作為其中的一部分，Verizon列出了最常見的帶有惡意軟件的文件類型。其中最常見的是JavaScript，占總數的37%；其次是Visual Basic，占21%；Windows可執行文件占15%，微軟Office文件占14%。

與去年一樣，Verizon建議讓補丁程序保持最新，加密敏感數據，使用雙因素認證。雖然去年與未修補漏洞有關的數據泄露僅占6%，但是其中有一起是當年最大的數據泄露事件，即Equifax數據泄露事件，事件導致近1.5億條記錄被泄露。

相比之下，與被盜證書有關的數據泄露事件占22%，這使得其成為了主要的行為類型。Verizon 在報告中指出“密碼本身就存在不足，這與長度或復雜性無關。”報告還將默認密碼和容易破解的密碼等同于未設密碼，并指出這種情況非常普遍。