企業亟需關注的安全風險

侯彬炳

勒索軟件、供應鏈威脅以及組織和員工是自身安全的最大敵人，這是Verizon針對過去12個月網絡攻擊年度報告中所研究的一些關鍵要點。近期發布的2022年數據泄露調查報告（DBIR）旨在保護企業免受可能導致系統泄露或數據、資源、金錢、時間等方面出現損失的威脅。

報告背后的研究人員Gabriel BassettC、David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出，過去幾年發生的事情對每個人來說都是“壓倒性的”，但是他們沒有引用顯而易見的因素，比如疫情和烏克蘭戰爭。

然而，該報告的研究人員最關心的是與發生的安全事件和違規行為相關的數據，前者是對信息資產的損害，后者則是將數據暴露給未經授權的一方。2021年，研究人員發現，二者的發生率都在空前飆升。

“過去一年在許多方面都非同尋常，但在報告看來肯定是關于網絡犯罪陰暗的世界，其間發生的事情令人難忘，”他們在報告中寫道：“從廣為人知的關鍵基礎設施攻擊到大規模供應鏈漏洞，出于經濟動機的罪犯和民族主義行為者在過去12個月中很少（如果有的話）像以前那樣搖擺不定。”

勒索軟件仍然是主要部分

2022年度的DBIR報告和2021年的并不太大不同。事實上，一名安全專業人員觀察到一些調查結果似乎與報告自2008年成立以來強調的內容一致。

安全公司Token首席執行官John Gunn在給Threatpost的一封電子郵件中寫道：“關于網絡安全行業最重要的研究已經出來了，感覺就像電影《GroundHog Day》，自2008年第一份報告以來，我們年復一年地獲得了同樣的結果。”

然而，在過去幾年中，一個主要的威脅是勒索軟件繼續呈上升趨勢。這種類型的網絡犯罪通過入侵鎖定公司的數據，在組織支付巨額勒索金額之前不會公布（在2021年同比增長了近13 %）。研究人員指出，漲幅與過去5年的總和一樣大，勒索軟件的發生率總體上升了25 %。他們認為：“勒索軟件的鼎盛時期仍會持續，2022年發現了有近70 %的惡意軟件漏洞。”

事實上，安全專家指出，盡管勒索軟件團體不斷更迭，聯邦當局在打擊此類網絡犯罪方面取得了長足進步，但對犯罪分子來說，收益非常可觀，在利益的驅使之下他們可能會持續一段時間。

安全公司Cerberus Sentinel解決方案架構副總裁Chris Clemens在給Threatpost的電子郵件中表示：“截至目前，勒索軟件是網絡犯罪分子能夠攻陷受害者的最可靠方式。沒有任何一種活動帶來的利益能和勒索攻擊的輕松和巨大影響面相提并論。”

供應鏈受到攻擊

研究人員發現，對供應鏈的重大攻擊（在一個系統或軟件中發生漏洞，很容易在組織中傳播）在2021年，表現出持久影響性，發生率也有所增加。

Verizon團隊認為，對于任何與供應鏈、第三方和合作伙伴打交道的人來說，這種慘痛的經歷是值得記住的。以2020年底發生的、臭名昭著的SolarWinds供應鏈攻擊為例，直到2021年，公司仍然在疲于應付。

事實上，研究人員的報告稱：“2022年，62 %的系統入侵事件都是供應鏈攻擊活動。”此外，研究人員表示，與出于經濟動機的威脅行為者不同，這些犯罪的肇事者往往是國家贊助的行為者，他們更喜歡“跳過漏洞并保持訪問權限”，在組織的網絡上保持一段時間。

研究人員表示，這些攻擊非常危險，因為攻擊可以從一家公司開始，很快就傳到其客戶和合作伙伴那里，因此可能會涉及非常多的受害者。此外，在攻擊者已經訪問系統很久之后，人們才會發現供應鏈數據泄露，，這使得數據泄露和長期盜竊的可能性增大。

人為導致的錯誤

該報告的另外2項關鍵發現與最終責任在哪里有關———組織內外犯錯的人。事實上，研究人員發現，人為錯誤仍然是產生威脅的主要原因。

研究人員指出：“錯誤仍然是一個主導趨勢，大概是13 %數據泄露事件產生的原因。”

實際上，2021年DBIR報告中82%的數據泄露事件涉及“人為元素”。人為元素多種多樣，包括“是否使用了被盜憑據、釣魚、濫用或僅僅是錯誤造成的，人的因素在事件和泄露等活動中繼續扮演著非常重要的作用”。

賬簿上最古老的風險

一位安全專家指出，安全專家對“人為因素”的發現并不感到驚訝，該發現甚至在安全和整個行業一直困擾著科技研究人員。

安全公司KnowBe4的數據驅動國防傳教士Roger Grimes在給Threatpost的一封電子郵件中指出：“自計算機開始以來一直如此，未來幾十年可能也會如此。”他說，今天發生的許多錯誤都是攻擊者巧妙設計的結果，特別是在網絡釣魚攻擊中，這些攻擊誘騙人們點擊允許計算機訪問的惡意文件或鏈接，或提供可用于破壞企業系統的個人憑據。

Grimes說，解決人為錯誤造成的安全問題的唯一方法是通過教育，無論是關于配置錯誤、修補的重要性、被盜憑據，還是常規錯誤（例如當用戶不小心通過電子郵件發送錯誤的數據時）等。他觀察到：“人類一直是計算領域的重要組成部分，但出于某種原因，我們一直認為只有技術解決方案才能解決或預防問題。30年來，我們一直試圖通過除了人為因素以外的方法來修復網絡安全問題，事實證明并不奏效。”