拒绝服务(DoS)、勒索软件和出于财务动机的数据泄露是今年Verizon DBIR的赢家。
拒绝服务(DoS)攻击在过去一年中急剧上升,而网络间谍活动则呈螺旋式下降。根据Verizon周二发布的2020年数据泄露调查报告(DBIR),该报告分析了16个行业的32002起安全事件和3950起数据泄露。
值得注意的是,今年DoS攻击的数量增加了(13000起),并且被视为网络罪犯工具箱(DoS攻击占报告安全事件的40%)的一个更大的组成部分,击败了犯罪软件和web应用程序。虽然DoS攻击使用不同的策略,但它们通常涉及发送垃圾网络流量以压倒和崩溃系统。过去几年里,网络犯罪分子一直在制造新的、危险的僵尸网络来发动DoS攻击,比如Kaiji或Mirai变种,这对他们毫无帮助。
研究人员说:“虽然如前所述,这种流量在不断增加,但在DDoS中,我们不仅仅关注所进行的攻击的数量。”。“我们还查看每秒比特数(BPS),它告诉我们攻击的大小,以及每秒包数(PPS),它告诉我们攻击的路径。我们发现,无论用于发送攻击的服务是什么,包与比特的比率都保持在一个相对较窄的频带内,PPS并没有随着时间的推移而发生太大的变化,最常见的模式是570 Mbps。”
与此同时,网络间谍攻击呈螺旋式下降趋势,从2018年的13.5%下降到2019年的3.2%。鉴于2019年Verizon DBIR的间谍活动实际上在增加,这可能会让人感到意外。此外,在过去一年中,还发现了一系列网络间谍活动(例如针对世卫组织、亚太地区一些政府等的活动),但研究人员表示,报告不足可能是数据下降的一个因素。
研究人员说:“原始数据的下降可能是由于报告不足或未能检测到这些攻击,但其他模式数量的增加是导致百分比下降的主要原因。”
他们说,事实上,出于财务动机的违规行为不仅比间谍活动更为普遍(占所有违规行为的86%),而且在过去一年中有所增加。
突破口来源
在数据泄露方面,近一半(45%)来自实际黑客攻击,22%使用社交攻击。22%的漏洞涉及恶意软件,17%是由错误造成的。8%的违规行为源于授权用户的滥用。
事实上,内部参与者只支持30%的违规行为,其中大多数(70%)实际上来自外部参与者。虽然研究人员表示,过去几年来,由“内部行为体”引发的事件有所增加,但这很可能是因为内部错误的报道增多,而不是这些行为体的实际恶意证据。
研究人员说:“与内部攻击者相比,外部攻击者在我们的数据中更为常见,而且一直如此。这实际上是一个直观的发现,因为不管一个给定的组织中可能有多少人,总有更多的人在组织之外。然而,人们普遍认为,内部人员是对一个组织安全的最大威胁,但我们认为这是错误的。”
恶意软件关闭
研究人员表示,恶意软件在过去五年中的破获率一直在持续稳定下降,部分原因是网络犯罪分子获取证书的程度不断提高。
研究人员说:“我们认为,其他攻击类型,如黑客攻击和社交破坏,都得益于窃取凭据,这使得不再需要添加恶意软件来保持持久性。”
因此,数据泄露中的顶级恶意软件“变种”最多的是密码转储程序(用于收集凭据),其次是捕获应用程序数据和勒索软件。
勒索软件攻击在过去一年中继续增长,给诺斯克水电等公司制造了引人注目的头条新闻和头疼的问题。勒索软件是第三个最常见的“恶意软件破坏”品种和第二个最常见的“恶意软件事件”品种。研究人员强调,这种持续增长的部分原因可以解释为攻击者可以轻松地发起勒索软件攻击。
研究人员说:“在犯罪论坛和市场上发现的勒索软件线程中,有7%提到了‘服务’,这表明攻击者甚至不需要自己动手。”
垂直特异性研究结果
Verizon的DBIR还通过垂直网络对数据泄露进行了分析,显示网络罪犯正在彻底改变他们瞄准行业的方式。例如,与销售点(PoS)相关的攻击曾一度在住宿和食品服务行业占主导地位,但它们已被恶意软件攻击和web应用程序攻击所取代。
研究人员说:“相反,责任在几种不同的行为类型之间相对平均地分配,如恶意软件、错误和通过被盗凭证进行的黑客攻击。”“出于财务动机的攻击者继续以这个行业为目标,获取其持有的支付卡数据。”
教育服务行业发现,网络钓鱼攻击触发了28%的漏洞,23%的漏洞源于通过被盗凭证进行的黑客攻击。勒索软件是教育领域的最大威胁,勒索软件约占事件数据中恶意软件感染的80%。
金融动机引发的勒索软件攻击也困扰着医疗行业。导致违规的其他主要安全问题包括资产丢失和被盗以及基本的人为错误。然而,特权滥用在过去一直是医疗保健领域数据泄露原因之首,今年首次不是“前三名”的问题。在2019年的报告中,23%的攻击是滥用特权,而在2020年,这一比例下降到了8.7%。
尽管如此,研究人员说:“今年,我们发现总体数据集中报告的违规和事故数量大幅增加,这一增长反映在医疗垂直领域。”“事实上,这一领域被证实的数据泄露数量为521个,而去年的报告为304个。”
最后,金融和保险行业受到网络钓鱼攻击和利用被盗凭证的网络应用程序攻击的困扰。这一领域的攻击是由外部行为体实施的,这些行为体的财务动机是获取容易货币化的数据(63%),内部财务动机是行为体(18%)和内部行为体犯错误(9%)。
积极的一面
违约时间表继续显示出有希望的结果。在几天或更短时间内发现事故的公司数量有所上升,而在同一时间段内的遏制措施超过了2017年的历史峰值。
研究人员还警告说,要记住,积极的事件响应数字很可能是由于在报告的抽样中包含了管理安全服务提供商(MSSP)检测到的更多违规行为。此外,四分之一的公司仍需要数月或更长时间来处理数据泄露问题。
研究人员说:“总而言之,我们确实认为,在过去一年里,检测和反应方面有所改善。”
【内容来源于threatpost】
