從 verizon 數據泄露報告看政府數據安全
責編:gltian |2019-08-27 14:01:112019 年,美國電信巨頭發布了 2018 年年度數據泄漏報告 (DBIR),作為安全行業的重量級調查報告,值得不斷、仔細研讀。美創科技根據報告進行了深入的總結分析,包括醫療、政府、金融等行業,希望能夠給合作伙伴以及安全從業者提供專業的參考。本篇講述 2018 年政府行業的數據安全形勢。
縱觀 2018 年度 Verizon 數據泄露報告,我們可以看到,在眾多行業數據泄漏統計排名中,政府行業數據泄露排名超過醫療、金融行業,首次登居榜首。而往年排名第一的醫療行業雖已退居第二,金融行業雖繼續排名第三,其形勢依然嚴峻、不容忽視。其中政府行業數據泄漏日益增長的根本原因在于網絡間諜和國家活動的活躍程度不斷增強。
1、政府行業數據泄露排名穩步上升,2018年度高居榜首
從近幾年的 verizon 報告中,可以看到政府行業的數據泄露威脅在每年的排名中均處于穩步上升的趨勢,幾乎 “一年一個臺階”:從 2016 年排名第三,2017 年的排名第二到 2018 年的排名第一。其中值得一提的是,政府行業的安全事件每年獨占鰲頭。
2、政府行業表現出平均水平的內部威脅,內部威脅比例快速上升
我們來進一步剖析政府行業數據泄漏的原因。從報告中可以總結出,政府行業數據泄漏表現出的內、外部威脅占比與多數行業的對應占比特征相似,呈現外部占比相對較多,但內部威脅快速上升的趨勢。2018 年的政府行業數據泄漏來源占比:內部威脅占比 30%,外部威脅占比 75%,來自于合作伙伴的威脅占比 1%,來自于多方的威脅占比 6%。以下就數據泄露的幾個重點行業做比較,分別為:醫療、金融、政府、信息服務、制造業、零售、酒店餐飲。
我們必須注意到,幾乎在每個行業的數據泄漏來源占比中,內部威脅正在快速上升,以下為近 8 年來數據泄漏來源的統計占比圖:
3、異常猖獗的網絡間諜活動是政府行業數據安全的最大威脅
高達 79% 的網絡間諜活動和國家有關。而從內部來看,主要威脅則體現為各種誤操作和越權訪問。下圖為 2011 年至今數據泄漏原因占比圖,作為一個比較,從全行業來看,在外部人員導致的泄漏事件中,最主要的威脅來自于組織犯罪和國家間諜,尤其是間諜相關在最近幾年持續快速上升,需要引起注意。而在內部威脅中,最大的威脅來自于系統管理員,從 2014 年開始持續上升,2016 年開始快速上揚。
4、入侵動機:間諜是政府入侵的主要訴求
以下為各行業入侵動機的趨勢分析圖,可以看到政府行業數據泄漏事件特征表現出極大的特殊性:高達 66% 的入侵是為了間諜活動,財務訴求僅僅為 29%,完全不同于一般行業的入侵動機:71% 的財富訴求和 25% 的間諜活動。在過去的一年中,政府行業的間諜活動訴求表現出爆發型增長,增長幅度達到 68%,體現了過去一年復雜的國內國際環境。
5、入侵目標:入侵以獲得內部數據為主要目標
政府行業的入侵目標和入侵動機表現出高度的一致性,以獲得內部內容數據為主要目標:68% 的內部內容信息,22% 的個人信息和 12% 的身份信息。
6、社會工程攻擊、惡意軟件和入侵
社會工程/釣魚、backdoor/C2,這些攻擊手段和網絡間諜活動表現出高度的相關性。事實上,社會工程攻擊是最近 5 年發展最為迅速的攻擊手段。
下圖為全行業入侵手段和入侵目標的 5 年變更,可以看到社會工程攻擊從 17% 增加到 35%,成為最為主流的入侵手段。而在入侵目標上,作為社會工程主要目標的個人則從 19% 增加到了 39%,具有高度相關性。
7、惡意軟件:勒索和挖礦雙翼齊飛
勒索軟件在經歷了 2017 年的急劇增長之后,2018 年其整體趨于高位平穩狀態。其中, 2018 年勒索威脅最主要的特征即企業級勒索:81% 的勒索威脅目標在企業,在總體勒索事件有所下降的情況下,企業市場的勒索占比卻增加了 12%。挖礦病毒則在 2018 年上半年狂飆突進,甚至成為了茶余飯后的談資,下半年隨著比特幣價格的下跌,挖礦病毒威脅表現出逐月下跌的趨勢,但總體而言,相較于 2017 年還是增長了 4 倍。
在被勒索病毒影響最為嚴峻的醫療行業,70% 的惡意軟件為勒索病毒,2017 年則為 85%。(由于 verizon 2019 數據泄露報告缺乏具體數字,以上數字來自于賽門鐵克2018年度互聯網威脅報告 (ISTR24) )。
下圖以 C2,ransowmare 和 backdoor 為主要惡意軟件的統計符合 2018 年度猖獗的間諜活動、挖礦和勒索威脅的總體特征。
8、發現攻擊:政府行業中攻擊的發現異常緩慢
通常情況下,執行惡意攻擊只要幾分鐘,但發現攻擊行為卻可能要幾個月時間。緩慢的攻擊發現在政府行業中表現得十分明顯,往往黑客或內部的攻擊行為需要長達幾年才會被發現,其中需要注意的是,和間諜活動相關的攻擊因其隱蔽性,需要更長的時間才能被發現。
