Verizon 2010年度数据泄露调查报告

根据Verizon公司2010年度数据泄露调查报告(DBIR)，数据泄露事件的总数在2009年里有所下降。Verizon公司负责技术和企业创新的副总裁Peter Tippett说：“数据泄露事件的下降是一个良好的迹象，表明我们在对抗网络犯罪方面有了一定的进步。”不过，服务器和应用程序所导致的被盗记录仍占到了98.5%，这一点并没有发生改变。

2010年度数据泄露调查是Verizon与美国特情局(U.S. Secret Service，USSS)首次联合开展的。该报告显示，去年电子记录的泄露涉及到了更多的内部人士的威胁(insider threats)、更多的社会工程学和有组织犯罪。Tippett说，“通过把美国特情局所记录的案例次数包含在内，使我们扩大了对网络犯罪的认识，提高了我们阻止数据泄露的能力。”Verizon和美国特情局(负责调查经济犯罪)联合调查的数据设计到过去六年的900多起数据泄露事件，被盗的记录超过9亿条。

“在2009年导致数据泄露的威胁行为(threat actions)排行榜上，数据滥用位居榜首。这并不是说黑客攻击和恶意软件已经消失了，它们仍分别位列第二和第三，需要对95%的被盗数据负责。在一些组织试图保护自己的信息资产时，证书强度弱或者被盗、SQL注入和数据捕获、定制的恶意软件等仍然困扰着人们。而社会工程学导致的数据泄漏事件增加了两倍还多，物理攻击(如盗窃、窜改和监控则上升了好几倍。”

威胁行为有如下几种(包含了各自在泄露事件和被盗记录中所占的百分比)：恶意软件(泄露事件的38%，被盗记录的94%)、黑客攻击(泄露事件的40%，被盗记录的94%)、社会工程学(泄露事件的28%，被盗记录的3%)、数据滥用(泄露事件的48%，被盗记录的3%)、物理攻击(泄露事件的15%，被盗记录的1%)、错误(泄露事件的2%，小于被盗记录的1%)和环境因素(泄露事件的0%，记录的0%)。

2010年度报告的主要发现包含：

69%的数据泄露是由外部攻击造成的，只有11%的数据泄露与商业合作伙伴有关。而49%的数据泄露则是由内部人士造成的，这一项比以前的报告有所增加，主要和数据集(dataset)的扩大以及美国特勤局所研究的案件类别有关。

权限滥用占到数据泄露的很大一份。48%的数据泄露是由于用户恶意地滥用访问企业信息的权利而造成的。数据泄露的另外40%是黑客攻击的结果，而其中28%是由于社会工程学，14%是由于物理攻击。

与往年一样，几乎所有的数据都是在服务器和网络应用程序上被盗的。85%的泄露事件并不十分困难的。而高达87%的受害者在他们的日志文件里都有数据泄露的证据，但他们却错过了。如果安全规则得到遵守，大多数的数据泄露都是可以避免的。只有4%的数据泄露需要困难的、昂贵的自我保护措施才能得以实现。在去年被盗的所有数据中，有组织犯罪占到了85%。

在受害者中，有些是需要遵守PCI-DSS标准的，但79%的受害者在数据泄露发生之前，都没能实现规则遵从(compliance)。

只要有足够的时间、资源和专注，犯罪分子就能攻破他们所选择的任何一个组织，但他们并没有足够的资源攻破所有的组织。在大型的数据泄露事件里，黑客侵入受害者的网络(通常通过利用一些错误或漏洞)后，在受害者的系统上安装恶意软件以收集大量的数据。你得在对手控制你的电脑前阻止他们，因为等他们成功入侵你的系统之后再去阻止，那将会变得非常困难。在2009年，恶意软件呈现大幅上升的局面。下面是Verizon公司提供的一个图表，展示了各种恶意软件在数据泄露中所占百分比，以及用红色表示的被盗记录百分比。

内部人士作案并不是虚构的事情。网络罪犯善于煽动，他们会劝说那些不满的系统管理员或者正处在经济困难中的员工出卖自己的登录信息或者VPN。Verizon负责调查响应的总监Bryan Sartin说：“内部作案总会被抓到。”

社会工程学在数据泄露中占的比例更大(28%，而在2008年只有12%)。社会工程学运用了欺骗、操纵、恐吓等来利用人为因素、或者信息资产的用户。引诱和贿赂发生的频率往往比其他类型的社会工程学更高。美国特勤局表示，这些通常是有组织犯罪的惯用伎俩，他们会招募甚至在目标组织的内部安置一个内线，以盗用或者侵吞货币资产和数据，事后内线会分到一部分好处。社会工程学瞄准的一些小目标如零售店和酒店的出纳员，而大一点的目标则更容易涉及银行职员以及其他类似的人员。在2009年所发现其他一些常见的社会工程学类型还包括网络钓鱼和假托技术(Pretexting)。

2010年的研究再次表明，当简单的保护行动被勤勉的、连续的完成时，就能获得巨大的好处。

向企业推荐的保护行动包括：

限制和监督特权用户。美国特勤局的数据显示，内部人士导致的数据泄露比以往任何时候都要多。内部人士，尤其是具有高特权的那类人，可能很难对其进行监督。最好的策略是信任他们，但在他们加入公司之前必须通过严格的审查，限制他们的用户权限，以及采用职责分离策略。特权使用应详细记录和并为管理层生成详细的行为报告。

注意“小的”政策违规。研究发现，看似很小的政策违规和严重数据滥用之间存在着一定的联系。这意味着，组织必须有所提防，并对各项政策的所有违规行为进行充分的响应。根据案件的数据，用户系统上存在的非法内容或其他不适当的行为在未来将成为数据泄露的一个合理指标。积极寻找这些指标可能会更为有效。

采取措施以阻止证书被盗。让系统远离可以进行证书捕获的恶意软件是需要首先进行的事情。可以考虑在合适的时候进行双因素(two-factor)验证。如果允许的话，还可以采用使用时间(time-of-use)规则、IP黑名单，以及限制行政沟通(administrative connections)。

监控和过滤对外流量(Outbound Traffic)。在许多数据泄露事件的某些时间点上，一些东(数据、通信、连接)通过组织的网络向外传输，如果传输被阻止，就可能打破链路进而阻止数据泄露的发生。通过监测、了解和控制对外流量，组织可以大大减轻恶意活动带来的危害。

改变事件监测与日志分析的方法。第三方的欺诈检测仍然是让受害者了解自身处境的最常见方法，但几乎所有受害者的日志里面都有数据泄露的证据。弄清楚哪里出了问题，并做出必要的改动，并不会占用你很多的时间。组织应挤出时间以更加彻底地检查批处理的数据，并进行日志分析。确保有足够的人、足够的工具和完善的流程可以发现并响应异常。

共享事件信息。一个组织可以自我保护的能力大小，在于其获得资料的多少。Verizon认为，在同网络犯罪对抗的时候，信息的可用度和分享十分关键。我们赞赏在这方面有所贡献的所有组织，Verizon的VERIS架构也是一个类似的数据共享计划(data-sharing programs)。

至于说日志，Verizon的Bryan Sartin表示，网络管理员应该检查他们的日志以确定是否发生了数据泄露，这一点非常重要。因为网络管理员往往并不需要大海捞针，只要能看见大海就可以了。“我们不断发现，近90%的日志是可用的，但是通过日志分析有所发现的几率却低于5%。有三大征兆值得我们警觉：1)日志数据异常增长;2 )日志中行(lines)的长度异常;3)日志数据的缺乏(或异常减少)。在一次数据泄露事件发生之后，我们看到日志的条目增加了500%。而在黑客关闭日志记录之后，我们在几个月内根本发现不了日志。我们发现，SQL注入攻击和其他攻击在日志中所留下的行(lines)要比标准活动留下的长很多。不必大海捞针，因为大海更容易发现。”

未经允许不得转载：DOIT » Verizon 2010年度数据泄露调查报告