去年整整四分之三 (74%) 的数据泄露涉及人为因素,主要是由于员工陷入社会工程攻击或犯错误,一些人恶意滥用他们的访问权限。
社会工程学事件有 自去年以来几乎翻了一番 根据 Verizon 17 月 2023 日发布的 6 年数据泄露调查报告 (DBIR)(该报告分析了超过 16,312 起安全事件,其中 5,199 起已确认数据泄露),占所有泄露事件的 XNUMX%。 该报告指出,这种人为谬误在事件中占主导地位的结果是,勒索软件攻击的平均成本是 自去年以来翻了一番, 达到百万美元的范围。 综合证据表明,组织迫切需要控制安全基础知识——否则在数据泄露成本方面将面临恶性循环的通货膨胀。
Verizon Business 网络安全咨询董事总经理 Chris Novak 指出,为了控制这一趋势,组织需要关注三件事:员工安全卫生、实施真正的多因素身份验证以及跨组织在威胁情报方面的协作。 他说,第一个可能是影响最大的问题。
“基本面需要改进,组织需要关注网络卫生,”他在华盛顿特区的一次新闻发布会上说。 “这可能是我能给你的最不性感的建议,但它是我们看到各种形式和规模的组织仍然缺少的最根本的重要事情之一。 而这通常是因为他们想专注于行业中华而不实的新技术,而忘记了基础知识。”
出于经济动机的外部攻击者加倍进行社会工程学
除了数量不断增长的社会工程之外,去年这些攻击的中位数盗窃金额达到 50,000 美元, 根据 DBIR. 总体而言,有 1,700 起事件落入社交媒体范畴,其中 928 起已确认数据披露。
网络钓鱼和“伪装”,即通常在 企业电子邮件泄露 (BEC) 攻击,报告发现,主导了社会工程领域。 事实上,借口开局自去年以来几乎翻了一番,现在占所有社会工程攻击的 50%。
Verizon 分析师发现,绝大多数社会工程事件是由出于经济动机的外部威胁行为者驱动的,他们参与了 83% 的违规行为。 相比之下,内部威胁约占事件的五分之一(19%,既有恶意的也有无意的),而国家支持的行动(通常涉及间谍活动而不是经济利益)所涉及的时间不到 10%。
此外,外部参与者在获得对组织的初始访问权限时坚持使用经典方法,前三种途径是使用被盗凭据(49% 的违规行为); 网络钓鱼 (12%); 和利用漏洞 (5%)。
难怪该报告发现去年在社会工程攻击中受损的数据中有四分之三是助长额外攻击的凭据 (76%),其次是内部组织信息 (28%) 和个人数据。
勒索软件尚未触及增长壁垒
这些社会工程师的最终目标是什么? 答案往往很容易猜到:勒索软件和勒索。 这与过去几年的情况相同,事实上,在今年的报告中,勒索软件事件在泄露份额方面保持稳定,与去年一样,约占总体事件的四分之一(24% ). 这在外界看来似乎是个好消息,但该报告指出,该统计数据实际上与传统观念背道而驰,即勒索软件迟早会因组织提高防御能力、实体拒绝付款而碰壁,或者 执法审查.
报告指出,所有这些似乎都没有动摇——事实上,勒索软件在未来仍有很大的发展空间,因为它还没有达到饱和水平。
“几乎四分之一的违规行为涉及勒索软件步骤,这仍然是一个惊人的结果,”报告中写道。 “但是,我们一直预计勒索软件很快就会达到其理论上的上限,这意味着所有可能与勒索软件有关的事件都会发生。 遗憾的是,仍有一些增长空间。”
总体而言,经济动机为当年 94.6% 的违规行为提供了动力,其中 59% 存在勒索软件。 根据 DBIR,整整 80% 的系统入侵事件都涉及勒索软件,91% 的行业将勒索软件列为最常见的事件之一。
勒索软件经济也在继续专业化,据报道。 当谈到对大多数违规行为负责的外部行为者时,大多数都与有组织犯罪有关; 事实上,勒索软件占所有有组织犯罪相关事件的 62%。
与不断上升的勒索软件和漏洞作斗争
Verizon 的 Novak 表示,为了防止勒索软件的进一步增长并遏制一般的漏洞浪潮,组织可以专注于相当可实现的步骤,因为社会工程是两者的关键。 也就是说,除了鼓励员工基本的安全卫生和意识外,组织还需要在 MFA 方面取得进步,并专注于建立一系列网络安全合作伙伴关系。
在谈到 MFA 时,他说不再使用一次性密码进行简单的双因素身份验证,而是支持 像 FIDO2 这样的强认证,将改变游戏规则。 FIDO2 通过浏览器向用户提出身份验证挑战,浏览器会添加有关挑战的上下文,然后将其传送到附加的 FIDO2 身份验证器,从而可以检测中间人窥探等。
诺瓦克说:“如果我们能够在这方面取得重大进展,我认为我们可以大大减少人为因素参与方面的许多肚脐 [基本] 违规行为。” “我们需要寻找其他机制来进行强大的相互或多因素身份验证。”
即便如此,他说,“我认为我们离我们希望在 FIDO2 上的位置还很远。 但我认为,我们在大规模采用方面真正面临的最大挑战是改变人类行为。 我们说'看,这样做,你就会保护你的数据,你会保护你的系统,保护你的业务,你的生计。' 即便如此,许多人仍将努力朝着那个方向前进。”
然而,好消息是诺瓦克指出,组织在网络伙伴关系方面走得更远了。
“以前的心态是组织真的试图在内部完成所有事情,我认为现在我们看到需要更高程度的协作和进步,”他解释道。 “威胁行为者正在这样做,因为它是交流和共享信息的有效方式,我们也可以这样做。 是时候加入广泛的多方威胁情报工作,帮助组织进行事件响应,同时培养强大的合作伙伴生态系统。 我认为这将非常有益。”
Cyware 服务交付高级主管 Bhaven Panchal 表示,这最后的努力还可以帮助组织分享加强防御的技巧和方法。
“组织必须加快其安全流程并填补其环境中的可见性差距,”他指出。 “威胁情报、威胁响应自动化和安全协作的实施将有助于推动这一变化,为所有人打造更具弹性的网络空间。”
边栏:数据泄露风险最大的行业领域
就不同行业的目标而言,Verizon DBIR 发现金融和保险部门最常成为目标,紧随其后的是制造业。 纵向统计如下:
- 住宿和餐饮服务 • 254 起事件,其中 68 起已确认数据泄露
- 教育 • 497 起事件,其中 238 起已确认数据泄露
- 金融和保险 • 1,832 起事件,其中 480 起已确认数据披露
- 医疗保健 • 525 起事件,其中 436 起已确认数据泄露
- 信息 • 2,110 起事件,其中 384 起已确认数据泄露
- 制造业 • 1,817 起事故,其中 262 起已确认数据泄露
- 采矿、采石、石油和天然气开采 + 公用事业 • 143 起事件,其中 47 起已确认数据泄露
- 专业、科学和技术服务 • 1,398 起事件,其中 423 起已确认数据泄露
- 零售业 • 406 起事件,其中 193 起已确认数据泄露
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/threat-intelligence/verizon-dbir-social-engineering-breaches-spiraling-ransomware-costs
