深度分析6萬起數據泄露事件:事件增多規模擴大但披露減少
責編:gltian |2021-02-20 11:21:16黑客贏了,而受害者在跟數據泄露通知法案斗智斗勇。
威脅情報平臺提供商HackNotice分析了過去三年來6萬多份數據泄露報告,分析結果頗為令人不安,包括數據泄露事件增長速率驚人,以及官方數據泄露通知數量相對下降。
在分析中,HackNotice仔細審查了2018至2020年間公開報道的67,529起數據泄露事件。報告來源如下:
黑客披露的數據泄露報告(41,030),包含源自被黑公司的數據。
新聞報道(15,219),也就是最先由在線新聞服務通報的數據泄露報告。
由于最先由黑客披露的數據泄露事件比由新聞服務披露的黑客事件多2.7倍,公司企業想要監控自身或供應商的數據泄露事件,與其關注新聞報道,不如監視暗網。
勒索軟件(988),受害者拒絕支付贖金而遭黑客泄露數據的那種。
這一數據并非成功勒索軟件攻擊的數量,而僅僅是因為雙重敲詐攻擊越來越頻繁而拒絕支付贖金的公司企業數量。此類數據泄露事件通告首發于2020年4月,但到了2021年1月,這一數字上升到了近1,000。也就是說,雙重敲詐勒索軟件攻擊數量持續上升,且該勢頭在2021年及以后仍將繼續。
網站污損(2,243),也就是黑客入侵網站并篡改內容以茲證明。
網站污損一直以來都是激進黑客用來表明自身政治或道德觀點的慣用手法。十年前這種手法十分盛行,但近幾年似乎流行趨勢略減。不過,據HackNotice介紹,2019年7月開始,網站污損卷土重來,2020年4月就急速增多了。考慮到近年來紛繁復雜的地緣政治形勢,這一現象毫不令人意外。
很難說這種情況會不會持續,但反映出國家和國際地緣政治狀態是一定的。無論在政治敏感領域還是道德敏感領域做生意,公司企業都應多加注意保護自家網站不受污損攻擊侵害。
官方披露(9,131),即數據泄露事件上報官方消息源并披露,比如在司法部(DOJ)和衛生與公眾服務部(HHS)官網這種國家級網站上公布。
有趣的是,只有13.5%的數據泄露事件是通過官方渠道報告的,這個比例可算不上高。而且,分析開始時通過官方渠道報告的比例還高達25%。
HackNotice位于得克薩斯州奧斯汀市,是成立于2018年的一家初創公司。其CEO兼聯合創始人Steve Thomas向媒體透露:“我們從成百上千個消息源收集黑客事件通知(數據泄露、網站污損、勒索軟件等等),全天候刮取官方數據泄露披露網站、勒索軟件披露站點、API、推特賬號和話題標簽等等。所有這些事件都進入隊列,由安全研究員逐個審核。我們去除掉噪音,識別出真正遭入侵的公司企業,將這些真實的事件錄入我們的系統。我們采用機器學習分析每起事件的披露聲明,識別到底暴露了什么數據。”
2018到2020年間的數據泄露事件新分析有兩個事實尤為有趣:黑客成功入侵案例平穩增長,而通過官方渠道披露的數據泄露事件比例下降。
2018年,HackNotice發現了29,562起上報的數據泄露事件。到2019年12月,披露的數據泄露事件總數升至44,863起,一年增長了51.7%。來到2020年12月,事件總數增至67,529,一年增長50.5%。從絕對數字看,2019年全年新增15,301起,2020年全年新增22,666起。
于是問題來了:我們不斷增加安全預算,不斷采用更多更高級的安全產品,為什么黑客的成功率還在節節上升?
Thomas認為,這是因為公司企業將防御集中在了錯誤的領域。他說:“黑客在網絡戰中高歌猛進,很大程度上是因為他們不針對基礎設施,而是對人下手。網絡釣魚、憑證填充、通過接管個人賬戶染指企業賬戶……所有這些主要攻擊方法都依賴普通員工對自身暴露程度毫無所覺的事實,而且他們也遠遠不像安全團隊那么重視網絡安全。”
其他安全專家持有類似觀點。Josh Angell是弗吉尼亞州福爾斯徹奇市nVisium公司的應用安全顧問,他表示:“人為失誤依然是大部分數據泄露事件的主要原因,只要維護這些網絡與系統,能訪問公司電子郵件和敏感客戶數據的人,不遵循行業最佳實踐,那再多的工具和安全編碼操作也無濟于事。”
加利福尼亞州圣何塞Netenrich公司首席信息安全官Brandon Hoffman解釋道:“很多因素造成了數據泄露事件增多。其中一些確實與對手的聰明才智相關,但大多數事件是基礎安全的偏差所造成的。安全工具飛速發展,但作為一門學科,安全的重點似乎仍然更多地放在先進工具的使用上這就造成了時間和資源上的問題。”
舊金山Digital Shadows公司威脅情報團隊主管Alec Alvarado總結道:“惡意黑客之所以常勝,僅僅是因為他們堅守實測有效的方法。即使部署最全面的網絡安全實踐,手握數百萬美元的網絡安全預算,這種強大的安全團隊仍會敗于精心編造的一封網絡釣魚電子郵件,或是千里之堤潰于區區一個弱密碼。”
事實昭然若揭。雖然黑客變得越來越高端,但防御者可能花了太多時間和精力在閃亮新玩具上而忽略了搞好基本安全措施。
HackNotice的研究還揭示了另一個值得注意的結論:通過官方渠道披露的數據泄露事件數量下降了。考慮到國內和國際數據泄露通知法律紛紛出臺的大背景,數據泄露事件披露數量下降令人頗為驚訝。HackNotice首席執行官Thomas將此明顯異常的原因歸結為各州的數據泄露法案,這些州法案常允許被黑公司在30天或更長時間后才發布數據泄露通告。
Thomas稱:“美國并未就數據泄露通知設立聯邦法案,你不得不遵循各州的法案。然而,每個州的法案都不一樣,而且州法案允許被黑公司在30天或更長時間后才披露數據泄露事件。新聞媒體、勒索軟件和昂展污損團伙早就在官方通知之前披露了,我們只能坐視官方披露所占份額節節下降。”
不拖延到最后一刻不披露數據泄露事件幾乎就是在玩弄司法系統。Netenrich首席信息安全官Hoffman對此表示認同:“我們安全行業也懷疑這其實是在嘲弄數據泄露通知法案,或者說盡最大努力濫用通知期限來美化公司圖景,蒙騙投資人和公眾。換句話說,如果公司被黑,法定通知窗口期為90天,那他們會用足89天來最大程度地診斷和清理,這樣到了不得不披露的那天,就可以宣稱問題已經全都解決了。”
nVisium應用安全顧問Angell補充道:“遭遇數據泄露時,數據泄露通知法案不保證公司企業每次會愿意為披露數據泄露而犧牲投資人的信任或甘冒法律訴訟的風險。”
Digital Shadows威脅情報團隊主管Alec Alvarado對此還有個很有意思的補充。他承認當前的通知法案給了公司企業避免影響股價和品牌形象的回旋余地,但補充道,“我們經常聽說哪家公司宣布‘遭遇了網絡安全事件,但并無跡象表明數據被滲漏’。很多情況下這種說辭經不起推敲,因為這不符合黑客的典型動機:都坐擁網絡了還不拉取數據或找到變現訪問權的方法?”事實上,每當聽到“網絡安全事件”,我們應該自動猜測“可能出現了數據泄露”。
HackNotice對過去三年間6萬多起數據泄露事件的分析,揭示了過去的錯誤做法和現象,強調了未來網絡安全攻擊和防御的趨勢。最重要的是,這份分析顯示出網絡罪犯在攻防戰中占據了上風。公司企業至少應該夯實基本安全措施,而不是一味在最新、最具噱頭的產品上砸錢。
分析還指出,如果掌握自家網絡上當前正在發生的事很重要,那通過威脅情報監視暗網比關注新聞推送來得準確多了。此外,當前的數據泄露通知法案并沒有真正實現立法的初衷。
來源:數世咨詢