Verizon发布2011年数据破坏调查报告

2011年4月19日，Verizon发布了2011年度的数据破坏调查报告（DBIR）。今年的报告除了继续与USSS合作外，还引入了荷兰的国家高技术犯罪小组（NHTCU）的支持。相比于去年甚至是2009年的报告，最明显的一个变化就是遭受破坏的记录数量急剧下降，从2009年的361万笔，到2010年的144万笔，再到今年的400万笔。于此相反的是，发生信息破坏的次数却急剧上升，比去年翻了五倍，达到760次。Verizon的报告分析认为，这主要是因为攻击者从原来的获取诸如信用卡账号这类海量信息转向了获取数量较少但是价值更高的知识产权信息。同时，由于获取的信息少，这种破坏行为隐蔽性更高。
报告同时显示，数据破坏的攻击源主要还是来自于外部，甚至达到了创纪录的92%。黑客和恶意代码是主要的攻击行为。
根据2011年DBIR报告，给用户的建议是：

• Eliminate unnecessary data; keep tabs on what's left
• Ensure essential controls are met
• Check the above again
• Assess remote access services
• Test and review web applications
• Audit user accounts and monitor privileged activity
• Monitor and mine event logs
• Examine ATMs and other payment card input devices for tampering

对比一下2010年的建议：
 

• Eliminate unnecessary data; keep tabs on what’s left
• Ensure essential controls are met
• Check the above again
• Test and review web applications
• Audit user accounts and monitor privileged activity
• Filter outbound traffic
• Monitor and mine event logs

可以看出，监视和分析日志依然在列！此外，增减了对诸如ATM在内的物理设施加强安全防护的建议，以及对远程访问服务的控制。

DBIR报告还详细给出了日志管理与分析的建议，主要包括：
 

1. Enable application and network witness logs and monitor them
2. Define “suspicious” and “anomalous” (then look for whatever “it” is)
3. Change your approach to event monitoring and log analysis

最后，我想说，Verizon经过多年的调查，形成了一套自己的方法论，其中，对于突发安全事件的VERIS分类模型，是很有意义的一项工作，具有很高的参考价值。VERIS框架，连同OWASP的ASDR项目，我以后还会多次提到。

【参考】Verizon发布2010年数据破坏调查报告