Last Updated @2013-5-5
2013年的DBIR报告终于在4月份出炉啦!这份报告一年做的比一年大。2012年什么最火?当然是APT,那么这份报告对此是浓墨重彩。报告涵盖的内容也更加广泛,涉及到了信息安全的各个方面。
报告的核心观点:知己、更要知彼。真正的主动安全是料敌先机。
这次,Verizon联合了19个组织机构一起撰写这份报告,分析的数据更加丰富和全面,包括了47000多起数据破坏安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。
报告显示,依然有高达92%的数据破坏行为来自外部(2012年是98%),针对大型企业更是高达94%,14%来自内部。特别地,还有19%的数据破坏行为来自国家级别的行为【注:这个我想不必多说了吧】。
利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。
Verizon的建议:
Eliminate unnecessary data; keep tabs on what’s left
这个跟过去两年一样,清除没有必要的数据。
Ensure essential controls are met;regularly check that they remain so.
这个也跟过去两年一样。
Collect, analyze and share incident data to create a rich data source that can drive security program effectiveness.
这个是今年新增的,强调采集、分析和分享事故数据,更好地通过案例分析来帮助研判安全问题。
Collect, analyze, and share tactical threat intelligence, especially Indicators of Compromise (IOCs), that can greatly aid defense and detection.
这个也是新的,强调威胁情报收集、分析和共享。跟RSA的建议一致。
Without deemphasizing prevention, focus on better and faster detection through a blend of people, processes, and technology.
Regularly measure things like “number of compromised systems” and “mean time to detection” in networks. Use them to drive security practices.
Verizon提出了两个指标,一个是被攻破的系统数量,另一个是检测到攻击的平均时间。
Evaluate the threat landscape to prioritize a treatment strategy. Don’t buy into a one-size fits all” approach to security.
If you’re a target of espionage, don’t underestimate the tenacity of your adversary. Nor should you underestimate the intelligence and tools at your disposal。
下图是外部攻击来源的TOP10:
所有攻击中,以经济利益为目的的是主要来源,尤其是罗马尼亚,以及美国和东欧国家。而在紧随其后的目的就是信息刺探,这个几乎都来自中国。下表更加明显。
三类人,明显来自三个地方,目的各不相同,虽然都是信息窃取,但都各自风格鲜明。攻击手法都是以黑客和恶意代码为主。
需要指出的是,Verizon的这个报告收集的材料来自27个国家和地区,不包括中国大陆。
我觉得以金钱为目的的有组织犯罪在中国其实也是十分猖獗的,也许手法比起东欧国家来科技含量可能略低了一些,多以电话诈骗和钓鱼为主,属于社会工程学攻击的范畴,但也有盗取网银/游戏账号的,甚至复制银行卡的(属于物理攻击手法),并有越来越高级的趋势。中国的银行部门每年遭受的损失不在小数。我相信,如果中国也有类似统计机构的话,把它们的数据加入到Verizon的分析样本空间中去,会进一步提升以经济利益为目的的信息窃取事件的比例。还有一点,东欧人的作案对象多为欧美发达国家,而我国的作案对象基本就是国人自身。最后,建议大家自己研究一下ATM skimming技术,这是目前国外排第一位的物理攻击手法。典型的案例,就是在旅游景点设置一个假的ATM提款机,然后你一插入卡,就开始复制你的卡号,并且拍下你的密码。ATM skimmer的生产厂家很多来自中国哦。这是一个全球化的产业链。
黑客主义分子显然更多来自于衣食无忧的西欧和北美,体现为自我能力的展示和某种无政府主义作风,符合马斯洛的需求层次理论,呵呵。
对于中国,主要被冠以国家级的信息刺探的帽子。我猜测,中国肯定也正持续遭受着来自国外的刺探,只是没有报出来,也许并不是为了什么高科技技术,更多是想要知道我们目前重大项目的进展程度。有一点,我们国家的网络建得并不充分,并且是多个物理分离的网络。这从某个角度提升了网络攻击的难度,多要依赖特种木马。
在来自内部的攻击事件中,对于大型企业而言,主要的人群是系统管理员,而针对中小企业主要是收银员,中小企业也是以经济为目的的信息窃取的主要受害者,他们管不好那些背景复杂的收银员。
Verizon还发现,被攻击的目标以前更多的是后台的主机和服务器,但是现在更多的是个人。
Verizon推荐客户采纳SANS的20个关键安全控制措施,并与Verizon自己的VERIS威胁描述框架进行了参照。
Verizon还给出了防范APT攻击的基本思路,包括1)切断攻击的链条;2)采取更主动的技术,加强事前预防和防范;3)加强全员的安全意识培训,防范钓鱼攻击。
【参考】
Verizon:2012年数据破坏调查报告
Verizon发布2011年数据破坏调查报告
Verizon发布2010年数据破坏调查报告