2023年 Verizon 数据泄露调查报告（DBIR）（下）

写在前面：本章主要对VERIS定义的八种事件分类模式做具体说明。

系统入侵

概要        

        这种模式主要是关于专业犯罪人员实施的攻击，他们利用在黑客攻击和恶意软件方面的专业知识来破坏和/或影响不同规模的组织，经常利用勒索软件作为他们赚钱的手段。

事件统计

        随着攻击者利用大量不同的技术来破坏组织，勒索软件继续在这种模式中占据主导地位。

        频率：3966起事件，1944起已确认数据泄露

        威胁攻击者： 外部(96%)，内部(4%)，多重(2%)，合作伙伴(1%)

        攻击者动机： 财务(97%)，间谍(3%)

        数据丢失：其他(42%)，个人(34%)，系统(31%)，内部(24%)

这是我的，这也是我的......

        想象一下，某天早上你走进办公室，却发现了一张令人震惊的电脑桌面图片，来自某个名字令人尴尬的犯罪集团，他们要求用比特币(BTC)换取你所有的数据。作为一个狂热的DBIR读者，希望您应该有最近时间、经过良好测试的备份来进行恢复。然而，如果这些犯罪分子不仅仅是加密你的数据，而且还威胁要泄露你的部分敏感的信息，除非你付钱，那该怎么办?通常情况下，无论我们的防御实践发展得有多快，攻击者也会很快适应。这就造成了一场永久的军备竞赛，没有什么比系统入侵模式更能体现这一点了。

        我们经常将这种模式中的威胁攻击者视为“键盘操作”类型的攻击者。虽然他们可能会利用自动化工具来获得立足点，但一旦进入组织内部，他们就会利用精心磨练的黑客技能来绕过控制并实现他们的目标。他们使用各种工具遍历您的环境，然后调整策略，包括使用网络钓鱼和被盗凭证来获取访问权限，添加后门来维持访问，并利用漏洞横向移动。当我们将其分成三个更小、更容易实施的部分时，我们可以更清楚地看到这些攻击。即初始访问阶段，入侵升级和结果，解释如下。

尝试打开门锁

        我们看到初始访问阶段，占比最高的是黑客攻击服务器，和几乎相同数量的未知操作。在黑客攻击方面，9%的事件涉及利用漏洞，8%涉及使用被盗凭证。当我们只检查包含漏洞利用的事件时，我们发现主要是通过利用Web应用程序漏洞。

        此外，我们看到一些用户设备直接成为攻击目标，我们还观察到大约6%的案例中存在网络钓鱼。网络钓鱼只是提供了另一种入侵手段，要么获取一组可用的凭据，要么在用户系统上部署有效载荷。恶意软件主要通过电子邮件传播，通常以Microsoft Office文档的形式出现。当您考虑到这些文档中的大多数现在都能够在客户机系统上运行代码时，这很有意义，如果您是攻击者，这是非常有用的。必须承认，在许多情况下，我们不知道攻击者使用的确切进入方式。然而，这些利用漏洞、使用被盗凭证和网络钓鱼与前几年的发现非常相似，这再次证明了基本原则的重要性。

嗯，事态迅速升级。

        一旦攻击者获得了对您环境的访问权限，他们通常会寻找方法来提升权限、维护持久性并找到跨组织移动的路径，以实现他们的最终目标——无论目标是什么。对于那些ATT&CK爱好者来说，可能会认为这听起来像是在谈论ATT&CK矩阵。是的，我们是。虽然我们对这些事件有更高的看法，但我们并不总是有遥测技术来准确发现使用了什么手法。下面我们将讨论一些我们可以跟踪的其他黑客技术和恶意软件功能。

        在大约5%的事件中，恶意软件维持了对系统的命令和控制(C2)访问。此外，还有更典型的恶意软件类型，它们可以配置主机、扫描网络和本地转储密码。最后，以防你认为2010年代已经过去了，我们甚至在这个数据集中发现了一些加密挖矿软件。这不足以让我们确认它们重新流行起来，但绝对足以确认某些人仍然认为被入侵的服务器是免费的，可以用来挖矿。

结果

        整个模式中，如此高的依赖安装恶意软件(无论是勒索软件、后门或支付卡skimming malware)，当我们发现服务器安装非法软件作为最常见的属性和资产的组合，我们不应该太惊讶。第二种最常见的是数据泄露，最后一种是丧失可用性，也就是使数据不可读。前三种方法很好地描述了与许多此类攻击相关的步骤，攻击者找到一种方法，在整个组织中安装有效载荷、窃取数据、对系统进行加密，然后离开。

勒索软件

        勒索软件仍然是各种规模组织和行业的主要威胁，在24%的泄露中都有它们的影子。在这些案例中，94%属于系统入侵。虽然勒索软件今年仅略有增加，但它无处不在，可能只是一种威胁，我们必须永远阻止它，91%的行业将勒索软件作为其前三名攻击之一。

        要了解这些攻击是如何发生的，查看勒索软件的攻击方式通常有用。在这种情况下，最常见的方式是电子邮件、桌面共享软件和Web应用程序。电子邮件作为一种载体不会很快消失，方便地发送恶意软件并让用户为您运行它使这种技术长盛不衰。下一个最常见方式是桌面共享软件，这是有道理的，因为这些泄露和事件经常利用一些访问系统的方法。还有什么比使用内置工具(如RDP或第三方软件)为犯罪策划者提供漂亮的图形界面更好的方法吗?

分解 Log4j

        当数据泄露事件报告的作者从睡梦中醒来，开始收集和撰写网络安全领域的所有重大事件时，我们看到，在数据收集结束后，另一个重大的网络安全事件已经慢慢拉开大幕。这首先发生在2020年的SolarWinds，然后历史在2021年的Log4j重演，打开了一个似乎是漏洞的潘多拉盒子。但等待也有一个好处——我们可以看着尘埃落定，并对实际发生的事情提供客观的分析。涉及Log4j漏洞的事件存在大量的不确定性和复杂性。其中之一是，没有人真正了解这次漏洞的全部范围，因为它不仅仅存在单个软件产品中，而是在许多应用和程序(包括商用和开源)使用的库中。

        快速回顾这一事件也许有必要刷新大家的记忆。该漏洞于2021年11月下旬被披露，几天后就开始出现第一批漏洞利用。该漏洞被命名为CVE-2021- 44228，其严重程度达到10分，截至12月底，蜜罐捕获的扫描活动中有0.003%的人主动尝试该漏洞。虽然这个数字看起来很小，但速度相当惊人，按年统计的话，超过32%的Log4j扫描活动发生在其发布后的30天内(活动的最大峰值发生在17天内)。而组织的补丁中位修复时间，目前严重漏洞是49天，这个数字多年来一直保持相对稳定。

        然而，这场灾难可能没有许多人预测的那么严重。在检查DBIR事件数据集时，我们实际上看到了漏洞利用导致事件和破坏的减少，在0.4%的事件中提到了Log4j(不到100个案例)。然而，在检查这些案例时，我们发现Log4j被各种各样的攻击者用来实现各种不同的目标，我们的案例中有73%涉及间谍活动，26%涉及有组织犯罪。考虑到漏洞的性质，允许远程代码执行，我们可以预见到许多与之相关的恶意软件活动，例如后门和下载器来进入额外的主机。最后，在大约26%的案例中，我们看到Log4j被利用作为勒索软件攻击的一部分，这只表明攻击者会利用他们可以得到的任何攻击方式。

        根据我们分析的一些漏洞扫描数据，我们发现8%的组织中出现了易受攻击的Log4j。在其他一些令人惊讶的消息中，我们还发现14%的组织中有更大比例的Log4j安装已经结束生命周期(EOL)，即使它们实际上并不容易受到Log4j的攻击。最后，22%的组织在其系统中有多个(即不止一个)Log4j漏洞实例。

        依赖项中的这种底层漏洞又重新引起了关于软件物料清单(SBOM)的讨论。它的目标是帮助组织理解生成其组织所依赖的软件的所有成分(软件包和库)。在其生态系统中拥有成熟SBOM流程使组织能够快速识别底层库中的漏洞，并帮助将来针对Log4j漏洞的修复过程

可用的CIS控制

        考虑此模式中发现的活动广度，以及攻击者如何利用广泛的技术和策略组合，许多组织应该考虑实施大量的保障措施。包括CIS控制编号在内的一个子集如下：这应该作为建立您自己风险评估的起点，以确定哪些控制措施适合您的组织风险概况。

保护设备

企业资产和软件的配置安全[4]

-建立和维护安全配置流程[4.1]

-建立和维护网络基础设施的安全配置流程[4.2]

-在服务器上实施和管理防火墙[4.4]

-在最终用户设备上实施和管理防火墙[4.5]

电子邮件和Web浏览器保护[9]

-使用DNS过滤服务[9.2]

恶意软件防御[10]

-部署和维护防恶意软件[10.1]

-配置防恶意软件签名自动更新[10.2]

持续漏洞管理[7]

-建立和维护漏洞管理流程[7.1]

-建立和维护修复流程[7.2]

数据恢复[11]

-建立和维护数据恢复流程[11.1]

-执行自动备份[11.2]

-保护恢复数据[11.3] 

-建立和维护隔离的恢复数据实例[11.4]

保护账户

账户管理[5]

-建立和维护一个账户清单[5.1]

-禁用休眠账户[5.3]

访问控制管理[6]

-建立访问授权/撤销协议[6.1]

-对外部暴露的应用程序要求使用MFA[6.3]

-对远程网络访问要求使用MFA[6.4]

安全意识计划

安全意识和技能培训[14]

补充内容，勒索软件说明

        由于我们对勒索软件的主题很感兴趣，我们认为重新审视我们的合作伙伴FBI互联网犯罪投诉中心(IC3)提供的泄露影响数据会很有趣。

        当我们在2021年数据泄露事件报告（DBIR）中回顾这些数据时，我们发现IC3报告的90%的事件没有造成经济损失，但对于剩余的10%，平均损失金额为11500美元，95%的案件损失范围在70美元到120万美元之间。

        在造成损失事件中，中位数增加了一倍多，达到26,000美元，95%的损失范围扩大到1美元到225万美元之间，如果你是一家小企业，这个上限就更可怕了。联邦调查局确实发现，在这种情况下，只有7%的事件有损失，所以这并不全是坏消息。

        现在，在你们中的任何一个人对通货膨胀和经济的基本利率做出刻薄的讽刺之前，这里有一个不寻常的部分：当将同一时期的支付与威胁攻击者结合在一起时，我们得到了一个小得多的中位数- 10,000美元，这个中位数实际上比DBIR团队前两年访问该数据集时要少。这表明，尽管赎金金额较低，但从勒索软件事件中恢复的总体成本却在增加。这一事实可能表明，勒索软件受害者的整体公司规模呈下降趋势。尽管对于那些规模较小的公司来说，威胁攻击者所要求的金额会更小—他们希望得到任何可能得到的钱—但在可能的技术债务背景下，恢复IT基础设施的额外成本会增加他们的总体损失。

        这是一种推测，因为我们没有公司规模数据，在这个数据集中，也不是所有投诉都有相关交易价值数据。即便如此，由于勒索软件运营商的自动化和效率的提高，这也是我们一直期待看到的结果。无论如何，公平地说，治未病强于治已病，因此，我们非常强调在下一次数据被意外加密事件之前，准备好计划和/或事件响应资源的必要性。

社会工程

概要

        社会工程事件比去年有所增加，主要是由于使用Pretexting（假托（pretexting）通常是一个骗局，欺骗者在骗局中假装需要信息来确认对话人的身份。在和目标对象建立信任之后，假托者可能会问一系列问题来收集关键的个人身份信息），这在BEC中经常用到，自去年以来几乎翻了一番。加上这些攻击的频率，在过去几年中，这些攻击中被盗金额的中位数也增加到50,000美元。

事件统计

        因此，网络钓鱼和Pretexting继续主导着这种模式，确保电子邮件仍然是影响个人的最常见手段之一。

        事件频率：1700起事件，928起已确认数据泄露

        威胁攻击者： 外部(100%)，多个(2%)，内部(1%)，合作伙伴(1%)

        攻击者动机： 财务(89%)，间谍(11%)

        数据丢失：凭证(76%)，内部(28%)，其他(27%)，个人(26%)

专业的工程师？

        工程学是数学和物理的完美结合，应用于一个实用而有意义的目的——至少我们是这么被告知的。然而，令我们父母失望的是，我们大多数人并不是工程师，而只是一群绑在打字机上的猴子。

        然而，本节讨论的是另一种对社会不太有用的工程师形式——社会工程师。这种模式关注的是威胁攻击者使用的策略，他们利用我们乐于助人的天性来操纵和伤害我们。这些攻击者使用多种策略来实现这一点：通过制造一种虚假的紧迫感，让我们提供回复或执行操作、假冒权威要求、甚至劫持现有的通信来说服我们披露敏感数据或代表他们采取其他行动。社会工程历史悠久，从基本尼日利亚王子骗局到更难以察觉的骗术。这种增加的复杂性解释了为什么社会工程持续上升，目前占据我们的前三大模式之一(17%的泄露行为和10%的事件中都有社会工程攻击)。

以后请使用这个银行账号

        在将网络钓鱼与更复杂的社会工程形式区分开来时，存在一个常见的误解。如果你没有收到过带有可疑附件或恶意链接要求你更新密码的电子邮件，请举手。没有人吗？是的，我们也是这么想的。这就是网络钓鱼，它占社会工程事件的44%。现在，有谁在社交媒体上收到过朋友或家人急需用钱的电子邮件或直接信息?可能更少。这是社会工程，需要更多的技巧。最具说服力的社会工程师可以进入你的大脑，让你相信你爱的人有危险。他们利用了解到的关于你和你所爱的人的信息来欺骗你，让你相信这些信息确实来自你认识的人，他们用这种虚构的场景来玩弄你的情绪，制造一种紧迫感。数据显示，在社会工程事件中，Pretexting比网络钓鱼更为普遍。然而，当我们查看已确认的泄露行为时，网络钓鱼仍然高居榜首。

        更复杂的社交攻击之一是商业电子邮件入侵（BEC）。在这些Pretexting攻击中，攻击者利用现有的电子邮件和上下文要求收件人执行相对常规的任务，例如更新供应商的银行帐户。然而，细节决定成败，新的银行账户属于攻击者，所以受害者向该账户支付的所有款项将不会对他们欠供应商的款项产生任何影响。这些类型的攻击通常很难检测到，因为威胁攻击者在攻击之前已经奠定了基础。例如，他们可能已经建立了一个与请求方非常相似的相似域，甚至可能更新签名块，以包含他们的号码，而不是他们假装代表的供应商。这些只是攻击者为了掩盖他们痕迹而做出的众多微妙变化中的两个，尤其是那些不断受到类似合法请求轰炸的人。也许这就是BEC攻击在我们的整个事件数据集中几乎翻了一番的原因之一，并且现在在此模式中占50%以上的事件。

        攻击类型似乎对点击/打开率没有太大影响。附件和链接活动的平均失败率分别为4%和4.7%，数据输入活动的中位点击率为5.8%(尽管数据输入率为1.6%)。

不显眼的开始

        由于此模式主要基于以人为目标的攻击，因此该模式中的初始操作将是某种形式的网络钓鱼或伪造电子邮件是有道理的。事实上，仅电子邮件就占了这些事件的98%，偶尔还有其他通信方式，比如电话、社交媒体或一些内部消息应用程序，有些人可能会懈怠。

两条路分道扬镳

        初始邮件之后发生的事情往往是事情分道扬镳的地方。攻击通常有两条主要途径。最常见的情况是，如果攻击者正在请求凭证并获得凭证，那么他们将利用这些凭证访问用户的收件箱(在32%的事件中发现了这些凭证)。很少有人走的路是，通过简单地使用电子邮件通信，攻击者能够编造一个可信的故事(尽管是虚构的)来说服某人为他们做事。例如，在56%的诈骗事件中，说服某人为声称的收件人更改银行账户的几率很高。当然，也可以使用多种战术组合。攻击者可以利用他们获得的访问用户收件箱的权限来寻找他们可以劫持的电子邮件链，或者搜索受害者的地址簿，以找到可以进一步攻击的人。攻击者添加转发规则以确保其活动尽可能长时间不被发现的情况非常常见，这就是为什么……。

时间很重要。

        在响应社会工程攻击(大多数攻击也是如此)时，快速检测和响应是关键。BEC的中位成本不断上升，突显了及时检测的重要性，该成本自2018年以来稳步上升，目前徘徊在50,000美元左右。然而，与我们所处的时代不同，这部分并非都是厄运和阴郁。对受害者来说幸运的是，执法部门已经制定了一套程序，通过该程序，他们可以与银行合作，帮助追回从BEC等攻击中被盗的资金。超过50%的受害者能够追回至少82%的被盗资金。这说明了确保他们的员工愿意向安全部门报告潜在事件的重要性，因为他们这样做的意愿极大地提高了组织的响应能力。考虑到这一点，我们鼓励公司放弃“持续测试网络钓鱼，直到点击率得到改善”的立场，并采取更合作的方式来确保安全。

可用的CIS控制

        在面对这种复杂的威胁时，需要考虑大量的控制措施，所有这些措施都有利有弊。由于此模式和人为因素强烈相关，许多控制措施都有助于帮助用户检测和报告攻击，以及在用户成为网络钓鱼诱饵的受害者时保护其用户帐户。最后，由于执法部门在应对BEC方面发挥的作用非常重要，准备好计划及联系方式非常重要。

保护帐户

帐户管理[5]

-建立和维护帐户清单[5.1]

-禁用休眠帐户[5.3]

访问控制管理[6]

-建立访问授予过程[6.1]

-建立访问撤销过程[6.2]-

-外部暴露的应用程序需要MFA[6.3]

-远程网络访问需要MFA[6.4]

安全意识计划

安全意识和技能培训[14]

虽然不属于CIS控制，应特别关注BEC和与更新银行账户相关的流程。

事件响应管理

事件响应管理[17]

-指定人员管理事件处理[17.1]

-建立并维护报告安全事件的联系信息[17.2]

-建立并维护报告事件的企业流程[17.3]

BEC为什么有效？

        就像勒索软件一样，它是通过访问组织网络来赚钱的，BEC只是犯罪分子通过访问用户的收件箱和联系人来赚钱的众多手段之一。

• BEC可以在内部进行攻击，这意味着攻击者将利用被入侵员工的电子邮件帐户，通过冒充用户来攻击他们自己的组织。我们经常看到攻击者试图将工资存款重定向到他们控制的帐户中。

• 或者，攻击者可以通过访问员工的电子邮件帐户来瞄上合作伙伴，这样他们就可以冒充该用户并请求更新付款，以便引入他们自己的银行帐户。

基本的Web 应用攻击

概要        

        虽然这些泄露和事件约占我们数据集的四分之一，但它们往往主要是由针对凭证的攻击驱动的，攻击者随后利用这些被盗的凭证访问各种不同的资源。

事件统计

        错误选择和保护不当的密码仍然是这种模式中泄露的主要来源之一。

        频率：1404起事件，1315起已确认数据泄露

        威胁攻击者：外部(100%)，内部(1%)，多重(1%)

        攻击者动机：财务(95%)，间谍(4%)，娱乐(1%)

        数据丢失：凭证(86%)，个人(72%)，内部(41%)，其他(19%)

谁做的？

        虽然将泄露背后的威胁攻击者想象成线索游戏中的角色可能会让我们的生活变得有趣一些，但更有可能是使用被盗凭证或某些众所周知的漏洞的普通人。

        此模式占我们泄露行为的25%，主要包括利用被盗凭证和漏洞来访问组织的资产。有了这个通行令牌，攻击者就可以做各种各样的事情，比如窃取隐藏在电子邮件中的关键信息，或者从存储库中获取代码。虽然这些攻击并不复杂，但它们确实有效，并且一直是我们数据集中相对稳定的一部分，这促使我们再次讨论多因素身份验证(MFA)和补丁管理的重要性!

初始访问

        86%的泄露涉及使用被盗凭证。还有什么地方比在各种包含我们敏感信息的网络服务器上使用这些凭证更好呢?这个模式中的另一个主要难题是漏洞利用。在这种情况下，攻击者发现了一个漏洞，而受害者恰好有这个漏洞(对犯罪分子来说很方便)。这种情况通常只占约10%的数据集，虽然这泄露数量看起来不值一提，但未修补的漏洞仍然是许多攻击者的主要来源，今年有50%的组织经历了超过39次的Web应用程序攻击。

        运行这类攻击的优势之一是自动化攻击服务器从不疲倦，从不休息，它只是不停地向每个人扔漏洞，不分昼夜——不像可怜的网络安全分析师，每天至少需要四杯咖啡和九个小时的睡眠。

泄露升级

        尽管我们将这些攻击称为“基本”攻击，但它们并不是简单的“一蹴而就”的事件，即利用凭据攻击Web应用程序，然后攻击者就可以为所欲为了。通常会有某种中间步骤，例如，恶意软件通常是维护持久性的主要手段之一，在大约2%的事件中存在后门或C2。在其他情况下，攻击者将利用他们当前的访问权限进行额外的攻击。

影响

        关于影响，我们通常看到，继Web应用程序之后，邮件服务器是攻击者的首选目标之一。这是有道理的，因为隐藏在我们的收件箱里的数百封未读邮件中，往往有关键的内部文件(41%的泄露涉及邮件服务器)，或者不幸的是，其他系统的凭证。该模式的调查结果表明，攻击者可以使用简单的收件箱挖掘策略访问内部数据(41%)、医疗数据(6%)甚至银行数据(6%)(再次提醒我们良好的电子邮件和服务器安全的重要性)。

你不能只吃一个

        你很少听人说：“如果我需要记住更多的用户名和密码就好了。”凭证就像沙漠里的沙子一样无处不在，而且几乎很难抓住。威胁攻击者似乎也有充足的供应。然而，我们的数据中缺少的是，当涉及到偏见和局限性时，我们试图弄清楚，我们不一定知道所有这些凭证来自哪里。但我们DBIR团队喜欢猜谜。是管家干的吗?外星人真的存在吗?雪人呢?鬼吗?有强烈职业道德的人?唉，我们可能永远不会知道。我们也可能永远不知道犯罪分子最初是从哪里获得凭证的。我们可能对获取凭证的不同方式有一个很好的想法，例如从通过社会工程获得凭证的密码窃取者那里购买凭证，甚至在暴力攻击中破解它们。我们不知道的是它们各自造成了多少次泄露和事故。正如一句古老的谚语所说：“我们只见树叶，未见森林。”

        然而，也不全是坏消息。尽管有很多方法可以窃取凭证，但我们也有很多方法来保护它们。最好的方法之一是使用MFA。在你斜靠在椅子上，对我们说“嗯，实际上……”之前，我们确实意识到一些MFA实现是有局限性的。毫无疑问，你也知道，今年一些非常引人注目的泄露行为使用社会工程来说服用户接受身份验证尝试。在其他情况下，他们窃取会话cookie并用它来伪装成用户。当然，有些MFA绕过并没有真正绕过MFA，因为有些服务没有正确配置为只使用MFA。如上所述，我们目前无法告诉您每种产品的数量，因为我们需要更新标准VERIS并收集数据。虽然这将是一个极好的机会，最终得出评分和讨论哪个MFA更好，哪些被绕过的最多，或许我们明年能告诉您。

珍·伊斯特，Cisa主管

        作为国家网络防御机构，网络安全和基础设施安全局(CISA)了解我们国家的对手如何运作以及他们使用的工具。虽然其中一些攻击者使用了先进的工具和技术，但大多数攻击者利用了未修复的漏洞、糟糕的网络健康或组织未能实施MFA等关键技术。可悲的是，只有在经历了数据泄露之后，才知道MFA的价值。

        自从加入CISA以来，我就把提高所有部门的MFA意识作为优先事项，以更好地保护我们国家的关键基础设施。重要的是，我们需要更多更好的数据来了解我们在网络中面临的威胁的范围和解决方案，我们呼吁我们的行业合作伙伴提供彻底的透明度，让我们的防御者者更好地看到、理解并最终保护我们的公民、客户和公司。特别是，系统管理员和软件即服务(SaaS)员工等“高价值目标”使用防网络钓鱼的MFA是至关重要的。

        但更多更好的信息仅仅是个开始。

        通过合作，我期待看到我们可以一起做些什么，使我们的国家更有弹性、更安全、并显示出可衡量的进展……包含在明年的Verizom数据泄露调查报告中。

可用的CIS控制

通过保护帐户来减少被盗凭证

帐户管理[5]

-建立和维护帐户清单[5.1]

-禁用休眠帐户[5.3]

访问控制管理[6]

-建立访问授予过程[6.1]

-建立访问撤销过程[6.2]

-对外部暴露的应用程序要求MFA[6.3] 

-对远程网络访问要求MFA[6.4]

减轻漏洞利用

持续漏洞管理[7]

-建立和维护漏洞管理过程[7.1]

-建立和维护修复过程[7.2]

-执行自动操作系统补丁管理[7.3]

-执行自动应用程序补丁管理[7.4]

如果您碰巧对我们如何更新VERIS以捕获绕过MFA的攻击感兴趣，请查看以下列表:

1. 增加了一个新的动作来指示二级认证机制的接管(劫持)。

2. 添加了一个新的数据类型——多因素凭证——以指示是否捕获了凭证以外的其他因素。

3. 针对那些向用户发送令人讨厌的身份验证请求的攻击，添加了Prompt Bombing的社会类型。

        希望我们现有的枚举和这些新枚举的结合，将捕获我们遇到的大多数情况。如果没有，我们将在下一个版本的VERIS中重新检查我们的枚举。

杂项错误

摘要

        错误交付、错误配置和发布错误仍然是头条新闻，导致泄露的错误通常是由系统管理员和开发人员犯下的。

事件统计

        员工不断犯错，有时会对组织造成相当大的损害。

        频率： 602次，512次确认数据泄露

        威胁攻击者： 内部(99%)，合作伙伴(2%)，多个(1%)，外部(1%)

        数据丢失：个人(89%)，医疗(19%)，其他(10%)，银行(10%)

如今你找不到好的帮助

        伟大的英国诗人和散文家亚历山大·蒲柏(Alexander Pope)曾打趣说：“很难雇到不会把事情搞砸的人。”好吧，它或多或少是沿着这条线——只要相信我们的话。不管谁说了(或没说)什么，杂项错误模式继续构成我们泄露数据的相当一部分。如果你是“乐观”的读者，你可能会对以下事实感到欣慰：与失误相关的数据泄露率从去年的13%降至今年的9%。如果你是一个“悲观”的读者，你可能会简单地将其归因于报告，自去年以来，我们发生了715起错误事件，708起已确认数据泄露，而今年则发生了602起事件，512起已确认数据泄露。

这是我最喜欢的错误

        也许“最喜欢”这个词太过强烈。在我们的数据集中，错误交付(将某些内容发送给错误的收件人)占泄露相关错误的43%。发布错误(将内容呈现给错误的受众)排在第二位，占23%。最后，懒人最喜欢的行为类型“错误配置”排在第三位，占错误相关违规行为的21%。这可能会诱使我们认为人是不可靠的——打消这种想法。况且你可以依靠他们，通过改变他们的错误来帮助你保持警觉，至少让事情变得有趣

        事实上，在过去的几年里，错误配置和错误交付的现象起起落落，就好像它们是天体精心编排的舞蹈的一部分。在去年的报告中，错误交付(Misdelivery)和错误配置(Misconfiguration)融合在一起，但今年错误交付(Misdelivery)占据了优势，发布错误(Publishing error)继续和错误配置(Misconfiguration)一起下滑。如果我们再深入一点，很容易看到，这三种错误类型以很大的优势赢得了人气竞赛。

        导致泄露的大多数错误是由开发人员和系统管理员以及少量最终用户犯下的。鉴于在泄露中最常发现的错误操作类型，那些对维护数据和维护环境负有更多责任的人也是最经常负责的人，这一点也不奇怪。说到责任，粗心大意的错误方式出现在98%的案例中。

可用的CIS 控制

控制数据

数据保护[3]

-建立和维护数据管理流程[3.1]

-建立和维护数据清单[3.2]

-配置数据访问控制列表[3.3]

-强制数据保留[3.4]-安全处置数据[3.5]

-基于敏感性分段数据处理和存储[3.12]

-部署数据丢失预防解决方案[3.13]

保护基础设施

持续漏洞管理[7]

-对外部暴露的企业资产进行自动漏洞扫描[7.6]

应用软件安全[16]

-在应用基础设施中使用标准加固配置模板[16.7]

-在应用程序架构中应用安全设计原则[16.10]

培训员工

安全意识和技能培训[14]

-对员工进行数据处理最佳实践培训[14.4]

-培训员工了解意外数据暴露的原因[14.5]

应用软件安全[16]

-培训开发人员应用程序安全概念和安全编码[16.9]

拒绝服务攻击

概要

        由于拒绝服务继续在我们的事件中占主导地位，因此缓解服务的能力也是如此。然而，低容量攻击的死灰复燃仍然会给企业带来问题。

事件统计

        拒绝服务攻击仍然无处不在，并且多年来一直是事件攻击的首选。

        频率：6248次事件，4次确认数据泄露

        威胁攻击者：  外部(100%)

我们不会拒绝

        顾名思义，拒绝服务模式涵盖了所有那些试图阻止观看下一部TikTok电影或在twitter上加载时间轴的攻击。可悲的是，显然，所有这些都让我们不得不承认现实世界和周围的人中令人讨厌的东西。我们都同意，那确实很可怕。

        然而，正如我们的一些读者可能知道的那样，为了开展业务，组织实际上仍然需要互联网的建立和运行。每年，拒绝服务都会以大量事件的形式出现在我们的数据集中，这些事件来自几个不同的缓解服务合作伙伴，包括Verizon自己的。他们在防止这些事件对组织产生任何重大影响方面都做得很好。从这个角度来看，尽管拒绝服务模式在过去几年中一直占据事件的首位，但除了我们通常的建议(如果您关心您的网络存在的持续可用性，请投资某种缓解服务)之外，这里确实没有太多的细微差别需要讨论。这并不是因为拒绝服务数据集总体上缺乏细微差别，而是更多地反映了缺乏我们传统上分析的典型细节，如攻击者、资产和属性。尽管如此，我们还是觉得不应该拒绝我们的读者的拒绝服务部分，因为仍然有重要的趋势和信息需要审查。重要的是要意识到它们仍然存在，即使你可以很容易地解决它们。此外，可以稍作喘息，不必像勒索软件那样，写上好几页。

我们需要更大的管道

        我们应该提到的一个重点是拒绝服务攻击的中位数增长，这是可以预期的，因为带宽和CPU处理的成本变得更容易获得，并且表明了攻击者和缓解服务之间不断升级的竞争难以打破的趋势。只要确保你的合同服务能够跨越这个障碍，大多数影响就会被吸收。打开一杯冷饮，让机器像变形金刚一样战斗到底，而你则担心所有其他的攻击模式会困扰你的公司。

        即使我们网络中的垃圾流量在增长，一些攻击也有更微妙的触感。我们的一些合作伙伴告诉我们，分布式DNS Water Torture攻击的增长，你猜对了，是在共享DNS基础设施中。这基本上是一种资源耗尽攻击，通过在DNS缓存服务器上查询随机名称前缀来完成，因此它总是错过并将其转发给授权服务器。当你想到它的时候，这相当愚蠢，但它通过整合威胁攻击者控制的设备，可以是一个沉重的负担。请确保检查DNS基础设施的弹性，并检查缓解服务的选项，以确保您也受到这些攻击的保护。

丢失和被盗的资产

概要

        对于组织来说，这种模式仍然是一个问题，因为这些小型设备非常便携。我们已经看到它们存储大量数据的能力随着时间的推移而增加，而员工遗漏(或外部攻击者窃取数据)的能力仍然是可以预见的普遍现象。

事件统计

        设备和媒介更有可能被内部人员丢失，而不是被外部攻击者窃取。

        频率：2091起事件，159起已确认数据泄露

        威胁行为者：外部(92%)，内部(68%)，多重(60%)，合作伙伴(1%)

        攻击者动机： 财务(100%)

        数据丢失：个人数据泄露(87%)，医疗(30%)，其他(21%)，银行(13%)

我的笔记本电脑去哪儿了?

        这种模式的标题是“你的东西不见了”，这不是真正的新闻快讯。无论丢失的物品是有人“帮助”，还是偶然的，比如机密文稿被误放在政府高级官员的住所，资产越便携，就越需要保护，以防丢失和被盗。

        在这种模式下，我们看到很多事件没有导致确认的数据泄露——很大程度上是因为机密披露的状态仍然是“处于风险中”，而不是由于失去对相关资产的保管而“确认泄露”。打印材料是个例外，因为打印后不存在任何手段来屏蔽文档。与去年类似，我们只有不到10%的事件被确认为数据泄露。

        虽然设备被盗对企业来说无疑是一种风险，但员工更有可能因损失而意外造成数据泄露。这一事实年复一年都是如此。

        你可能会问，丢失了什么?不出所料，就是便携式用户设备，如笔记本电脑和移动电话。事实上，手机已经成为一种相当普遍的商品。考虑到似乎从来没有人把它们放下，很难相信有这么多电话丢失。

可用的CIS控制

保护静止数据

数据保护[3]

-加密终端用户设备上的数据[3.6]

-加密可移动媒介上的数据[3.9]

企业资产和软件的安全配置[4]

-在便携式终端用户设备上强制自动设备锁定[4.10]

-在便携式终端用户设备上强制远程擦除功能[4.11]

权限滥用

概要

        您的员工继续使用他们的访问权限进行泄露行为，在某些情况下，还会发起欺诈性交易。今年，我们看到了更多不同类型的参与者之间的勾结。

事件统计

        根据定义，这种模式继续以内部参与者为主。大多数人的动机是为了经济利益，个人数据仍然是最受欢迎的目标。

        频率：406起事件，288起已确认数据泄露

        威胁攻击者： 内部(99%)，多重(7%)，外部(6%)，合作伙伴(2%)

      攻击者动机：财务(89%)，怨恨(13%)，间谍(5%)，便利(3%)，好玩(3%)，意识形态(2%)

       数据丢失： 个人(73%)，医疗(34%)，其他(18%)，银行(12%)，支付(12%)

我的员工爱我!

        人们可能认为他们在某种程度上不受数据泄露的影响。他们可能会相信他们的安全控制，认为他们有惊人的、坚不可摧的防御。他们可能相信“在雷达下飞行”，或者认为他们太小，不会有泄露行为。但这种想法在很大程度上假设泄露行为来自外部，来自组织外部的“恶意攻击者”。他们没有考虑到的是内部泄露的风险。“当然，我的人不会那样做!”他们说。

        一个难以面对的事实是，我们的一些员工也会出于恶意而造成数据泄露。最常见的非意外的内部员工泄露是权限滥用。这听起来就像员工滥用他们被赋予的访问权限来窃取数据。他们更有可能为了自己的经济利益而这么做。我们知道，这很令人震惊。

我们帮助自己

        我们已经讨论过您的员工实施这些行为，但我们的“一览”表显示，我们在这种模式中看到了其他类型的威胁攻击者。有趣的是，我们在7%的漏洞中发现了多个威胁参与者(内部、外部、合作伙伴——这三者的某种组合)。这是一种合谋——多种行为者共同努力导致数据泄露的证据。

        事实上，我们已经看到有组织的诈骗团伙派人应聘，目的是被企业雇佣，以促进大规模诈骗。我们在许多行业都看到过这种情况，并且它已经持续困扰组织多年。这些人很难被发现——他们的表现和审查可能令人信服。这种出于经济动机的犯罪集团的做法，促使您的侦探控制到位，以抓住这些人正在启用的不适当访问变得更加重要。应对此类事件的困难之一是，没有一家公司的入职流程是完美的，大多数入职都涉及将新员工加入不同的团队和系统，而这些团队和系统并不总是由IT部门直接控制。这些调查通常会揭示IT基础设施中与流程相关的弱点。

        我们越来越多地看到权限滥用泄露与欺诈性交易相结合，今年比过去几年更多。欺诈性交易是一种破坏完整性的行为，是BEC的最终目标，通常是将资金转移到威胁攻击者控制的银行账户。但是，由于内部参与者已经可以访问存储银行帐户和路径信息的系统，因此他们可能只是自己进行银行信息更新。考虑到它可能是一个从组织中吸走大量资源的人，看到内部人员越来越多地重新分配资金尤其令人担忧。

行业

        如果你是一个新读者，你可能会发现这篇介绍有些用处。另一方面，如果你是一个长期的读者，那就继续阅读吧；这些都是熟悉的领域。2023年的DBIR调查了16312起事件，其中5199起被确认为数据泄露。在接下来的章节中，我们将从各自行业的角度来看待这两者。持续攻击一个行业可能根本不会影响到另一个行业。攻击面、特定威胁攻击者的兴趣以及特定行业所依赖的基础设施都在他们如何经历安全事件中发挥着重要作用。行业处理的数据的类型和数量、人们(客户、员工等)如何与之交互、以及许多其他无法提及的因素也将决定每个行业遭遇的攻击类型。

        一个商业模式完全专注于移动设备及其应用程序的大型组织，自然会与一个不需要互联网、使用PoS机供应商来管理系统的非常小的企业有不同的风险。基础设施，也就是攻击面，在很大程度上驱动了风险。

        因此，我们提醒我们的读者不要根据一个行业报告的漏洞或事件的数量来推断某个特定行业的安全状况(或缺乏安全状况)。这些数字受到几个因素的严重影响，包括数据泄露汇报法律和合作伙伴的情况。正因为如此，一些行业的数字非常低，并且对于任何小样本，我们必须建议读者，我们对任何来自小数字的统计数据的信心也一定更低。

        如果您阅读本文只是为了了解您的行业，我们的建议是验证每个行业的汇总表中最重要的模式是什么，并花一些时间阅读这些模式部分。

        本章共涉及酒店，管理，农业，建设，教育，娱乐，金融，医疗保健，信息，管理，制造业，矿业，其他服务，专业，公共行政，房地产，零售，交通运输，实用程序，批发贸易，未分类等行业。

（完）