2017年数据泄露6大趋势 IBM发布2017数据泄露报告 来自235起数据泄露事件

2017年似乎安全行业都忙着处理最新公开披露的数据泄露攻击。这些事件又大又糟糕,很多企业开始担心同样的事会发生在自己身上。IBM X-Force发布2017数据泄露报告,报告跟踪235起公开披露的2017年数据泄露事件,趋势包括网络钓鱼攻击和漏洞修复不及时或失效,劫持各种设备的僵尸网络、配置不当的云服务器和加密货币攻击。所以大家应该尽快看看这些近期攻击事件的模式,从而了解并避免被卷入到攻击事件中。

2017年数据泄露事件中六大数据攻击趋势

通过跟踪2017年的235起公开披露的数据泄露事件,IBM X-Force发现了六大主要趋势。其中一些是我们多年来一直强调的趋势,例如网络钓鱼攻击和漏洞修复不及时或失效。其他则是新的、不断增长的趋势,例如劫持各种设备的僵尸网络、配置不当的云服务器和加密货币攻击。

12017IBM X-Force跟踪调查235起安全事件攻击记录达2800亿条来源IBM X-Force

下述安全事件仅是每个攻击趋势的一些示例,顺序不分先后,并提供了一些缓解提示,其中一些属于基本安全常识。我们可以从这些事件中吸取教训,安全专业人员应密切注意显著的趋势,因为这可能是其自身环境中备受关注的领域。

1. 各种僵尸网络攻击其它设备

当数百万系统被巨大的远程漏洞利用,然后被用作僵尸网络发起分布式拒绝服务DDoS攻击或感染不知情的用户时,这时会发生什么情况呢?

2017年8月,由六家技术公司组成的财团联手收购了WireX(WireX这是由数以万计的安卓设备组成的僵尸网络),用来对酒店发起破坏性的DDoS攻击。这些脆弱的系统已被Google Play商店内的300多种看似良性的应用程序感染,包括视频播放器、文件管理器和铃声。所有这些应用程序均包含隐藏代码,可被激活用于恶意目的。

Mirai僵尸网络威胁为例:2016年11月,Mirai僵尸网络将数十万个网络摄像头和DVR设备变成了DDoS僵尸机器,并在2017年底再次利用大量系统作为毁灭性有效攻击的策略。

2017年9月,Armis实验室披露了一个名为BlueBorne的蓝牙漏洞。攻击者可利用该漏洞悄悄控制受影响的设备,从而攻击数十亿系统。

发起DDoS攻击或劫持设备CPU以攻击加密货币的恶意软件可损坏硬件,因为这些设备利用率不高。2017年12月,安全研究人员发现,延时执行的CPU Loapi恶意软件可导Android测试手机电池凸出和变形。

您环境中的所有设备(包括移动设备)都有可能成为僵尸机器。识别IT资产被转变为僵尸网络的时间与网络威胁分子利用这些设备发起DDoS攻击的时间,并非同一时间。组织应考虑通过IT资产管理(ITAM)程序来管理资产的生命周期和库存,包括移动设备管理(MDM)程序。

使用通用库、平台和操作系统的设备和端点越多,它们越容易被漏洞攻击利用。换言之,在这种情况下,总体风险就会极速上升。部署可扩展系统和架构的可用性和易用性也会导致其他问题。

2. 漏洞修复不及时或失效

2017年5月12日(周五),名为WannaCry的大规模恶意软件攻击爆发,对Windows终端医院、互联网服务提供商(ISP)和其他关键目标发起勒索软件攻击。由于世界各地的IT专业人员都在努力确保防护措施,显然蠕虫病毒是通过服务器消息块(SMB)漏洞进行传播的。两个多月前,微软(MS17-010)已修复该漏洞。同样,另外一种蠕虫病毒NotPetya也利用SMB漏洞进行传播。

在21世纪早期,广泛传播的蠕虫(如Blaster和Sasser)变得更为常见,但当其他类型的攻击出现时似乎已变得过时了。这些也说明了持续安装系统补丁的重要性。修复关键漏洞很关键,因此及时的补丁管理对于任何规模的组织而言都至关重要。

虽然高级0Day攻击是可怕的威胁,但往往只是恐惧和传说而已。事实上,根据IBM X-Force漏洞数据库统计,2016年有不到1%的漏洞被视为0Day漏洞。也就是说,被广泛利用的漏洞的相关补丁并不存在。若无法修补现有的关键漏洞,通常会导致全球范围的攻击破坏,尤其是在存在漏洞端点的情况下。

3. 配置不当的云服务

有了云服务,公司能够轻松地为网站和应用程序存储数百万条用户数据记录。尽管通常供应商在保护这些服务方面做得很好,但用户错误、配置不当和恶意内部人员可无需提供任何形式的身份验证而公开这些数据。

仅在2017年,就出现了很多配置不当的Amazon S3 buckets、Rsync备份、MongoDB数据库和其他类似服务的情况,从而暴露了个人敏感信息。2017年7月,一家向大型电信公司提供客户支持服务的第三方厂商在开源Amazon S3云服务器上公开了1400万条客户数据。这些数据包括自定义个人标识号(PIN),可用于对客户账号进行身份验证。

作为消费者,我们下载应用程序和服务时并未考虑这些应用程序和服务会如何使用或存储数据。在11月的一次攻击事件中,安全研究人员发现了一个可公开访问的577 GB的以色列MongoDB数据库,该数据库向移动电话兜售键盘应用。这些数据不仅包含用户名和邮件地址,还包括用户的GPS位置信息,通过键盘应用程序输入文本。

2017年底,由于Amazon S3 buckets配置不当,允许AWS认证用户(即具有AWS账号的用户)可下载和存储数据。因此,发生了大规模的数据泄漏事件,影响12,300万美国人。这种类型的数据对攻击者很有价值,因为他们可通过鱼叉式攻击将其用于针对攻击特定的个人和公司。

在2017年,云数据库泄露了20多亿条记录。据IBM X-Force统计显示,在过去一年中,服务器配置不当占泄露记录总数的70%。组织对其云部署进行适当的风险评估非常重要。安全专业人员应考虑定期采用专业渗透测试服务查找漏洞和意外访问问题。

泄漏的数据可能有巨大的货币价值,若有人希望保持数据隐私性并为之付出代价时尤其如此。正如在下一趋势中所看到的那样,攻击者一直利用新目标敲诈赚钱。

4. 针对高价值数据的网络勒索

2017年四月底,一款流行视频流服务被告知,其最受欢迎的一款节目的最新几期,从提供后期制作服务的第三方处失窃。攻击者还窃取了其他几个尚未发布的节目,并扬言若不支付赎金则将这些节目文件公布于众。同年晚些时候,一款类似的勒索软件窃取了另一档流行节目。

此外,今年数个整形外科诊所遭遇入侵事件,包括比佛利山市和伦敦市两家为名人提供服务的诊所。由于名人患者的照片和病史为敏感资料,此类引人注目的目标非常容易遭遇攻击。攻击者通过密切关注医疗记录、个人约会倾向、知识产权或热门电视剧来锁定高价值数据,试图通过虽然老旧但非常有效的勒索方式获利。

设想一下,您的数据从与您有业务往来的第三方处失窃,您只能通过支付赎金的方式要回数据。您打算怎么办?您会从外面聘请顾问,并在公司内部组建应急通信和事件响应小组,提供安全处理意见吗?您会向执法部门上报数据泄露事件吗?您对赎金作何感想?您怎样应对客户和媒体?若组织对入侵事件处理不利可能会导致与入侵事件一样的严重后果。

IBM安全部门和波耐蒙研究所发布的《2017数据泄露的成本》称,“事件响应团队会将每条受影响数据的成本损失降低19美元。”您的事件响应计划应是一份动态文档,您需时常根据入侵调查结果审查、执行和调整该文档。

5. 网络钓鱼攻击俘获“大鱼”

尽管窃取数据,索要赎金是一项获利颇丰的手段,有些攻击者发现通过某种方式直接伸手要钱也是一种颇具成效的做法。

企业邮件入侵(BEC)指这样一种威胁方式:攻击者向员工发送邮件,要求其电汇或发送W-2表格等保密数据。此等诈骗通常由威胁源起方发起,他们假扮锁定的精准目标的首席级别高管和权威人物。

狡猾的攻击者会骗取这些领导者的邮件账户,模拟他们的写作方式,诱骗受害人。行骗者在2013至2016年间通过企业邮件入侵攻击获取的净利超过50亿美元。2017年,DataBreaches.net对受骗向恶意外部人士发送员工W-2表格的200多家公司进行了追踪调查。尽管钓鱼攻击通常与其他攻击结合使用,这些公司遭遇的企业邮件入侵攻击表明了仅仅发动网络钓鱼攻击,犯罪分子就能获取高额利润。

去年,我们发现了另一种企业邮件入侵技术:攻击者注册了与参与数百万美元项目的厂商(如建筑公司)高度相似的域名。例如,乔装成一家可信建筑供应商的网络犯罪团伙设置了骗局,一所加拿大大学中招,向其汇入近1200万美元。

此类攻击之所以非常奏效是因为人们缺乏防范意识,往往会将攻击者误认为身边可信赖的人。当用户收到来自权威人物或可信提供商的邮件时,一般不会复查发件人身份。这种情况在组织结构简单的公司中尤为常见,因为中小型公司的员工收到首席运营官或首席财务官的邮件并不稀奇。

企业邮件攻击等网络钓鱼技术因成功率非常高而持续困扰用户。用户培训计划需持续更新,以便跟上快速演进的威胁格局。例如,仅仅扫描邮件中的拼写或语法错误是远远不够的。现在,网络钓鱼攻击的“诱饵”具备很强迷惑性,即使老练的专业安全人士也不会轻而易举识破骗局。用户应将可疑邮件上报安全团队,而且只打开期望接收的附件。

遗憾的是,用户往往采用类似的方式在系统上安装软件,对提供商抱有信心,认为他们会提供安全的产品和合法更新。

6. 越来越多的攻击盯上加密货币

随着比特币以及其他加密货币的价值不断上涨,此类货币很快成为攻击者所青睐的目标。2017年,窃取加密货币并非什么新鲜事儿。实际上,由于加密货币的价值呈指数型增长,之前曾发生过的事件在现今愈演愈烈。

让我来看一则实例:2016年,香港一家比特币交易所遭遇一起比特币盗窃事件,损失119,756比特币,当时价值为7700万美元,而现在价值超过了15亿美元。无独有偶,2017年,斯洛文尼亚一家比特币交易所遭遇比特币打劫事件,损失4700比特币,在事件发生一周内该数量的比特币价值浮动约2000万美元。2017年,境外APT-C1组织攻击我国某互金平台 ,得手150万美元 ,互金大盗恶意软件现身

首次代币发行(ICO)正成为一种通过出售数字货币(代币)实现企业快速融资的方法,可能会使投资者获得丰厚回报。因此,ICO成为网络犯罪分子的首要目标也就不足为奇了。2017年,网络犯罪分子利用创新手段从企业抽走资金,诱惑投资者向其汇入价值数百万美元的加密货币。以色列一家公司在ICO期间,网站被攻击者劫持,攻击者将钱包地址修改为类似银行卡账号的一长串字符,接收资金。在不到三分钟时间内,价值700多万美元的Ethereum币涌入攻击者腰包。

狡猾的犯罪分子将瞄头指向最终用户,利用其他加密窃取恶意软件技术,例如,拦截和更改剪贴板中的支付地址从而劫持付款,并结合利用用户的加密钱包文件和私钥,窃取资金。

数字货币领域应采用安全的计算标准。加密领域的专业人士和新用户应采用一些基本防护措施,保护数字投资。最起码,加密货币交易所和网站的用户应采用双重认证。进行交易和支付时,需再三检查收款人地址,确保地址并被修改或受到操控。对于端点钱包攻击来说,考虑使用Trezor或Ledger等硬件钱包,保存受PIN码保护的外部设备的私钥。

不要等数据泄露问题解决后再采取措施

由于很多数据泄露趋势多年来一直持续,因此,时常退一步思考,亲自对安全风险做专业评估。不要等出现最佳安全实践再着手解决问题,因为这样,您可能会遭遇惨重损失。如果只重视企业范围的安全检查,您的组织可能只会避免最新攻击类型。

发表评论