根据一份汇总了世界范围内不同类型安全事件的新报告,在 2018 年,网络安全事件造成的损失估计近 450 亿美元。
互联网协会在线信任联盟 (Internet Society’s Online Trust Alliance, OTA) 的技术总监 Jeff Wilbur 表示,很难看清网络安全事件的整个形势,因为每个人都在从自己的角度看事件。该组织在今天发布了《2018年网络事件与违规趋势报告》(2018 Cyber Incident & Breach Trends Report)。
Wilbur 补充道,OTA 在 11 年前发布这份报告的第一版时,只关注数据泄露。而迅速发展的威胁形势迫使他们扩大了报告的范围。
几年前,我们意识到这一数字并不足以代表网络事件的数量。我们开始考虑增加商业电子邮件攻击、勒索软件和其他 DDoS 攻击,因为这些攻击的规模比被报道的攻击要大得多。
有趣的是,网络犯罪分子用于入侵系统的很多技术没有发生什么变化:例如,他们会利用员工凭证,或者利用组织机构中尚未更新软件的已知漏洞。他们进行渗透的手段相对稳定,不过也有一些变化。
例如,物联网 (IoT) 设备为攻击者入侵提供了一些新方法,而且组织机构对第三方供应商的依赖也越来越大。Wilbur补充道:进入系统的聪明方法是通过安全工作薄弱的第三方。越来越多的攻击者通过在供应商的系统上植入恶意软件,或对其进行未经授权的访问来入侵目标组织机构。
基于供应链和 IoT 的攻击可能正在增长,但是电子邮件攻击和漏洞利用仍然是入侵目标系统最常见的方式。然而在网络犯罪分子获得网络访问权限后,他们所采取的行动就会随着时间的推移而不断变化。
追踪网络犯罪趋势
在研究攻击模式如何随时间变化的过程中,研究人员注意到勒索软件在 2017 年至 2018 年间总体呈下降趋势,但在企业用户中却呈增长趋势。挖矿劫持在 2017 年末非常突出,并在 2018 年有所增长;然而,随着加密货币价值暴跌,攻击者开始寻求新的途径来获得非法收入,比特币随后开始迅速贬值。研究人员发现,2018 年有 130 万起挖矿劫持事件和 50 万起勒索软件事件。
据报道,分布式拒绝服务攻击 (DDoS) 在 2018 年有所下降,但一些报告显示,它们仍然在某些行业造成了混乱。研究人员指出,DDoS 攻击的挑战在于确定有多少攻击是成功的。关于 DDoS 攻击没有汇总的报告,大多数企业都不愿意透露自己的薄弱环节。
研究人员表示,2018 年商务邮件入侵 (BEC) 大幅上升。美国联邦调查局网络犯罪投诉中心报告表示,2018 年美国发生了 2 万多起 BEC 事件,造成了近 13 亿美元的损失,远超出 2017 年 1.6 万起事件造成的 6.77 亿美元损失。
这些只是造成 2018 年损失的的众多攻击的一部分。虽然很难明确这些事件带来的财务影响,但据可靠估计,勒索软件造成的损失为 80 亿美元,伪造证书造成的损失为 50 亿美元。有一些估计更为宽泛;例如,波耐蒙研究所 (Ponemon Institute) 的报告称,数据泄露造成的平均损失已升至 386 万美元。
即使松散估计,研究人员认为 2018 年网络安全事件造成的财务影响至少达 450 亿美元。
这些数据对 2019 年剩下的时间有什么启示呢?他表示,供应链攻击变得越来越多,也看到了更多的勒索软件攻击,尤其是在美国,并指出网络犯罪的一个新趋势是目标多为美国城市,包括马里兰州的巴尔的摩;佛罗里达州的里维埃拉海滩;乔治亚州的亚特兰大。Wilbur表示,虽然挖矿劫持行为正在减少,可以预计 2018 年末和 2019 年初会出现更多类似的威胁。
回归基础工作
正如 Wilbur 解释的那样,导致重大漏洞的攻击载体通常都很简单。
这可以从 2018 年头条新闻中很多备受瞩目的安全事件中看出。印度国家 ID 数据库 Aadhaar 遭遇入侵损失了 11 亿条记录,只是因为一个不安全的 API。万豪/喜达屋系统受到的攻击影响了 3.83 亿人,是由一些自 2014 年以来一直在喜达屋网络上的入侵者造成的。这些入侵者理应在万豪收购喜达屋之前的一次例行网络检查时就该被发现。
鉴于 OTA 发现 2018 年 95% 的数据泄露是可以预防的,看来各个组织机构并没有采取简单的措施来保护自己。他表示:同理,企业基础工作没做好实际上也是一种趋势。
这就给组织机构带来了压力,要求他们提高自己的水平:你希望你的组织能在攻击者进行入侵时发现不了漏洞,从而转向更容易攻击的目标。