1
主要调查结果
在2021年,即便受疫情影响,数据收集、共享和分析也并未减弱。根据Statista的数据,全世界总共生产和消费了79ZB数据,预计到2025年将增长到180ZB以上。
Verizon数据泄露调查报告(DBIR)详细概述了2021年的相关情况。Verizon发现,大约80%的数据泄露来自目标组织外部,20%是由组织内部造成的。动机主要是经济利益(大约90%),其次是间谍活动(不到10%)。Web应用程序、电子邮件和人员的粗心大意(如操作错误和配置错误)是数据泄露的主要途径,再加上使用被盗凭证、勒索软件和网络钓鱼等构成了数据泄露的基本类型。这再次表明,人为因素是导致数据泄露的主要成因。事实上,82%的数据泄露涉及人为因素。尽管人为因素在数据泄露中占比很重,但值得注意的是,利用漏洞导致的数据泄露已经翻了一番,在2022年已达7%。
导致数据泄露的威胁和行为主要涉及黑客(~50%)、恶意软件(~40%)、社交(~20%)和错误(13%)。服务器是最主要的攻击目标(近90%),其次是人员(不到30%)和用户开发(不到20%)。
据DBIR显示,凭证和个人数据是攻击者最感兴趣的数据。凭证对于攻击者掩盖其活动至关重要,而个人数据对于金融欺诈和转售非常有用。
与2020年类似,受内部错误影响最大的行业是金融和保险、医疗保健、公共管理和专业领域:
-在金融领域,以经济利益为动机的有组织罪犯利用社会行为(网络钓鱼)、黑客攻击(使用被盗证书)和恶意软件(勒索软件)来进行攻击。90%的数据泄露与服务器有关,而在Web应用程序中,这一比例上升至51%。基本的Web应用程序攻击、系统入侵以及各种错误占入侵的79%。
-在医疗保健行业,基本的Web应用程序攻击、各种错误和系统入侵占入侵总数的76%,内部仍然突出(39%)。
-在信息领域,系统入侵、基本Web应用程序攻击和各种错误占入侵总数的81%。
-在公共管理部门,个人数据和证书分别占泄露数据的46%和34%。
关于地理分布,DBIR观察到:
-亚太地区社会行为和黑客攻击数量多,勒索案件数量少得多;
-EMEA社会工程增加,证书盗窃成为其最大问题;
-系统入侵模式成为NA中最重要的模式,社会工程仍然发挥着重要作用;
-勒索软件和拒绝服务攻击分别占LAC地区事件的37%和27%。
2
主要事件及趋势
2.1 攻击媒介、资产和动机与2021年相似
就攻击载体而言,特别是作为攻击基础的行为类型,使用被盗证书、勒索软件和网络钓鱼仍然排在前五名。与2021年相比,被盗证书的使用占主导地位(约40%),勒索软件的使用大幅增加了13%,总量达到25%,网络钓鱼的使用总量下降了约20%。
服务器、人员和用户设备仍然位于主要目标资产的前三个位置,具有相同的顺序和相似的份额。同样的讨论也适用于资产类型,其中Web应用程序、邮件和台式机或笔记本电脑仍然位于排名的前三位。
与过去几年一样,经济利益仍然是最常见的动机。以经济利益为动机的攻击占网络攻击的比重已经增加到近90%,例如直接从金融账户中窃取资金,窃取信用卡信息或其他类型数据,可以变现或索要赎金。以间谍活动为动机的攻击约占网络攻击的10%。
2.2 数据泄露逐年增加
数据的核心作用导致收集的数据量急剧增加。同时,数据泄露数量也在持续的增长。
身份盗窃资源中心(ITRC)总裁兼首席执行官Eva Velasquez表示,在2021年,美国报告的数据泄露事件比2003年首部州数据泄露通知法生效以来的任何一年都要多,与此同时,只有不到5%的人在收到数据泄露通知后采取了有效的保护措施。
数据泄露数量比2020年增加了68%,比之前的记录增加了23%。这种数据泄露激增的情况与部门无关,在每个主要部门内都有增加,军事部门除外。
2.3 身份盗窃和合成身份
由于数据泄露事件的增加,个人敏感数据很容易被恶意行为者通过在线论坛或暗网获取。根据美国联邦贸易委员会(FTC)的数据,2021年收到了140万份身份盗窃报告,其中,最具针对性的受害者年龄在30岁至39岁之间。根据McAfee,信用卡欺诈是最常见的身份盗窃类型。
根据ETL 2021,许多事件可能涉及合成身份。合成身份盗窃是一种欺诈行为,犯罪分子将真实信息和虚假信息结合起来,创造出一个新的身份。根据美国联邦储备委员会(Federal Reserve)的说法,由于用于验证个人身份的个人身份信息是静态的,合成身份事件在美国更为常见。2021年,合成身份欺诈仍在增加,FiVerity估计损失将增至200亿455万美元。
2.4 行为者享有高回报数据的特权
身份盗窃资源中心还在其2022年年度数据泄露报告中称,网络犯罪分子的动机已经转变,他们不再以消费者为目标窃取大量个人信息,而是专注于特定的数据类型。一个典型的例子是盗取凭证。这导致受害者人数减少了5%,尽管受害者总数仍然很高。
2.5 勒索软件
与勒索软件相关的数据泄露越来越重要。勒索软件也越来越多地用于针对CIA三位一体系统和相应数据的联合攻击。例如,勒索拒绝服务(RDoS)是拒绝服务攻击的新前沿。RDoS旨在识别脆弱的攻击目标,并实施不同的行为,最终要求被攻击方支付赎金。欧洲刑警组织在其IOCTA 2021报告中报告称,DDoS攻击之后是赎金要求,与前一年相比,大规模攻击有所增加。根据Cloudflare的数据,2021年第四季度,勒索DDoS攻击同比增长29%,环比增长175%。
2.6 数据中毒和数据操纵
欧盟H2020项目CONCORDIA将数据中毒确定为数据领域的主要威胁之一。
事实上,可靠的数据是实现基于数据的安全自主和自适应系统的先决条件。特别是,收集到的数据和对现代系统行为的相应推论的核心作用增加了数据中毒和操纵所带来的风险。后者将成为数据驱动系统的根本威胁,在数据驱动系统中,数据完整性不仅是要保护和保证的唯一属性,而且还应支持数据来源、不可抵赖性和问责制。
在这种情况下,勒索软件攻击以及深度伪造正在蔓延,并以数据的完整性和可用性为目标,为完全建立在未经验证的数据上的决策带来了巨大的风险。
2.7 ML模式数据提取
机器学习(ML)模型是现代分布式系统的核心,并日益成为攻击的目标。数据中毒和数据操纵的一个直接后果是机器学习模型的准确性下降。
一方面,根据欧盟H2020项目CONCORDIA,其交付的d4.1机器学习模型可以通过用于模型训练的中毒数据来实现攻击。由此产生的模型将学习与目标系统的真实和正确行为不同的行为,迫使系统做出错误的决定。另一方面,机器学习模型可能成为对抗性攻击的目标,旨在将ML模型与推理时精心制作的恶意数据点混淆。这些攻击正在增长,是ML或AI领域的主要威胁。
另外,模型窃取或提取的目的是重建黑盒模型或从黑盒模型中提取数据。在这种情况下,成员关系推断攻击的目的是从已部署的ML模型中恢复训练集。2017年的一项开创性工作仅允许根据模型预测在训练集中推断出特定数据点的存在。这种攻击后来在大型模型上执行,带来了重大的隐私和经济风险。
3
其他趋势
1)未知原因的数据泄露数量正在增加,使“未知”根本原因成为2022年第一季度最大的攻击向量。自2020年以来,美国的这一数字增长了190%,总体增长了40%。
2)网络犯罪分子以特定数据类型为目标,而不是大规模窃取数据,导致受害者数量减少(比2021年减少5%)。然而,消费者数据被多次泄露的数量仍然很高。
3)根据IBM的数据,2021年的平均成本最高,为424万美元,远程工作和云迁移带来了额外的影响。
4)安全人工智能产生了最大的成本降低效果。
5)勒索软件已经改变了数据泄露的形式,并要求企业修改应对措施。
6)云迁移在过去几年中不断增加,现在正在转向多云战略,但数据管理和保护仍然落后。根据Thales公司的说法造成落后的原因有: 加密使用有限、多云的复杂性和快速增长的企业数据,以及云数据安全尚不成熟。
7)根据Thales公司的说法,投资的合规性以及弹性和数据泄露之间存在明显的相关性,这意味着改进合规性会带来更好的安全结果。
8)根据Tenable Research的数据,数据泄露将继续急剧增长,2021年报告的数据泄露数量是2020年的2.5倍以上。与此同时,泄露的记录数量增加了78%。据称,被盗数据量超过260 TB,涉及超过18亿份文件、文档或电子邮件。
参考文献
[1]https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:02016R0679-20160504&from=EN.
[2]https://www.domo.com/learn/infographic/data-never-sleeps-9.
[3]https://www.verizon.com/business/resources/reports/2022/dbir/2022-data-breach-investigations-report-dbir.pdf.
[4]https://www.ftc.gov/system/files/ftc_gov/pdf/CSN%20Annual%20Data%20Book%202021%20Final%20PDF.pdf.
[5]https://www.mcafee.com/blogs/tips-tricks/a-guide-to-identity-theft-statistics-for-2022/#:~:text=An%20estimated%2015%20million%20Americans,Fraud%20Study%3A%20The%20Virtual%20Battlegroun).
[6]https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021.
[7]https://www.fiverity.com/resources/fiverity-introduces-2021-synthetic-identity-fraud-report2.
[8]https://www.europol.europa.eu/cms/sites/default/files/documents/internet_organised_crime_threat_assessment_iocta_2021.pdf.
[9]https://blog.cloudflare.com/ddos-attack-trends-for-2021-q4/.
[10]https://www.concordia-h2020.eu/wp-content/uploads/2020/06/D4.1_Ready_for_Submission_D4.1-final_revised.pdf.
[11]https://www.forbes.com/sites/thomasbrewster/2021/10/14/huge-bank-fraud-uses-deep-fake-voice-tech-to-steal-millions/.
[12]https://venturebeat.com/2021/05/29/adversarial-attacks-in-machine-learning-what-they-are-and-how-to-stop-them/.
[13]https://www.idtheftcenter.org/post/data-breach-increase-14-percent-q1-2022/.
[14]https://www.wsav.com/wp-content/uploads/sites/75/2022/01/20220124_ITRC-2021-Data-Breach-Report.pdf.
[15]Cost of a data breach report, IBM, https://www.ibm.com/security/data-breach.
[16] 2022 Thales Data Threat Report.
[17]https://mb.cision.com/Public/20506/3530950/b55a39d9e52a4074.pdf.
[18]Tenable’s 2021 Threat Landscape Retrospective.