安全公司 Trustwave 发布2018年全球安全报告,该报告源自对全球数十亿条安全与违规事件记录的分析结果、数百项实践数据调查以及内部研究结论,其中分析了2017年以来世界范围内出现的主要安全威胁、行业违规事件以及网络犯罪趋势。
研究结果表明,入侵检测等领域得到提升,但恶意软件混淆、社会工程策略以及高级持续威胁(APT)的复杂性也在快速增加。
北美、亚太地区为数据泄露重灾区
尽管与2017年相比略有下降,但本次 Trustwave 调查发现,在全球数据泄露事件中:
北美地区占比43%;
亚太地区占比30%:
欧洲、中东与非洲(EMEA)占比23%:
南美占比4%。
违规事件发生率较高的行业:零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。
01违规与环境类问题
调查发现,约半数安全事件涉及企业与内部网络(较2016年43%的比例有所上升),其次为电子商务环境(30%)。影响销售点(即POS)系统的事件目前占比为20%,减少了至少三分之一。网络攻击复杂程度逐步提升,且目标逐步瞄准各大型服务供应商及特许经营部门; 相比之下,前几年最受青睐的批量攻击则有所减少。
02社会工程雄踞违规事件榜首
在企业网络环境当中,在全部违规活动中,网络钓鱼与社会工程占55%,内部恶意人员违规占13%,远程访问占9%。人为因素仍是企业网络安全团队所面临的最大障碍。例如,“首席执行官(CEO)欺诈”这类社会工程骗局就引导企业高管批准欺诈性资金交易,目前这种手段正持续升温。
03Web应用程序均有缺陷
调查显示,所有 Web 应用程序均至少拥有一项安全缺陷,且各应用程序的中位安全漏洞数量为11项。85.9%的 Web 应用程序漏洞涉及会话管理机制,即允许攻击者在用户会话当中窃听签名等敏感信息。
04Web攻击变得更具针对性
针对性网络攻击正愈发流行,复杂程度亦有所提升。从众多违规事件来看,网络犯罪分子开始预先探测存在安全缺陷的软件包并筹备相关利用工具。
跨站脚本攻击(XSS)占全部攻击尝试中的40%;
SQL 注入占比24%;
路径遍历占7%;
本地文件包含(LFI)占比4%;
分布式拒绝服务攻击(DDoS)占比3%。
05恶意软件趋向于持续驻留
30%的恶意软件都会利用混淆机制回避检测并绕过第一道防线,而90%的恶意软件会在其中使用持久性技术以实现设备重启后的重新加载。
这一层面也侧面反映出当前的恶意软件正在以“数据”为目标,驻留时间越长,获取的有效信息越多,从而利用获取的数据进行'”二次攻击”
06服务供应商被瞄准
需要高度关注的是,只要一家 IT 服务供应商(例如 Web 托管服务供应商、POS 集成商等)遭到入侵,即会打开通往更多新目标的大门。2017年针对 IT 服务供应企业的违规攻击方案迎来9.5%的显著增长。但此次统计数据并未涉及2016年遭受入侵的服务供应商。
07内部与外部事件检测时间存在巨大差异
2017年,入侵活动发生到外部检测发现之间的中位数周期为83天,远高于2016年的65天。然而,入侵活动发生到内部检测发现之间的中位数周期则为0天,远低于2016年的16天,这意味着企业能够在大部分违规事件发生的当天就将其发现。
08支付卡数据仍然最受欢迎
从2017年的数据类型来看,占比40%的支付卡数据仍是最受欢迎的数据类型。其中有22%为支付卡磁条数据,18%则为无卡(简称CNP)交易数据。令人惊讶的是,针对现金的安全事件也增加了11%,这主要源自金融机构的账户管理系统遭受入侵而导致 ATM 交易出现违规欺诈行为。
09含恶意软件的邮件通常伪装成“业务邮件”
作为勒索软件(包括 WannaCry)、银行木马以及其它破坏性 payload 等几类主要恶意活动的重要载体,包含恶意软件的垃圾邮件2017年占比26%,低于2016年的34.6%。有趣的是,90%以上的垃圾邮件中的恶意软件以归档文件形式交替,包括.zip、.7z 以及 RAR 等,且通常会被标记为发票或其它类型的业务文件。
10数据库与网络安全——修复补丁
在最常见的五种数据库产品当中,漏洞修复数量为119个,低于2016年的170个。在启用 SMBv1 的计算机当中,53%的设备易受MS17-010“永恒之蓝”漏洞的影响,该漏洞曾被用于传播 WannaCry 与 NotPetya 勒索软件。