安全公司 Trustwave 发布2018年全球安全报告,该报告源自对全球数十亿条安全与违规事件记录的分析结果、数百项实践数据调查以及内部研究结论,其中分析了2017年以来世界范围内出现的主要安全威胁、行业违规事件以及网络犯罪趋势。

研究结果表明,入侵检测等领域得到提升,但恶意软件混淆、社会工程策略以及高级持续威胁(APT)的复杂性也在快速增加。

北美、亚太地区为数据泄露重灾区

尽管与2017年相比略有下降,但本次 Trustwave 调查发现,在全球数据泄露事件中:

  • 北美地区占比43%;

  • 亚太地区占比30%:

  • 欧洲、中东与非洲(EMEA)占比23%:

  • 南美占比4%。

违规事件发生率较高的行业:零售业占16.7%; 金融与保险业占13.1%; 医疗机构占11.9%。

一、违规与环境类问题

调查发现,约半数安全事件涉及企业与内部网络(较2016年43%的比例有所上升),其次为电子商务环境(30%)。影响销售点(即POS)系统的事件目前占比为20%,减少了至少三分之一。网络攻击复杂程度逐步提升,且目标逐步瞄准各大型服务供应商及特许经营部门; 相比之下,前几年最受青睐的批量攻击则有所减少。

二、社会工程雄踞违规事件榜首

在企业网络环境当中,在全部违规活动中,网络钓鱼与社会工程占55%,内部恶意人员违规占13%,远程访问占9%。人为因素仍是企业网络安全团队所面临的最大障碍。例如,“首席执行官(CEO)欺诈”这类社会工程骗局就引导企业高管批准欺诈性资金交易,目前这种手段正持续升温。

三、Web应用程序均有缺陷

调查显示,所有 Web 应用程序均至少拥有一项安全缺陷,且各应用程序的中位安全漏洞数量为11项。85.9%的 Web 应用程序漏洞涉及会话管理机制,即允许攻击者在用户会话当中窃听签名等敏感信息。

四、Web攻击变得更具针对性

针对性网络攻击正愈发流行,复杂程度亦有所提升。从众多违规事件来看,网络犯罪分子开始预先探测存在安全缺陷的软件包并筹备相关利用工具。

  • 跨站脚本攻击(XSS)占全部攻击尝试中的40%;

  • SQL 注入占比24%;

  • 路径遍历占7%;

  • 本地文件包含(LFI)占比4%;

  • 分布式拒绝服务攻击(DDoS)占比3%。

五、恶意软件趋向于持续驻留

30%的恶意软件都会利用混淆机制回避检测并绕过第一道防线,而90%的恶意软件会在其中使用持久性技术以实现设备重启后的重新加载。

这一层面也侧面反映出当前的恶意软件正在以“数据”为目标,驻留时间越长,获取的有效信息越多,从而利用获取的数据进行'"二次攻击"。

六、服务供应商被瞄准

需要高度关注的是,只要一家 IT 服务供应商(例如 Web 托管服务供应商、POS 集成商等)遭到入侵,即会打开通往更多新目标的大门。2017年针对 IT 服务供应企业的违规攻击方案迎来9.5%的显著增长。但此次统计数据并未涉及2016年遭受入侵的服务供应商。

七、内部与外部事件检测时间存在巨大差异

2017年,入侵活动发生到外部检测发现之间的中位数周期为83天,远高于2016年的65天。然而,入侵活动发生到内部检测发现之间的中位数周期则为0天,远低于2016年的16天,这意味着企业能够在大部分违规事件发生的当天就将其发现。

八、支付卡数据仍然最受欢迎

从2017年的数据类型来看,占比40%的支付卡数据仍是最受欢迎的数据类型。其中有22%为支付卡磁条数据,18%则为无卡(简称CNP)交易数据。令人惊讶的是,针对现金的安全事件也增加了11%,这主要源自金融机构的账户管理系统遭受入侵而导致 ATM 交易出现违规欺诈行为。

九、含恶意软件的邮件通常伪装成“业务邮件”

作为勒索软件(包括 WannaCry)、银行木马以及其它破坏性 payload 等几类主要恶意活动的重要载体,包含恶意软件的垃圾邮件2017年占比26%,低于2016年的34.6%。有趣的是,90%以上的垃圾邮件中的恶意软件以归档文件形式交替,包括.zip、.7z 以及 RAR 等,且通常会被标记为发票或其它类型的业务文件。

十、数据库与网络安全——修复补丁

在最常见的五种数据库产品当中,漏洞修复数量为119个,低于2016年的170个。在启用 SMBv1 的计算机当中,53%的设备易受MS17-010“永恒之蓝”漏洞的影响,该漏洞曾被用于传播 WannaCry 与 NotPetya 勒索软件。

十年回顾

2018年 Trustwave 全球安全报告已经是此份报告的第十份年度汇总,其中亦提供了对过去十年网络安全趋势的回顾。其中的要点包括:

1. 安全漏洞急剧飙升 :

自2008年到2011年保持相对较高水平之后,2012年以来漏洞披露事件开始显著增加,2017年则堪称急剧上升。主要原因在于,过去十年间互联网用户数量翻了一番。安全研究人员、犯罪分子等各类高水平技术人员如今都在积极寻找安全漏洞,但犯罪分子为了获利,通常会将漏洞信息放在暗网中出售。安全漏洞数量越多,利用潜力也就越大。

2. 漏洞利用工具包,从繁荣到萧条:

自2006年的 Web Attacker 开始,漏洞利用工具包为非技术攻击者提供了一种能够切实入侵目标计算机的手段,并最终发展成为一类软件即服务(简称SaaS)模式。2010年,此类服务的价格从50美元/月~10000美元/月不等,并在2013年到2015年期间一直保持着蓬勃发展。2016年至今,在经过多次抓捕行动与三大顶级工具包清剿之后,这类市场开始进入休眠状态,但一旦有市场需求,这一领域必将再次火热起来。

3. 垃圾邮件总数有所下降:

据 Trustwave 公司的统计,2009年87.2%以上的邮件属于垃圾邮件,这一比例使其成为有史以来垃圾邮件比例最高的一年。自2009年之后,垃圾邮件活动每年都在减少,目前不足总邮件数量的40%。目前,少数利用僵尸网络分发恶意软件的犯罪团伙控制着大部分垃圾邮件。