Tripwire公司日前以《威瑞森2015年数据泄露调查报告》所提供的数据为基础,发布了名为《你的网络攻击来自哪里?》的图文报告,介绍了当今数据泄露背后最常见的五种攻击模式。今天,我们就以这张图文报告为蓝本,回顾一下这些攻击方法,并结合每种攻击模式的真实案例,看看哪些行业更容易受到哪种模式的攻击。
攻击模式一:WEB应用攻击(占攻击事件的9.4%)
《威瑞森2015年数据泄露调查报告》指出,今年WEB应用攻击背后最为常见的是组织犯罪。这些计算机犯罪集团以及其他犯罪分子已经将他们的攻击手段全面转向策略性WEB攻击(Strategic Web Compromise),攻击者只需锁定一台WEB服务器就可以对其他的目标发起攻击。三分之二的WEB应用攻击都是使用的这种跳板辅助攻击,其中绝大多数(98%)都是针对简单目标的机会性攻击活动。
进一步分析显示,在金融领域,2014年82%的WEB应用攻击涉及终端用户设备,并且十次WEB应用攻击事件中,至少有一次包含钓鱼或社会工程元素。攻击者针对该行业所使用的攻击手段也是越来越花样百出。例如,据今年早些时候报道,某罪犯团伙攻陷了一家金融公司的WEB应用,使用未经授权的访问加密了该金融公司管辖的数据库,最终要求该金融公司支付50000美元来换取解密密钥,成为今年最早公开的“网络勒索”攻击案件之一。而信息服务行业去年也同样受到了WEB应用攻击的重创。
从更普遍的角度来看,大约95%的指向WEB应用的攻击都会从用户设备收集用户登录信息,并使用这些窃取来的信息攻陷用户账户。这种手段已经超过了WEB应用攻击的四分之一,在一定程度上有超越仍受恶意黑客青睐的跨站点脚本攻击(XSS)和SQL注入技术的趋势。
攻击模式二:权限滥用攻击(占攻击事件的10.6%)
如今,权限滥用大都是由内部角色泄露行为引起的,占权限滥用攻击事件的55%。在这些事件中,40%事件都是受经济利益驱使或是为了一己之便,最终导致内部人员出售数据或是直接利用数据来与受害组织进行竞争。
自2011年以来,今年收银员第一次没有排在权限滥用引起的泄露相关的内部角色的首位。取而代之的是终端用户以37.6%的占比排在第一位,收银员排在其后占16.8%,财务人员占11.2%。
权限滥用引起的泄露事件大都影响的是采矿业、政府机关以及医疗行业。然而,这并不意味着其他行业就可以高枕无忧。微软Windows和棒棒糖 5.0(Lollipop)以下的所有安卓设备都在去年发现了严重的提权BUG,给数亿用户带来了潜在的内部安全泄露风险。不过到目前为止,还没有此类漏 洞所引起的大规模受攻击事件。
攻击模式三:网络间谍攻击(占攻击事件的18%)
2014年监测到的独立网络间谍攻击事件共有548起。其中有三分之一是由于信息提交给安全调查人员或法务调查人员所致。
制造业、公共领域和专业领域是受此类攻击最为严重的行业,分别占27.4%、20.2%和20.2%。排在其后的,信息服务行业占网络间谍攻击事件总数和6.2%,金融和医疗领域合计占1.5%。
进 一步分析表明,这种攻击方法首选的攻击媒介为恶意电子邮件附件,占到了39.9%。紧随其后的是电子邮件链接占37.4%,以及网络过路式攻击(web drive-by attacks)占16.6%。总的来讲,85.8%的网络间谍活动的目的都是为了窃取商业秘密,而窃取用户凭证和内部数据的事件则明显减少,只占到了 11.4%和8.5%。
需要特别指出的是,网络间谍攻击手段不仅仅发生在计算机犯罪领域和黑客组织。一些国家也逐渐开始采用这种攻击模式,最为明显的案例就是某国(最有可能是俄罗斯)使用史上最复杂的ATP间谍软件特拉(Turla)监听超过45个国家的政府机构、大使馆、军事设施和其 他组织,同时监听着世界上最复杂的攻击组织方程式组织(Equation Group)的活动。
攻击模式四:恶意软件攻击(点攻击事件的18.8%)
这里的恶意软件攻击是指网络间谍、权限滥用等专业分类模式之外的软件攻击。在过去一年中,命令控制型恶意软件(command-and- control,C2)占到了恶意软件攻击事件的84.4%,高居榜首。拒绝服务攻击(DoS)也从原来的第八位一跃达到了第二位,占65.4%。同时, 后门攻击占到此类威胁的十分之一强,占10.5%。
受机会性和经济利益驱使,恶意软件攻击事件中有超过一半(59.6%)对银行的攻击。其次是用户凭证和个人信息,分别占29.6%和18.4%。然而由于窃取用户身份凭证的键盘记录器病毒经常用于攻击银行数据,所以无论何时爆出数据泄露,用户凭证都是黑市交易的抢手货。
值得注意的是,涉及商业秘密的攻击也有多起是通过这种攻击模式进行的,影响的行业包括公共事业、教育业和金融业。当然,一般的恶意软件只能窃取机密,并不从事网络间谍活动。这也使得包括Rombertik(Carbon Grabber木马新版本)和黑洞开发工具包在内的恶意软件套件成为地下黑市的热门产品。
攻击模式五:PoS终端攻击(占攻击事件的28.5%)
PoS终端入侵或许是2014年数据泄露事件中最为常见的攻击模式。近些年来,这一威胁种类在策略上已经从简单的存储抓取进化为RAM内存抓取,并且从利用默认凭证进化为窃取用户凭证。如今的大部分PoS攻击还包含社会工程因素,而且已经没有机会性因素了。
PoS 终端攻击对小型组织和大型企业的影响不大相同。对于小型组织,攻击者会直接针对PoS终端设备,通过PoS终端设备猜测密码或对密码进行暴力破解。而对于大型组织,PoS终端入侵由多维度攻击组成,常常是在攻击PoS系统前对组织计算机基础设施中的另一元素进行成功攻破,塔吉特数据泄露事件就是这样的案例。然而,无论是大型组织还是小型企业,PoS终端设备供应商有时会在其产品中植入键盘记录器软件,从而成为攻击的来源。
酒店业、娱乐业和零售业是PoS终端入侵的高发地带。
结语:
今天的组织面临着的抵御各种攻击的压力。这些威胁不仅提醒我们遵守基本安全标准的重要性,还要在资源允许的情况下追求更复杂的解决方案的重要性。