安全界“圣经”DBIR 报告推翻了哪些“你以为的”数据泄漏情况？-CSDN博客

聚焦源代码安全，网罗国内外最新资讯！

编译：奇安信代码卫士团队

Verizon 公司发布2020年度《数据泄露调查报告 (DBIR)》，由81家组织机构参与，分析了超过3.2万起安全事件（其中3950起事件为已证实事件）。

Verizon 公司表示，从较高层面来看，该报告向安全专业人员提供了好消息。报告指出，恶意软件事件的数量正在下降表明当前的反恶意软件产品获胜。木马类型的恶意软件数量在2016年达到顶峰，占据所有安全泄漏事件的50%，不过目前骤降至6.5%。同样，打补丁的情况也比我们想象的要好，少于5%的安全泄漏事件牵涉漏洞利用，仅有2.5%的 SIEM 事件牵涉漏洞。报告指出，“这说明多数组织机构在漏洞修复方面做得很好，但那些从未被修复的被遗忘的资产会为防御措施制造危险的缺口。”

2020年度 DBIR 报告还提到了一些和常见观点不同的情况。人们经常认为内鬼是安全的最大威胁，但报告指出，70%的数据泄漏事件是由外部黑客造成的。同样，虽然跨国间谍活动和“高级”攻击霸占各媒体头条，但实际上金钱而非网络战争才是最大的驱动力：86%的数据泄漏事件受经济利益驱动，10%是网络间谍活动，仅有4%属于高级威胁。

报告的优劣势分析

DBIR 报告已成为安全专业人员的“圣经”。它强大的优势在于，除了对某个厂商自身遥测数据的分析外还对真实事件进行了科学分析，最终分析结果无任何产品或攻击类型的偏见。同样，由于最新发布的这份报告是第十三份系列报告，因此从中可窥探和数据泄漏活动相关的发展趋势。

但也应了解到，DBIR 报告存在两个潜在弱点。首先，报告仅涵盖了向 Verizon 公司报告或该公司知悉的数据泄漏事件。这可导致一些问题：如可导致勒索软件数量歪曲，因为按照要求医疗机构必须上报勒索软件事件而制造业并不受限制，快速且悄悄支付赎金的制造厂商可能并不会上报。

第二，报告中的数据是某个快速变化的领域的“历史”数据（去年的数据）。因此，例如，报告不包括今年的 Maze 和 Revil 式双重勒索的详细信息（最近的例子是，当前正在进行的出售纽约某律师事务所的客户性情的勒索后拍卖活动）。

同样，报告也并未提及今年犯罪分子对 COVID-19 疫情的快速响应以及因人们匆忙“在家办公”后造成的威胁情势扩大的情况。Digital Shadows 公司的首席信息安全官和战略副总裁 Rick Holland 就表示，“今年的 DBIR 报告触动我的是，它的数据集是疫情前的数据。今天的‘安全现状’和两个月之前截然不同。我很想知道今年的远程办公模式会为明年的报告带来什么影响。”

Vectra 公司的首席安全分析师 Chris Morales 也持有相似观点。“去年发生的事情仅能说明几个月来快速变化的威胁情况的正在实现的部分工具、技术和程序情况。该威胁情势可能是永久性而非暂时性的。”问题在于，我们无法规划如此突然的重大改变。今年威胁情势受全球性疫情影响，不过明年或未来可能受其它因素影响。

Acceptto 公司的首席执行官 Shahrokh Shahidzadeh 对 DBIR 报告的历史性更加严格，他指出，“恶意软件数量的下降只符合去年的趋势，它是其它攻击出现造成的一个功能。这类报告通常是对尚未被发现的2019年发生的安全泄漏事件的跟踪指标。理解威胁气球的风险和相关的金融动机确实是我们处理风险管理的方式。也就是说，任何低于6%的降低都是噪音。”

参与该报告的数据科学家 Gabriel Bassett 接受这些数字的历史性本质，不过他指出这一点远不及报告所揭示出的新兴趋势带来的价值。他表示，DBIR 报告的真正价值不仅在于原始数据，还在于对犯罪方法和活动趋势的强调，从而使安全从业人员能够采取风险管理的方法进行防御。

例如，双重勒索从本质上来说仍然属于勒索软件范畴，近几年勒索软件的兴起已成为一个突出趋势。（2019年的勒索软件占据所有恶意软件事件的27%，其中60%发生在公共部门，80%发生在教育行业。）同样，COVID-19 攻击大部分以钓鱼攻击为基础，而报告对钓鱼攻击追踪多年。

如何应对配置不当错误？

报告中基于趋势的一张图表展示了自2016年以来安全泄漏事件中涉及的安全泄漏事件的频率。物理攻陷仍然相当稳定但较少。黑客、社交、恶意软件和滥用数量均已下降。然而，“错误”是例外。在2019年，由错误操作造成的数据泄漏事件数量超过恶意软件活动引发的事件，而且快速逼近由社交活动造成的安全泄漏事件数量。（“错误 (error)”的定义是不涉及任何恶意意图的操作。）

更进一步，错误传递并发布错误的情况已有所下降，而不当配置的错误数量急剧增加（这种情况和 NSA 在2020年1月发出的警告即配置不当是云环境中最普遍的漏洞吻合）。然而，DBIR 报告还进一步说明了配置不当问题的报告情况：超过50%的情况由安全研究员报告，约15%由其它外部人员报告，15%由客户报告，而员工报告的情况不足10%。总计超过90%的配置不当问题是组织机构在事件发生后知悉的，而非由组织机构本身发现并阻止。

由于威胁不断增加而组织机构并未自行检查出配置不当的问题，它清楚地表明很多公司需要投入更多精力事先检测并阻止这些错误。安全专业人员可以使用报告中提到的详尽信息来微调自己基于风险的安全控制方法。Bassett 指出，“人无完人。配置不当问题主要是管理员的错误，或者是其他人将敏感数据发布在公共区域。但我们需要准备好应对措施而非假设它们不会发生。”

他建议其中一种解决方案是消除错误中的污名。员工需要能够在舒服的氛围下报告错误而非放不开手脚。我们可以通过研究工程中用于检测消除错误而使用的过程改进方法来增强这一点。从业人员应该考虑的问题是，我们如何将工程方法用作安全方法？

报告的价值

DBIR 报告的巨大价值在于它将安全泄漏数据从轶事转变为可以详细分析的事实。它使得从业人员能够专注重点。Rick Holland 表示，“了解任何报告的数据集和局限性至关重要。DBIR 的主要分析数据源自2019年的案例的事实并不会使报告贬值；对防御人员而言，报告中很多的逐渐变化趋势仍然有用。另外，的必然报告应该成为风险管理战略中的多个数据点之一，其它数据点应该由组织机构自身的内部事件和泄漏报告补充说明。”

DBIR 报告仍然是发现现有和未来威胁的基本资产，它让从业人员能够看清在有效的基于风险的安全态势中应该重点关注的地方。