安全界 “圣经” DBIR 2022 报告发布:软件供应链攻击“如火如荼”

最新推荐文章于 2024-07-15 11:00:00 发布
最新推荐文章于 2024-07-15 11:00:00 发布
阅读量838 收藏
点赞数
文章标签: java 安全 大数据 编程语言 信息安全
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247512056&idx=1&sn=324942e804ad97a329050a1d0b335ffd&chksm=ea949e92dde3178463ddff20c3383d840dd76f3b254f62e9a1bfb9d50b579818bada66440cc2&scene=126&&sessionid=0
版权

27ad727281d5a10f6e60156ae9914b4c.gif 聚焦源代码安全,网罗国内外最新资讯!

作者:Elizabeth Montalbano

编译:代码卫士

c413feedef75a79b4b3c4d3771e6cdae.png

专栏·供应链安全

数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。

注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

e2b39fc174c6775021a212809aca26fa.png

Verizon 公司发布《2022年数据泄露调查报告》 (DBIR) 指出,勒索软件、供应链威胁和组织机构及其员工是自身安全的最大敌人。

c159d683a58fd94de882473f518c170b.gif

该报告主要关注安全事件和数据泄露事件的发生情况,即信息资产的攻陷和数据的越权暴露情况。2021年,研究人员发现这两方面均经历了前所未有的急剧增长。

报告提到,“从很多角度来看,过去一年都不同寻常,不过在网络犯罪活动方面无疑是令人难忘的。从公开的关键基础设施攻击到大规模的供应链事件,受经济利益驱动的犯罪分子和臭名昭著的国家黑客都罕见地和2021年发现的情况不同。”

勒索攻击不断

b8096d425d42cd9aeed20be743a928a4.gif

7ec593bfb794029768547186bf88f46f.gif

2022年度的DBIR报告和2021年的并不太大不同。研究人员发现的某些情况甚至和该报告自2008年诞生之日起的情况是一致的。

不过,仅几年来引人注目的是勒索攻击不断增多。过去12个月以来爆发的勒索攻击数量要比过去五年来的总和还要多,整体增长了25%。虽然不断遭到政府机构的镇压,但利益诱惑着勒索组织不断赴汤蹈火。安全公司 Cerberus Sentinel 公司的解决方案框架副总裁 Chris Clemens 观察到,“截至目前,勒索软件是网络犯罪分子能够攻陷受害者的最可靠方式。没有任何一种活动带来的利益能和勒索攻击的轻松和巨大影响面相提并论。”

供应链攻击火烧眉毛

8aae184340e3b469edf98c1e7c7d0592.gif

3683173b2069dd5da9a089d007ca32d2.gif

针对供应链的重大攻击在2021年也脱颖而出。报告指出,“对于和供应链、第三方和合作伙伴打交道的任何人而言,这一年值得被记住。”

报告提到了在2020年年底发生的SolarWinds 供应链攻击,而2021年仍然有企业在火急火燎地应对这一攻击。

研究人员指出,“今年,62%的系统入侵事件都是供应链攻击活动。”另外,和受经济利益驱动的威胁行动者不同,这些犯罪活动的始作俑者通常是国家黑客,他们偏好于“跳过泄露并维护访问权限”,维持着组织机构网络上的持久性。这些攻击非常危险,因为攻击始于一家企业但可迅速蔓延至客户和合作伙伴,牵涉很多受害者。

另外,通常攻击者在已经获得对组织机构系统的访问权限很久之后,人们才会发现供应链数据泄露事件,使得数据泄露和被盗的可能性增大。

错误、人为失误等

19377461b76486423c4570895dda59a0.gif

5ad66f79bbd1963475c3bff885d6e02d.gif

从最终责任的承担即组织机构出错原因源自内部还是外部角度来看,报告的两个更加重要的发现之间是相关联的。

报告指出,“错误仍然是一个主导趋势,大概是13%数据泄露事件产生的原因。这一结果主要和云存储配置不当有关,而这主要是负责设立系统的一人或多人的责任。”

实际上,2021年DBIR报告中82%的数据泄露事件涉及“人为元素”。人为元素多种多样,包括“是否使用了被盗凭据、钓鱼、滥用或仅仅是错误造成的,人的因素在事件和泄露等活动中继续扮演着非常重要的作用”。

不足为奇的古老风险

7c97d044b396de261aa7e6f0b2701945.gif

6a0f07c4e13bdb9428254e9b8e6f7724.gif

安全专家对于“人为因素”这一研究结果并不惊讶。一名安全专业人员指出,甚至在安全行业出现之前,人为因素就是技术行业的最大影响因素。KnowBe4公司的数据防御倡导者 Roger Grimes 认为,“自计算机开始之时就一直是这样,未来几十年内大概率还是如此。”

当今发生的很多错误都是攻击者狡猾的社工造成的,尤其是诱骗人们点击恶意文件或链接从而获得计算机访问权限或个人凭据进而攻陷企业系统的钓鱼攻击更是如此。

解决人为安全问题的唯一办法是通过教育,比如关于配置不当错误、打补丁、被盗凭据或者“常规错误如用户偶然通过邮件发送了错误的个人数据”等等的教育。

Grimes 人为,“人的因素一直是计算的一个重要组成部分,但出于某种原因我们总是认为,单靠技术解决方案就能修复或阻止问题的发生。三十年来我们一直试图通过除了人为因素以外的方法来修复网络安全问题,事实证明并不奏效。”

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

3dc9bf211350548ff53b97150b9158a3.png

推荐阅读

安全界“圣经”DBIR 报告推翻了哪些“你以为的”数据泄漏情况?

在线阅读版:《2021中国软件供应链安全分析报告》全文

他坦白:只是为了研究才劫持流行库的,你信吗?

热门PyPI 包 “ctx” 和 PHP库 “phpass” 长时间未更新遭劫持,用于窃取AWS密钥

从美行政令看软件供应链安全标准体系的构建

研究员发现针对 GitLab CI 管道的供应链攻击

五眼联盟:管理服务提供商遭受的供应链攻击不断增多

趁机买走热门包唯一维护人员的邮件域名,我差点发动npm 软件供应链攻击

RubyGems 包管理器中存在严重的 Gems 接管漏洞

美国商务部机构建议这样生成软件供应链 “身份证”

《软件供应商手册:SBOM的生成和提供》解读

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

不满当免费劳力,NPM 热门库 “colors” 和 “faker” 的作者设无限循环

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

攻击者“完全自动化”发动NPM供应链攻击

200多个恶意NPM程序包针对Azure 开发人员,发动供应链攻击

哪些NPM仓库更易遭供应链攻击?研究员给出了预测指标

NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击

热门NPM库 “coa” 和“rc” 接连遭劫持,影响全球的 React 管道

速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年

25个恶意JavaScript 库通过NPM官方包仓库分发

Pwn2Own大赛回顾:利用开源服务中的严重漏洞,攻陷西部数据My Cloud PR4100

开源网站内容管理系统Micorweber存在XSS漏洞

热门开源后端软件Parse Server中存在严重的 RCE ,CVSS评分10分

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

开源工具 PrivateBin 修复XSS 漏洞

奇安信开源组件安全治理解决方案——开源卫士

原文链接

https://threatpost.com/verizon-dbir-report-2022/179725/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

1e68cda4e817d8f1d614f702caa6c94f.png

7132e383f60d7467f0dbce7eaae3345e.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   26ccef11c03dd610454c274e5562ec86.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
protobuf-cpp-3.11.4.zip
04-30
protobuf安装包for windows protobuf 3.11.4 cpp 欢迎下载。
安全圣经DBIR 报告推翻了哪些“你以为的”数据泄漏情况?
smellycat000的专栏
05-20 876
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队Verizon公司发布2020年度《数据泄露调查报告(DBIR)》,由81家组织机构参与,分析了超过3.2万起安全事件(...
开发安全软件供应链安全及开源软件安全的概念差异
最新发布
A_991128a的博客
07-15 827
开发安全软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。尽管这三个领域有各自独特之处,但它们都是构建一个综合健康且稳固系统所必不可少的一部分。综合考虑这些方面,并根据具体情况采取相应措施可以更好地保护您的系统免受潜在威胁。
欧盟网络安全发布供应链攻击威胁全景图》报告(上)
smellycat000的专栏
09-27 595
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件安全性问题也正在成...
Verizon发布《2023数据泄露报告》:74%安全事件存人为因素
云盒子企业云盘官方账号,17年专注文档安全
12-08 181
事实上,滥用数字证书一直是网络犯罪分子常用攻击手法,其目的是让提高恶意软件的合法性,从而绕过企业的安全防护措施,让人防不胜防。近期,国外著名咨询机构Verizon发布了《2023年数据泄露调查报告》(DBIR),对过去一年发生的16312起安全事件和大约5200起数据泄露事件进行分析,因为基于大量真实事件,DBIR一直是网络安全行业最受瞩目的报告之一。实际利益的驱动下,犯罪团伙和黑灰产大肆窃取组织数据,外部攻击呈现出高频、高危害的特点,攻击手法日益复杂、多变,专业化、定制化程度不断上升。
计算机网络安全圣经-《Computer Network Security》
The_syx的博客
09-30 611
Computer Network Security作者:Ali Sadiqui页数: 300 pagesISBN-10 : 1786305275ISBN-13 : 97817863052...
5811. 2020年数据泄露调查报告.pdf
04-08
报告的主体包含了多个部分,每个部分都聚焦于数据泄露的不同方面,包括威胁种类、CIS控制建议、行动者、行动、错误、恶意软件、勒索软件、黑客攻击、社交工程和资产属性等。报告中提到的威胁种类主要分为制造行业...
信息安全_数据安全_Prioritizing the Top 20 on a Sho.pdf
08-22
了解你的资产是安全管理的基础,包括硬件、软件、信息和供应商。利用工具,如Nmap/ZenMap进行网络扫描,BRO/Zeek进行网络监控,以及使用电子表格和脚本来管理资产。同时,与财务和合同部门沟通,了解业务需求,以便...
DBIR_2018_Report.pdf
11-25
《2018年数据泄露调查报告》(DBIR_2018_Report)是由权威机构发布的关于信息安全领域的研究报告,其主要关注点在于实际发生的数据泄露事件和安全事件。这份报告的独特之处在于它基于真实世的案例,这些案例要么由...
2020年数据泄露调查报告(英文版)2020精品报告.pdf
04-24
如此全面的数据覆盖使得报告能够展示出数据泄露的全面情况,强调了数据泄露报告DBIR)作为基于数据资源的使命。 报告中提到的三个主要行动类型是错误、恶意软件以及勒索软件。这三种行动类型在数据泄露事件中起着...
新形势下医院数据安全治理方案.pptx
09-30
根据 Verzion 数据泄露报告DBIR),医疗行业是勒索病毒的主要目标。美国的医疗机构每年遭受数十起数据泄露事件,导致了数百万条记录被泄露。 新形势下的医院数据安全治理框架 为解决这些问题,医院需要建立一个...
DBN在供应链管理中的应用
AI天才研究院
04-26 235
DBN在供应链管理中的应用 1. 背景介绍 1.1 供应链管理的重要性 在当今快节奏的商业环境中,供应链管理扮演着至关重要的角色。它涉及从原材料采购到最终产品交付的整个过程,包括生产计划、库存控制、物流运输等多个环节。有效的供应链管理可以降低
软件供应链安全2022年回顾
murphysec的博客
01-23 765
Gartner认为软件供应链攻击2022年的主要的威胁来源,有人将2022年称为软件供应链安全元年,是新上任CIO的首要工作,越来越多开发者、安全研究人员在关注软件供应链安全。我们通过梳理漏洞和开源组件数量变化、相关的漏洞风险事件、法规和标准、产品能力关注点,来对软件供应链安全这一领域进行回顾。可以看到:新出现的漏洞和开源组件的数量都在增长中国有6个针对特定行业的信息安全管理法规中涉及软件供应链软件供应链安全的标准与指南在加速,美国、新加坡、欧盟、英国也相继发布软件供应链安全建设计划、指南。
网络安全知识:什么是供应链攻击?,网络安全这些高端技术只有你还不知道
2401_83974590的博客
04-14 759
供应链攻击也是一种网络攻击,它试图通过滥用网络漏洞渗透到组织或企业的数据库中。这些网络攻击利用硬件或软件中的漏洞来获取政府机构或企业的敏感数据。供应链攻击通常发生在恶意代码片段中,类似于软件更新中包含的恶意程序。另一方面,供应链攻击也可以由第 3 方供应商提供的物理组件进行。
有哪些信息安全方面的经典书籍?
rongwenbin的专栏
06-23 8821
来源:知乎问答 每个领域应该都有那么一两本圣经,比如编译器里的龙书,数据库里的Database Systems: The Complete Book / Database Management System。 那信息安全这块应该阅读哪本书籍呢? 各方观点: 观点1:云舒,阿里巴巴集团高级安全专家 请允许我吐槽“大部分人都在回答一些扯淡的东西,难怪学生找不到工作,而我们找不到人”。 现在的
在网络安全对抗中,供应链攻击的手法有哪些?
u013930899的博客
10-16 1125
攻击者通过污染供应链中的硬件组件,例如硬盘驱动器、路由器芯片等,将恶意代码注入到受害者的系统中。攻击者通过污染供应链中的固件组件,例如硬盘驱动器、路由器固件等,将恶意代码注入到受害者的系统中。攻击者通过替换硬件供应商提供的硬件组件,例如CPU、内存条等,将恶意代码注入到受害者的系统中。攻击者通过逆向工程供应链中的固件组件,寻找其中的漏洞并将恶意代码注入到受害者的系统中。攻击者可能会将恶意软件捆绑到合法的软件包中,当用户下载和安装这些软件时,恶意软件也会被自动安装到用户的系统中。
什么是供应链攻击
网络研究观
11-30 5639
供应链攻击是恶意行为者针对产品或服务供应链中的一个或多个组织实施的恶意行为。
信息安全参考图书
netsec_steven的博客
09-28 540
移动安全篇 《Android Security Cookbook》 《Android 软件安全与逆向分析》 《Android Hacker’s Handbook》 《iOS Hacker’s Handbook》 《iOS应用安全攻防》 《iOS应用逆向工程:分析与实战》 《Android Hacker’s Handbook》 程序设计篇 《Python核心编程(中文第二版)》
8大软件供应链攻击事件概述
分享 GPU 管理与大模型推理相关技术实践
08-02 2651
软件开发中所面临的新型威胁已经不仅仅与特定的公司相关,整个软件供应链的上下游都已成为攻击者的目标,因此必须保证每个环节的安全性,因为如果一个环节出现问题,一切都会受到影响。...
新数字经济下:特权访问管理的挑战与防护策略
DBIR(Data Breach Institute Research)的数据,超过80%的黑客攻击事件与凭证相关,其中96%的攻击是从电子邮件钓鱼开始,目标是用户的终端。 为了应对这一新常态下的安全趋势,企业必须加强特权访问管理,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值