侯彬炳

勒索软件、供应链威胁以及组织和员工是自身安全的最大敌人，这是Verizon针对过去12个月网络攻击年度报告中所研究的一些关键要点。近期发布的2022年数据泄露调查报告（DBIR）旨在保护企业免受可能导致系统泄露或数据、资源、金钱、时间等方面出现损失的威胁。

报告背后的研究人员Gabriel BassettC、David Hylender、Philippe Langlois、Alex Pinto和Suzanne Widup指出，过去几年发生的事情对每个人来说都是“压倒性的”，但是他们没有引用显而易见的因素，比如疫情和乌克兰战争。

然而，该报告的研究人员最关心的是与发生的安全事件和违规行为相关的数据，前者是对信息资产的损害，后者则是将数据暴露给未经授权的一方。2021年，研究人员发现，二者的发生率都在空前飙升。

“过去一年在许多方面都非同寻常，但在报告看来肯定是关于网络犯罪阴暗的世界，其间发生的事情令人难忘，”他们在报告中写道：“从广为人知的关键基础设施攻击到大规模供应链漏洞，出于经济动机的罪犯和民族主义行为者在过去12个月中很少（如果有的话）像以前那样摇摆不定。”

勒索软件仍然是主要部分

2022年度的DBIR报告和2021年的并不太大不同。事实上，一名安全专业人员观察到一些调查结果似乎与报告自2008年成立以来强调的内容一致。

安全公司Token首席执行官John Gunn在给Threatpost的一封电子邮件中写道：“关于网络安全行业最重要的研究已经出来了，感觉就像电影《GroundHog Day》，自2008年第一份报告以来，我们年复一年地获得了同样的结果。”

然而，在过去几年中，一个主要的威胁是勒索软件继续呈上升趋势。这种类型的网络犯罪通过入侵锁定公司的数据，在组织支付巨额勒索金额之前不会公布（在2021年同比增长了近13 %）。研究人员指出，涨幅与过去5年的总和一样大，勒索软件的发生率总体上升了25 %。他們认为：“勒索软件的鼎盛时期仍会持续，2022年发现了有近70 %的恶意软件漏洞。”

事实上，安全专家指出，尽管勒索软件团体不断更迭，联邦当局在打击此类网络犯罪方面取得了长足进步，但对犯罪分子来说，收益非常可观，在利益的驱使之下他们可能会持续一段时间。

安全公司Cerberus Sentinel解决方案架构副总裁Chris Clemens在给Threatpost的电子邮件中表示：“截至目前，勒索软件是网络犯罪分子能够攻陷受害者的最可靠方式。没有任何一种活动带来的利益能和勒索攻击的轻松和巨大影响面相提并论。”

供应链受到攻击

研究人员发现，对供应链的重大攻击（在一个系统或软件中发生漏洞，很容易在组织中传播）在2021年，表现出持久影响性，发生率也有所增加。

Verizon团队认为，对于任何与供应链、第三方和合作伙伴打交道的人来说，这种惨痛的经历是值得记住的。以2020年底发生的、臭名昭著的SolarWinds供应链攻击为例，直到2021年，公司仍然在疲于应付。

事实上，研究人员的报告称：“2022年，62 %的系统入侵事件都是供应链攻击活动。”此外，研究人员表示，与出于经济动机的威胁行为者不同，这些犯罪的肇事者往往是国家赞助的行为者，他们更喜欢“跳过漏洞并保持访问权限”，在组织的网络上保持一段时间。

研究人员表示，这些攻击非常危险，因为攻击可以从一家公司开始，很快就传到其客户和合作伙伴那里，因此可能会涉及非常多的受害者。此外，在攻击者已经访问系统很久之后，人们才会发现供应链数据泄露，，这使得数据泄露和长期盗窃的可能性增大。

人为导致的错误

该报告的另外2项关键发现与最终责任在哪里有关———组织内外犯错的人。事实上，研究人员发现，人为错误仍然是产生威胁的主要原因。

研究人员指出：“错误仍然是一个主导趋势，大概是13 %数据泄露事件产生的原因。”

实际上，2021年DBIR报告中82%的数据泄露事件涉及“人为元素”。人为元素多种多样，包括“是否使用了被盗凭据、钓鱼、滥用或仅仅是错误造成的，人的因素在事件和泄露等活动中继续扮演着非常重要的作用”。

账簿上最古老的风险

一位安全专家指出，安全专家对“人为因素”的发现并不感到惊讶，该发现甚至在安全和整个行业一直困扰着科技研究人员。

安全公司KnowBe4的数据驱动国防传教士Roger Grimes在给Threatpost的一封电子邮件中指出：“自计算机开始以来一直如此，未来几十年可能也会如此。”他说，今天发生的许多错误都是攻击者巧妙设计的结果，特别是在网络钓鱼攻击中，这些攻击诱骗人们点击允许计算机访问的恶意文件或链接，或提供可用于破坏企业系统的个人凭据。

Grimes说，解决人为错误造成的安全问题的唯一方法是通过教育，无论是关于配置错误、修补的重要性、被盗凭据，还是常规错误（例如当用户不小心通过电子邮件发送错误的数据时）等。他观察到：“人类一直是计算领域的重要组成部分，但出于某种原因，我们一直认为只有技术解决方案才能解决或预防问题。30年来，我们一直试图通过除了人为因素以外的方法来修复网络安全问题，事实证明并不奏效。”