“2008年以來，Verizon(中文“威瑞森”)作為美國最大的無線通信服務供應商，每年都會如期推出數據泄露調查報告，由于其業(yè)務廣泛(在全球45個國家經營電信及無線業(yè)務)，對數據泄露事件的分析較為深入，可以說每年的《數據泄露調查報告》都頗具參考意義，當之無愧成為數據安全從業(yè)者必讀的報告之一。由于報告本身描述眾多，本文選取了其中重要的部分進行解讀、匯總，以供各位讀者參考?！?/span>

　　Verizon報告的事件來源：Verizon研究咨詢中心(VTRAC)、合作伙伴、其它組織、互聯(lián)網公開披露的事件等。

今年數據泄露調查報告的研究對象增大

　　本次的Verizon報告相較于過去兩年，采用更多的事件做研究分析支撐，趨勢分析會更加接近準確：

　　2018年數據泄露調查報告：53,000起事件(其中2,216起數據泄露事件)

　　2019年數據泄露調查報告：41,686起事件(其中2,013起數據泄露事件)

　　2020年數據泄露調查報告：157,525起事件(32,002起事件符合報告分析的要求，其中3,950起被確認為數據泄露事件)

各類攻擊來源占比相對穩(wěn)定，部分有小幅上升/下降

　　1、根據Verizon近三年的數據泄露報告來看，外部入侵依然是數據泄露的最大來源。

　　一直以來，“外部入侵”始終是數據泄露事件背后最熱門的手段之一，但內部數據泄露事件仍然值得各行業(yè)、各單位重點關注。

　　有組織的犯罪團伙。這類群體的數量遠遠大于其它可能導致數據泄漏的組織/個人，但通過Verizon的報告來看，此類犯罪團伙中大部分黑客可能是無意中成為犯罪分子，事實上，這群人缺乏職業(yè)發(fā)展規(guī)劃，對未來沒有明確的方向，如果給予適當的說服和激勵措施，他們很有可能可以遠離黑暗，并被納入安全人才庫。

　　2、各類攻擊手段此起彼伏，形勢依然嚴峻

　　從上圖可以看出，唯一一種逐年遞增的行為類型是錯誤，人會經常犯錯誤，如錯誤操作、錯誤配置等，這些錯誤通常是由安全研究人員和第三方發(fā)現(xiàn)的，其中錯誤配置相比于上一年增加了2倍多。

　　黑客攻擊數量仍然接近過去幾年統(tǒng)計的水平，但社交網絡攻擊、物理攻擊、特權賬戶濫用等行為的攻擊占比小幅度下降，這個下降比例可以忽略。但從黑客的攻擊行為看，超過80%的數據泄露事件中，黑客使用了暴力破解憑證、使用丟失/盜竊的憑證(簡單的如“admin/admin”或“root/ hunter2”等)，其余還有使用后門或C&C服務器、桌面共享軟件、命令窗口、漏洞攻擊(如SQL注入、PHP注入漏洞)等攻擊手法。

　　惡意軟件在近幾年有所下降，Verizon認為并不是因為惡意軟件的數量在減少，而是因為黑客可以在日常攻擊和社交網絡攻擊中竊取憑證獲益，而無需靠添加惡意軟件來維持數據泄露的通道。常見的惡意軟件有密碼轉儲程序、app數據捕獲、勒索軟件、下載器、木馬等，黑客常常通過電子郵件、網絡鏈接、網絡傳播等方式誘導受害者安裝這些惡意軟件。

　　如上所述，勒索軟件也成為當前數據泄露的手段之一，數據加密不一定會導致數據泄露，但勒索攻擊事件的成功意味著相關憑證的泄露/丟失，同時除了軟件自身可以在受害者服務器中安裝，受害者的個人信息也可以隨意被黑客訪問。值得一提的是，目前出現(xiàn)了諸多“勒索服務”，大大降低了入侵的門檻，黑客只須租賃勒索服務即可實現(xiàn)勒索攻擊，受害者往往難以采取有效的措施進行攔截。

　　特權濫用，包括“誤用”行為，即內部員工操作安全事件發(fā)生的惡意行為，雖然圖中顯示2019年有所下降，但Verizon認為這并不能說明實際中這類比例也相應下降(與分析的數據粒度有關)，其預測在2021年，特權濫用的現(xiàn)象依然嚴重。

　　3、攻擊意圖有針對性，各行各業(yè)需要嚴加防范

　　出于“財務動機”，即盜賣數據等行為是當前數據泄露事件普遍存在的動機。

　　WEB應用程序漏洞導致的數據泄露現(xiàn)象也不容忽視，當今隨著黑客群體、黑客水平的不斷提高，加之社交媒體披露的更多漏洞信息，使得漏洞的利用門檻大大降低，數據泄露事件此起彼伏。

　　4、數據泄露的受害者

　　數據泄露影響的行業(yè)十分廣泛，如住宿、零售行業(yè)、教育、金融、信息、制造業(yè)、政府部門等。

　　僵尸網絡主要攻擊金融、信息和專業(yè)服務垂直市場。所有這些行業(yè)都應該關注客戶和自身的安全。

關于行業(yè)

　　以下為各行業(yè)的數據泄露相關信息，包括分析的攻擊事件及數據泄露的事件數量、占比較大的攻擊手段、威脅來源、驅動因素、泄露的數據信息。

　　住宿和餐飲服務行業(yè)

　　在此行業(yè)中，使用惡意軟件(犯罪軟件和PoS都依賴于惡意軟件)進行攻擊的事件相對較多，除此之外，還有今年流行的網絡應用程序(包括竊取憑證信息、漏洞利用)。

　　住宿和餐飲服務行業(yè)中的PoS攻擊方式自2015年調查以來超過80%的占比下降到了16%，呈連年下降的趨勢，這很可能也表明了一種趨勢：相比于需要長期潛伏在受害者的網絡中進行持續(xù)攻擊、傳播病毒，黑客通過部署勒索軟件會更能夠快速地獲得金錢變現(xiàn)，尤其是對于支付數據如此豐富的行業(yè)，黑客的野心會更大。通常情況下，在此行業(yè)中除了支付數據被泄露，附帶的還有個人數據。

　　藝術、娛樂和休閑

　　文娛行業(yè)中，網絡應用程序攻擊占位榜首(尤其是DDOS攻擊)，其次還有社會工程攻擊和雜項錯誤。不得不說DDOS攻擊，這個行業(yè)在2019年遭受了史無前例的DDOS攻擊，北美工業(yè)分類制度(NAICS)中所涉及的在線博彩業(yè)也許是推動這一趨勢的群體。

　　造假者的愚弄。在信息化的長河中，電子通信的合法性依然是重中之重，如今文娛行業(yè)中還存在諸多社會工程學主導的使用各類偽造身份進行攻擊、欺詐的事件。

　　2019年，惡意軟件在文娛行業(yè)中也是罪魁禍首之一，增長幅度最大的為勒索軟件的傳播，惡意軟件還包括一些其它的危害，如捕獲用戶應用程序的數據、協(xié)助黑客進入系統(tǒng)獲取隱私數據，并且留下蠕蟲病毒在受害者網絡環(huán)境中傳播。通常這些惡意軟件通過網絡服務器、郵件傳播。

　　建筑業(yè)

　　建筑業(yè)是拉動經濟增長的一大行業(yè)之一，支撐著國家的基礎設施，但實際中考慮安全時，建筑業(yè)卻是最容易被忽視的一個行業(yè)。根據Verizon對于少數事件進行統(tǒng)計，發(fā)現(xiàn)大多數案件出于經濟動機，通常是由有組織的犯罪集團實施。如黑客可以通過構建虛假的網絡環(huán)境、網絡釣魚等方式誘導受害者，于此同時，勒索病毒也逐漸在建筑行業(yè)中盛行。

　　社會工程學在建筑行業(yè)中也相對較多，黑客可以讓建筑企業(yè)的員工在網頁上輸入賬戶密碼、下載各種惡意軟件等各種手段誘導員工向他們匯錢，而事實證明，建筑行業(yè)的員工會比普通人更加容易上當。

　　建筑行業(yè)中員工將賬戶密碼重復應用于多個平臺(包括專業(yè)賬號、個人賬號)，會增加組織的風險，有效應對措施之一是多因素身份驗證方法，確保即使丟失憑據，也無法對基礎架構造成進一步的威脅。

　　相比于其他行業(yè)，可以看出內部威脅在此行業(yè)中所占的比例較少，通常我們認為違規(guī)有惡意的誤用和意外的操作兩類，但無論從哪種手段來看，占比均小。

　　教育行業(yè)

　　與其它行業(yè)一樣，網絡釣魚也是事件攻擊在教育行業(yè)的手段之一。

　　金融和保險

　　金融和保險行業(yè)一直以來都是出于經濟動機的有組織犯罪分析的最愛，毋庸置疑，web應用程序攻擊和雜項錯誤是導致黑客的最熱門手段。在此行業(yè)中，內部攻擊的占比相對較大，盡管報告中顯示“濫用權責”的比例大幅度下降，但并不表示現(xiàn)實中這類現(xiàn)象有所緩和，相反，比例的下調是由于諸多“濫用權責”事件沒有被暴露，依然需要引起重視。

　　金融和保險行業(yè)存在的另一大安全隱患即是郵件的錯誤發(fā)送，例如在發(fā)送郵件前，“收件人：”一欄自動填充陌生的收件人，甚至是群發(fā)，具體的損失取決于電子郵件附帶的文件重要等級，以及郵件的發(fā)送范圍。

　　配置錯誤也是金融和保險行業(yè)的一大安全隱患之一，管理員可能會在本地/云上錯誤配置防火墻，動機絕大多數是粗心大意。

　　還有一種攻擊不可被忽視，即釣魚攻擊，黑客通常會使用偽裝公司管理層的釣魚郵件欺騙正式員工支付金錢，往往在諸多組織中，員工安全是整體建設最薄弱的環(huán)節(jié)，一般員工絲毫不會質疑郵件的真實性，給了黑客有機可乘的機會，這類攻擊的目的幾乎是來源于經濟驅動，少量為間諜活動。

　　醫(yī)療保健和社會保障

　　醫(yī)療保健和社會保障領域的數據泄露事件與去年的304起相比，大幅增加。同時，其仍然是內部惡意行為者數量最多的行業(yè)之一，而醫(yī)療數據、個人數據、個人憑證都是其覬覦的信息。但是，往往這類濫用職權的內部人員并不會破壞系統(tǒng)本身或對系統(tǒng)造成顯而易見的傷害，其更傾向于少量、多次的數據提取及盜賣，買方可以用這些數據對醫(yī)療行業(yè)的其它內部人員進行財務欺詐，這類現(xiàn)象往往很難被發(fā)現(xiàn)，潛伏的時間也相對較久。

　　其次，隨著醫(yī)療行業(yè)向患者開放越來越多的門戶、使用越來越多新的技術方式與患者互動，使得網絡應用程序攻擊持續(xù)成為常見的攻擊手段之一。

　　醫(yī)療行業(yè)中也不容忽視網絡釣魚攻擊，黑客常常會制造虛假的場景欺騙員工，達到成功轉移其資產的目的(可以通過電子匯款、禮品卡或其它方式)。

　　信息行業(yè)

　　在信息行業(yè)中，無論從原始的事件數量還是從所占的百分比來看，利用網絡應用程序進行攻擊的事件數量攀升，黑客通常利用網絡漏洞和竊取憑證的手段來獲取應用程序的訪問權利，以進行進一步的攻擊，這一現(xiàn)象和趨勢需要引起重視。

　　錯誤也是第二類常見的違規(guī)類型，在信息領域中，錯誤配置常常最頻繁，主要與數據庫、文件存儲不安全，以及使用云服務的過程中暴露弱點有關。

　　對網絡帶寬的攻擊。黑客深知網絡帶寬對于消費者的巨大影響，因此其常常通過DOS攻擊來破壞服務能力，而信息行業(yè)面臨著排名第二高的平均BPS，這也意味著這些攻擊往往是致命的，因此保障高可用性是至關重要的。

　　制造業(yè)

　　制造業(yè)一直是黑客夢寐以求的網絡攻擊目標，其中包含大量可供攻擊者竊取的寶貴數據。而使用犯罪軟件是最主要的攻擊手段，如密碼轉儲器、捕獲應用程序數據和下載器等，黑客的常見思路用通俗的語言表達，即獲取憑證、滲透網絡、下載軟件、獲取數據。

　　其次，網絡應用程序攻擊也是主要的威脅之一，黑客利用竊取的憑證來使用企業(yè)中的各類應用程序，這些憑證通常是通過黑客的網絡釣魚攻擊中的惡意鏈接獲取的。

　　誤用，例如內部人員的誤操作、越權操作也是制造業(yè)中面臨的威脅，通常他們會使用合法的訪問權限做一些違法、不合規(guī)的事情，甚至做一些高危操作(增、刪、改)，其中最典型的例子有：通過個人電子郵件發(fā)送公司的數據、將數據放在云上以便在家辦公。

　　攻擊來源中，來自于地區(qū)/民族的黑客占比38%，來自于間諜/競爭產商的黑客占比28%，通常在制造業(yè)中，含有超高價值的設計信息可以被拷貝。

　　采礦、采石、石油和天然氣開采與公共事業(yè)

　　在這類行業(yè)中，其它攻擊方式(主要是網絡釣魚主導，動機主要是獲取經濟利益)、網絡應用和網絡間諜都是較為頻繁的入侵模式，很難判斷哪種攻擊手段更為普遍。

　　在此行業(yè)中，出于間諜動機的違法行為占比8%-43%，需要引起特別重視。

　　擁有漏洞的web應用程序基礎架構也是隱患之一，黑客可以通過工具發(fā)現(xiàn)、利用這些漏洞，因此需要持續(xù)修補補丁。

　　其他服務(除公共管理以外)

　　內部人員如系統(tǒng)管理員/數據庫管理員可以大量訪問數據給數據安全造成了極大的威脅，包括在云平臺上建立數據實例卻無有效措施進行嚴格的訪問控制。

　　專業(yè)、科學和技術服務

　　這類群體十分廣泛，如律師、會計師、建筑師、各類研究實驗室和咨詢公司等，主要面向客戶提供服務，很長一段時間內，由于其中存儲著大量的個人隱私信息，Web應用程序攻擊模式會依然保持頻繁。

　　公共管理

　　勒索軟件是最常見的攻擊手段之一，占比61%。

　　零售行業(yè)

　　對零售行業(yè)的攻擊幾乎是出于財務動機，黑客們試圖從零售行業(yè)獲取大量的支付卡數據，其次是個人數據(個人數據的獲取有助于其實施進一步的金融欺詐)。這些數據常常被打包售賣。

　　近幾年，隨著網絡支付方式的改變，黑客的攻擊手法也隨之改變，如攻擊對象從PoS設備和控制器轉向了網絡應用，但PoS設備依然是攻擊的主流對象之一。

　　零售行業(yè)中已被竊取的憑證和薄弱的網絡應用程序基礎設施是引起數據泄露的起因之一，我們通常認為別人丟失的憑證與自己無關，事實上，黑客可以從他人丟失的憑證來對付新的受害者。同時，我們需要額外注意漏洞的修補，需要及時、高效地處理，否則會引起SQL注入、PHP和本地文件注入等問題。