2019 年,美国电信巨头发布了 2018 年年度数据泄漏报告 (DBIR),作为安全行业的重量级调查报告,值得不断、仔细研读。美创科技根据报告进行了深入的总结分析,包括医疗、政府、金融等行业,希望能够给合作伙伴以及安全从业者提供专业的参考。本篇讲述 2018 年政府行业的数据安全形势。
纵观 2018 年度 Verizon 数据泄露报告,我们可以看到,在众多行业数据泄漏统计排名中,政府行业数据泄露排名超过医疗、金融行业,首次登居榜首。而往年排名第一的医疗行业虽已退居第二,金融行业虽继续排名第三,其形势依然严峻、不容忽视。其中政府行业数据泄漏日益增长的根本原因在于网络间谍和国家活动的活跃程度不断增强。
1、政府行业数据泄露排名稳步上升,2018年度高居榜首
从近几年的 verizon 报告中,可以看到政府行业的数据泄露威胁在每年的排名中均处于稳步上升的趋势,几乎 “一年一个台阶”:从 2016 年排名第三,2017 年的排名第二到 2018 年的排名第一。其中值得一提的是,政府行业的安全事件每年独占鳌头。
2、政府行业表现出平均水平的内部威胁,内部威胁比例快速上升
我们来进一步剖析政府行业数据泄漏的原因。从报告中可以总结出,政府行业数据泄漏表现出的内、外部威胁占比与多数行业的对应占比特征相似,呈现外部占比相对较多,但内部威胁快速上升的趋势。2018 年的政府行业数据泄漏来源占比:内部威胁占比 30%,外部威胁占比 75%,来自于合作伙伴的威胁占比 1%,来自于多方的威胁占比 6%。以下就数据泄露的几个重点行业做比较,分别为:医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。
我们必须注意到,几乎在每个行业的数据泄漏来源占比中,内部威胁正在快速上升,以下为近 8 年来数据泄漏来源的统计占比图:
3、异常猖獗的网络间谍活动是政府行业数据安全的最大威胁
高达 79% 的网络间谍活动和国家有关。而从内部来看,主要威胁则体现为各种误操作和越权访问。下图为 2011 年至今数据泄漏原因占比图,作为一个比较,从全行业来看,在外部人员导致的泄漏事件中,最主要的威胁来自于组织犯罪和国家间谍,尤其是间谍相关在最近几年持续快速上升,需要引起注意。而在内部威胁中,最大的威胁来自于系统管理员,从 2014 年开始持续上升,2016 年开始快速上扬。
4、入侵动机:间谍是政府入侵的主要诉求
以下为各行业入侵动机的趋势分析图,可以看到政府行业数据泄漏事件特征表现出极大的特殊性:高达 66% 的入侵是为了间谍活动,财务诉求仅仅为 29%,完全不同于一般行业的入侵动机:71% 的财富诉求和 25% 的间谍活动。在过去的一年中,政府行业的间谍活动诉求表现出爆发型增长,增长幅度达到 68%,体现了过去一年复杂的国内国际环境。
5、入侵目标:入侵以获得内部数据为主要目标
政府行业的入侵目标和入侵动机表现出高度的一致性,以获得内部内容数据为主要目标:68% 的内部内容信息,22% 的个人信息和 12% 的身份信息。
6、社会工程攻击、恶意软件和入侵
社会工程/钓鱼、backdoor/C2,这些攻击手段和网络间谍活动表现出高度的相关性。事实上,社会工程攻击是最近 5 年发展最为迅速的攻击手段。
下图为全行业入侵手段和入侵目标的 5 年变更,可以看到社会工程攻击从 17% 增加到 35%,成为最为主流的入侵手段。而在入侵目标上,作为社会工程主要目标的个人则从 19% 增加到了 39%,具有高度相关性。
7、恶意软件:勒索和挖矿双翼齐飞
勒索软件在经历了 2017 年的急剧增长之后,2018 年其整体趋于高位平稳状态。其中, 2018 年勒索威胁最主要的特征即企业级勒索:81% 的勒索威胁目标在企业,在总体勒索事件有所下降的情况下,企业市场的勒索占比却增加了 12%。挖矿病毒则在 2018 年上半年狂飙突进,甚至成为了茶余饭后的谈资,下半年随着比特币价格的下跌,挖矿病毒威胁表现出逐月下跌的趋势,但总体而言,相较于 2017 年还是增长了 4 倍。
在被勒索病毒影响最为严峻的医疗行业,70% 的恶意软件为勒索病毒,2017 年则为 85%。(由于 verizon 2019 数据泄露报告缺乏具体数字,以上数字来自于赛门铁克2018年度互联网威胁报告 (ISTR24) )。
下图以 C2,ransowmare 和 backdoor 为主要恶意软件的统计符合 2018 年度猖獗的间谍活动、挖矿和勒索威胁的总体特征。
8、发现攻击:政府行业中攻击的发现异常缓慢
通常情况下,执行恶意攻击只要几分钟,但发现攻击行为却可能要几个月时间。缓慢的攻击发现在政府行业中表现得十分明显,往往黑客或内部的攻击行为需要长达几年才会被发现,其中需要注意的是,和间谍活动相关的攻击因其隐蔽性,需要更长的时间才能被发现。