Verizon 2012年度数据泄露调查报告摘述与分析

Verizon公司2012年数据泄露调查报告(DBIR)，是Verizon与美国特勤局(USSS)、荷兰国家高科技犯罪小组(NHTCU)、爱尔兰报告和信息安全服务部(IRRISS)以及伦敦警察局中心防范电子犯罪小组(PCeU)合作进行的一项研究。这些组织在全球范围的数据泄露案例，极大地拓宽了DBIR的地域范围。2012年的DBIR总结了855件泄漏事件和1.74亿条被盗记录，这是Verizon有史以来进行数据分析时使用数据最多的一次。

这份报告的结果是基于从2004年开始Verizon取证调查的第一手资料，2011年失窃数据总数占全部八年的第二名。其中，2012年报告的独家关注点是基于2011年90件已被证实的数据泄漏事件。

Verizon公司重申，它的数据和参与执法机构的数据含有一定程度的样本偏差。例如，报告中称内部威胁造成的泄漏事件仅占4%，对此，Verizon承认这一情况可能被低估了。Verizon表示，许多泄漏没有被报告出来，同时，其他很多组织还没意识到自己已经被攻破。

2012DBIR:泄露事件综述

编写DBIR的目的是希望本报告有助于提高人们对网络犯罪以及共同抗击网络犯罪的意识，提供的数据和分析能够对读者的计划和安全工作有所帮助。下面介绍几项重点内容：

数据收集

在为本报告提供的数据方面，USSS、NHTCU、AFP、IRISS和PCeU将Verizon的要求作为通用的标准，调查范围已缩小到仅涉及确认的组织数据失窃之内。

统计数据摘要

数据失窃背后有哪些人？

攻击来源所占百分比与2011年DBIR相比

源于外部攻击者98%增加6%

有牵连的内部员工4%减少13%

业务合作伙伴窃取数据<1%

与犯罪分子集团有关58%

毫无意外，外部人员仍然占据企业数据失窃行为的主体。有组织的犯罪占大多数失窃行为的主体，他们窃取的数据超过了其他群体。外部攻击人员所占的比例上升，而内部人员受牵连的事件比例今年再次下滑至不足4%。

失窃是如何发生的？

攻击手段所占百分比与2011年DBIR相比

利用一些黑客形式81%增加31%

加入恶意软件69%增加20%

涉及物理攻击10%减少1.9%

利用社会策略7%减少4%

源于特权的误用5%减少1.2%

2011年数据中，黑客和恶意软件事件均大幅增加，而所有失窃记录几乎都与黑客有关，是大多数失窃事件背后的主体，许多攻击通过将窃取或推测的凭据(用来获得访问权限)与后门(用来保留访问权限)结合在一起，不断绕过或规避身份验证。

存在哪些共性？

共性特征所占百分比与2011年DBIR相比

受害者是意外目标79%减少6%

攻击不是非常困难96%增加4%

失窃数据涉及服务器94%增加12%

失窃事件需要数周或更长时间才会被发现85%增加6%

事件由第三方发现92%增加6%

失窃事件可通过简单或中间控制而避免97%增加1%

受*PCI DSS约束的受害者不合规96%增加7%

从黑客活动可以发现，目标选择更多是基于时机，而非特定的选择，大多数受害者成为侵害对象，因为他们有易于利用的弱势，而不是因为攻击者事先已确定他们为攻击目标。大多数受害者所受到攻击都不是非常困难的攻击，而更为复杂的攻击通常是在获得初始的访问权限后，在攻击的后续阶段才会展现此特点。

鉴于此，我们说大多数失窃事件在攻击前采取基本的应对措施即可避免。*PCI DSS忠诚度水平低突出说明相关组织的管理存在许多问题。

虽然通常至少存在一些失窃的证据，但受害者一般不会发现自己的失窃事件。通常，第三方会向他们告知失窃情况，但不幸的是，他们得知失窃情况一般是在失窃事件发生数周或数月之后。您是否注意到大多数失窃事件变得更糟?

威胁事件概述

#FormatImgID_0# #FormatImgID_1#

图1 高度威胁事件与外界因素的关系

横坐标的内容是：恶意软件、黑客、社交、误用、物理、错误、环境。

横坐标下面的内容是：外部、内部、合作伙伴。

纵坐标的内容是：服务器、网络、用户设备、脱机数据、人员。

纵坐标下面的内容是：机密性和所有权、完整性和真实性、可用性和用途。

我们再来看这些表格，其中的所有数据集的结果与我们2011年DBIR存在很多相似之处。最大的变化在于“误用”和“物理”方面的热点数有所下降，而针对服务器和用户设备的“恶意软件”和“黑客”的数量则超过以往任何时候。

图2 产业组织泄露事件贡献百分比

图2从泄露事件数的分析，显示酒店和餐饮行业占54%，零售贸易占20%，金融和保险行业占10%，健康保健和社会团队占7%，信息行业占3%，其他占6%。说明数据泄漏主要是酒店和餐饮行业，这些企业应该有所警惕。

图3按行业组织分析受损记录数

图3从泄露数据的规模分析，3%是其他行业，45%是制造业，52%是信息产业。按泄露大于1M记录的行业组织分析受损记录，6%其他，7%信息行业，9%酒店和餐饮服务，10%行政和支援服务，28%是零售贸易，40%是金融和保险。从这个图表能够清楚看出在金融和保险、信息行业中，数据是集中存储，泄露后影响巨大。

图4 受损资产的泄露事件和泄露记录规模百分比

图4中分析了与泄露事件和泄露记录规模与受损资产之间的关系，通过统计后的数据我们可以知道，数据库服务器在所有组织中占96%，在大型组织中占98%，名列第一名;其次是Web应用服务器，在所有组织中占80%，在大型组织中占82%;第三名是用户设备的桌面系统或工作站，在所有组织中占34%，在大型组织中占36%。用户的重要数据集中存储于数据库，毫无悬念地成为发生数据泄露事件的主要位置。

受黑客和恶意软件的数据泄露影响统计

图5 大型组织的泄露事件和泄露记录数在威胁活动种类的百分比

如图5所示，说明恶意软件和黑客是主要泄露事件和泄露记录数的来源，值得我们防范。通常网络犯罪活动分子部署的攻击方法都相对简单，很多时候，黑客似乎在寻找任何他们可以找到的弱点，从而攻击企业。在造成攻击事实后，他们再发布信息，给出一个他们攻击该企业的原因。

从DBIR的数据泄露事件可以看出，79%的攻击都是机会型的，其中许多涉及到黑客。在所有的攻击中，96%都不是高难度的，黑客以Web应用程序漏洞为目标，获得对网站后面的Web服务器的访问。同时，Web应用程序是第三大最常见的攻击目标，所有数据丢失中有超过三分之一与此有关，56%的大型企业数据泄露都是通过Web应用程序。

此外，远程访问服务是自动化攻击者最喜欢的攻击媒介，88%的泄露事件由其产生，而后门是第二个最常见的黑客攻击途径。虽然DBIR中有一些财务数据被黑客盗取了，但个人身份信息、企业邮箱、密码文件和受害企业的架构信息才是黑客们窃取的主要数据。黑客攻击会对企业造成伤害，据报道，针对Stratfor的攻击使该公司至少损失200万美元，导致70万美元未经授权的信用卡收费，影响了Stratfor在客户中的信誉度。

自动化大规模攻击对大型和中小型企业的影响

虽然黑客有针对性的攻击主要指向高价值的目标，比如政府机构、国防工业基地或金融机构，但根据2012年Verizon的DBIR提到，大部分受害者是一些小企业，他们受到商业攻击的危害，暴露了在基本信息安全最佳实践中的弱点。报告指出，这种恶意攻击软件不见得有多深奥，主要是依靠自动化和精细过程。黑客通过大规模自动化攻击普遍缺少防火墙或者其他安全控制的POS机和远程访问系统，发现了一个特殊的弱点，这被称为“伺机攻击”。中小企业，尤其是食品行业和酒店行业的企业，正处在攻击者的瞄准镜中。报告显示，酒店行业和食品行业占数据泄露案例的54%，零售业紧随其后占20%。相比之下，大多数导致数据泄露的有针对性的攻击是针对金融和保险部门的，其中大多数是大型企业;大型企业所遭受的攻击中，超过50%是有针对性的而不是伺机的。

报告指出，在这些大规模、受害者众多的攻击方案中，由于攻击者使用普通的工具就能攻陷成千上万的受害者，因而他们没有必要为定制恶意软件而费心。攻击者也不太可能在一个小型企业身上花费大量的时间，一般小型企业存储在服务器上的所有数据经常在一夜间就能全被盗空。在攻击大型企业时，攻击者更有可能使用后门程序来反复登录系统，悄悄地实施攻击。

国内数据泄露事件和防护建议

2012年Versizon的DBIR为国内大中型企业数据库安全敲响了警钟，但是内部人员对数据泄露的影响统计数据偏低了。下面列举的两个案例从泄露途径上分析，是内部人员、黑客、第三方运营人员以营利为目的，从数据库中窃取大量客户信息在互联网上进行倒卖的。

陕西移动1300万客户信息泄密

2011年5月，联创公司员工周双成，利用为陕西移动提供计费系统开发、维护等工作的职务便利，累计从省移动数据库中提取1300多万用户信息(包括手机号码、月话费消费情况、办卡区域、机主性别、出生年月等)，出售给短信广告公司何某，非法获利几十万余元。

(新闻来源：检察日报2011年9月12日作者：岳红革肖进陈江)

CSDN、天涯等客户信息连续泄密事件

2011年11月，以CSDN、天涯社区，支付宝、当当等电子商务为代表的互联网站用户信息在网络上被集中曝光，CSDN用户信息甚至被刻录成光盘在淘宝上公开售卖，成为我国互联网史上最大规模的用户信息泄露事件 。支付宝被爆泄露用户信息1500~2500万、当当网1200万 …各互联网站要引以为戒，开展全面的安全自查，及时发现和修复安全漏洞。要加强系统安全防护，落实相关网络安全防护标准，提高系统防入侵、防窃取、防攻击能力。

工信部于12月29日发出《工业和信息化部关于近期部分互联网站信息泄露事件的通告》，要求各互联网站要高度重视用户信息安全工作，责令各互联网站要采用加密方式存储用户信息。

随着国内企业信息化的飞速发展，大多数公司都将自己的网站、信息管理系统放到互联网服务器上，很多重要的业务和电子商务支付是通过互联网完成的，因此，当今的企业面临更复杂的信息安全问题。企业的财务系统、ERP、PDM、CRM、HRM或商贸系统如果已经运行若干年，积累了大量至关重要的财务数据、海量的客户信息、产品核心的设计参数、生产计划和交易往来信息，这些数据对于企业自身和竞争对手来说都是价值连城。同时，由于企业员工的变动仍在增加，商业保密和同业禁止效果不明显，在不正当商业竞争和敏感数据的利益诱惑面前，拉拢内部IT工程师、程序开发人员、第三方运维人员、内部合法用户的违规访问等等比创新新的恶意软件要容易得多。

敏感数据在无防护的情况下难以避免外部入侵和内部人员的违规泄露，采用 “主动防御”技术是目前最为成熟和最主流的数据安全保护措施。我们可以对数据库的底层存储进行加密处理，这样，数据文件和备份磁带即使被反向解析仍是加密过的乱码。我们还可以通过增强用户口令的校验强度，增加独立的密文权控体系来防止外部入侵和非法破解。我们需要对于数据库管理员等特权用户进行有效权力拆分，未经安全管理员授权无法访问到密文数据，同时增设审计管理员，可以对授权行为和数据库用户的密文数据访问行为进行审计和追踪。2012年DBIR中提到Web应用程序也是黑客攻击的主要目标，我们可以通过将合法用户与特定的Web应用系统绑定，这样可以防止合法用户或第三方运维人员盗取数据库的账户，通过命令行或管理工具直接访问密文数据，批量窃取数据。

总之，“魔高一尺，道高一丈”，只要我们有安全防护的意识并及早付诸行动，未雨绸缪提前将企业数年积累的、宝贵的敏感数据采用“主动防御”技术进行保护，以20%的成本，获得80%以上的数据安全防护效果，这样企业的信息安全是有保障的。