Posted in 安全

从Verizon数据泄露报告看金融数据安全

 2019年9月24日
2019年,美国电信巨头发布了2018年年度数据泄漏报告(DBIR),作为安全行业的重量级调查报告,值得不断、仔细研读。美创科技根据报告进行了深入的总结分析,包括医疗、政府、金融等行业,希望能够给合作伙伴以及安全从业者提供专业的参考。本篇主要讲述金融行业的数据安全形势。金融行业在各行业中数据泄露的问题排行第三。
01
金融行业在每年的数据泄露报告排名稳居三甲
Verizon数据泄露报告自2008年首期发布至今,已有12年,其中金融行业在每一年基本都位列三甲。在医疗和政府行业崛起之前,金融行业排名更是每年居于首位。数据价值的泛化和其他行业相对低廉的入侵成本使金融行业在近几年入侵排名保持总体稳定,但相信随着其他行业安全措施的进一步增强和入侵成本的提高,金融数据的核心价值会使入侵事件再次聚焦于金融行业。
02
金融行业内部威胁攻击表现异乎寻常
一直以来金融行业的威胁主要来自于外部,但2018年度的报告却出现明显异常:其整体行业的内部威胁占比从2016年的6%,2017年的7%,跃升到了2018年的36%。
目前,还无法确认造成这种不合常规变化的原因,但从近几年的内部威胁占比趋势来看,内部威胁持续快速增长是全行业的趋势,下图为全行业内外部威胁的趋势增长情况:
在外部威胁中,来自间谍的威胁比重在金融行业表现逐年活跃,从2016年的1%,2017年的5%到2018年的10%,这与全行业间谍活动的加剧具有高度一致性。从全行业来看,在外部人员导致的泄漏事件中,最主要的威胁来自于组织犯罪和国家间谍,尤其是间谍相关活动在最近几年持续快速上升,需要引起重视。在内部威胁中,最大的威胁来自于系统管理员,从2014年开始持续上升,2016年开始快速增长。

下图为相关行业内外部威胁情况比较,可以看到金融行业内部威胁与其他大部分行业相比并无特殊,依然是外部威胁高于内部威胁,但内部威胁的增长似乎证明高级别的内部安全管控在2018年中没有发挥太大的作用。
03
财富诉求是主要的入侵动机,但间谍活动占比明显增多
在金融行业中,88%的入侵动机是财富诉求,10%的入侵来自于间谍活动。值得注意的是,近几年,间谍活动在金融行业快速增加:从2016年1%的占比,2017年的5%,以及到2018年的10%。
显然间谍活动的加剧和2018年度全行业的整体趋势表现出很大的一致性,从下图可以看出间谍活动在2018年度空前活跃。这种活跃可能和2018年度极其复杂的国内国际形势相关,可以预估2019年度会延续这种状态。我们比较一下不同行业入侵的动机:
04
入侵目标:金融行业数据的广泛价值特征

金融行业入侵的数据目标具有广泛性,包括43%的个人信息、38%的身份信息、38%的内部信息,分布相对均衡,这也体现了金融行业各类数据的高价值性。

同时从下图也可以看到,个人信息和身份信息较2017年度更加受到了入侵者的青睐。
05
社交工程攻击、恶意软件和入侵
入侵、社交工程、恶意软件为主要的入侵手段,基于ATM的物理侵入则继续保持下跌的趋势。社交工程攻击超过恶意软件成为第二大攻击手段,这和全局性观察一致。事实上社交工程攻击也是最近5年发展最为迅速的攻击手段。
下图为全行业入侵手段和入侵目标的5年变更,可以看到社交工程攻击占比从17%增加到35%,成为最为主流的入侵手段。而在入侵目标上,作为社交工程主要目标的个人则从19%增加到了39%,具有高度相关性。
06
恶意软件:勒索和挖矿双翼齐飞
勒索软件在经历了2017年的急剧增长之后,2018年其整体趋于高位平稳状态。其中, 2018年勒索威胁最主要的特征即企业级勒索:81%的勒索威胁目标在企业,在总体勒索事件有所下降的情况下,企业市场的勒索占比却增加了12%。挖矿病毒则在2018年上半年狂飙突进,甚至成为了茶余饭后的谈资,下半年随着比特币价格的下跌,挖矿病毒威胁表现出逐月下跌的趋势,但总体而言,相较于2017年还是增长了4倍。在被勒索病毒影响最为严峻的医疗行业,70%的恶意软件为勒索病毒,2017年则为85%。(由于verizon 2019数据泄露报告缺乏具体数字,以上数字来自于赛门铁克2018年度互联网威胁报告(ISTR24))。

下图以C2,ransowmare和backdoor为主要恶意软件的统计符合2018年度猖獗的间谍活动、挖矿和勒索威胁的总体特征。

07
发现攻击:攻击事件需要几周到几月的时间来发现
执行攻击只要几分钟,发现有攻击事件发生却可能要几周、几月甚至到几年的时间。是否可以被及时发现,更多依赖于泄露数据的类型。

相关内容: