黑客赢了,而受害者在跟数据泄露通知法案斗智斗勇。

威胁情报平台提供商HackNotice分析了过去三年来6万多份数据泄露报告,分析结果颇为令人不安,包括数据泄露事件增长速率惊人,以及官方数据泄露通知数量相对下降。

在分析中,HackNotice仔细审查了2018至2020年间公开报道的67,529起数据泄露事件。报告来源如下:

黑客披露的数据泄露报告(41,030),包含源自被黑公司的数据。

新闻报道(15,219),也就是最先由在线新闻服务通报的数据泄露报告。

由于最先由黑客披露的数据泄露事件比由新闻服务披露的黑客事件多2.7倍,公司企业想要监控自身或供应商的数据泄露事件,与其关注新闻报道,不如监视暗网。

勒索软件(988),受害者拒绝支付赎金而遭黑客泄露数据的那种。

这一数据并非成功勒索软件攻击的数量,而仅仅是因为双重敲诈攻击越来越频繁而拒绝支付赎金的公司企业数量。此类数据泄露事件通告首发于2020年4月,但到了2021年1月,这一数字上升到了近1,000。也就是说,双重敲诈勒索软件攻击数量持续上升,且该势头在2021年及以后仍将继续。

网站污损(2,243),也就是黑客入侵网站并篡改内容以兹证明。

网站污损一直以来都是激进黑客用来表明自身政治或道德观点的惯用手法。十年前这种手法十分盛行,但近几年似乎流行趋势略减。不过,据HackNotice介绍,2019年7月开始,网站污损卷土重来,2020年4月就急速增多了。考虑到近年来纷繁复杂的地缘政治形势,这一现象毫不令人意外。

很难说这种情况会不会持续,但反映出国家和国际地缘政治状态是一定的。无论在政治敏感领域还是道德敏感领域做生意,公司企业都应多加注意保护自家网站不受污损攻击侵害。

官方披露(9,131),即数据泄露事件上报官方消息源并披露,比如在司法部(DOJ)和卫生与公众服务部(HHS)官网这种国家级网站上公布。

有趣的是,只有13.5%的数据泄露事件是通过官方渠道报告的,这个比例可算不上高。而且,分析开始时通过官方渠道报告的比例还高达25%。

HackNotice位于得克萨斯州奥斯汀市,是成立于2018年的一家初创公司。其CEO兼联合创始人Steve Thomas向媒体透露:“我们从成百上千个消息源收集黑客事件通知(数据泄露、网站污损、勒索软件等等),全天候刮取官方数据泄露披露网站、勒索软件披露站点、API、推特账号和话题标签等等。所有这些事件都进入队列,由安全研究员逐个审核。我们去除掉噪音,识别出真正遭入侵的公司企业,将这些真实的事件录入我们的系统。我们采用机器学习分析每起事件的披露声明,识别到底暴露了什么数据。”

2018到2020年间的数据泄露事件新分析有两个事实尤为有趣:黑客成功入侵案例平稳增长,而通过官方渠道披露的数据泄露事件比例下降。

2018年,HackNotice发现了29,562起上报的数据泄露事件。到2019年12月,披露的数据泄露事件总数升至44,863起,一年增长了51.7%。来到2020年12月,事件总数增至67,529,一年增长50.5%。从绝对数字看,2019年全年新增15,301起,2020年全年新增22,666起。

于是问题来了:我们不断增加安全预算,不断采用更多更高级的安全产品,为什么黑客的成功率还在节节上升?

Thomas认为,这是因为公司企业将防御集中在了错误的领域。他说:“黑客在网络战中高歌猛进,很大程度上是因为他们不针对基础设施,而是对人下手。网络钓鱼、凭证填充、通过接管个人账户染指企业账户……所有这些主要攻击方法都依赖普通员工对自身暴露程度毫无所觉的事实,而且他们也远远不像安全团队那么重视网络安全。”

其他安全专家持有类似观点。Josh Angell是弗吉尼亚州福尔斯彻奇市nVisium公司的应用安全顾问,他表示:“人为失误依然是大部分数据泄露事件的主要原因,只要维护这些网络与系统,能访问公司电子邮件和敏感客户数据的人,不遵循行业最佳实践,那再多的工具和安全编码操作也无济于事。”

加利福尼亚州圣何塞Netenrich公司首席信息安全官Brandon Hoffman解释道:“很多因素造成了数据泄露事件增多。其中一些确实与对手的聪明才智相关,但大多数事件是基础安全的偏差所造成的。安全工具飞速发展,但作为一门学科,安全的重点似乎仍然更多地放在先进工具的使用上这就造成了时间和资源上的问题。”

旧金山Digital Shadows公司威胁情报团队主管Alec Alvarado总结道:“恶意黑客之所以常胜,仅仅是因为他们坚守实测有效的方法。即使部署最全面的网络安全实践,手握数百万美元的网络安全预算,这种强大的安全团队仍会败于精心编造的一封网络钓鱼电子邮件,或是千里之堤溃于区区一个弱密码。”

事实昭然若揭。虽然黑客变得越来越高端,但防御者可能花了太多时间和精力在闪亮新玩具上而忽略了搞好基本安全措施。

HackNotice的研究还揭示了另一个值得注意的结论:通过官方渠道披露的数据泄露事件数量下降了。考虑到国内和国际数据泄露通知法律纷纷出台的大背景,数据泄露事件披露数量下降令人颇为惊讶。HackNotice首席执行官Thomas将此明显异常的原因归结为各州的数据泄露法案,这些州法案常允许被黑公司在30天或更长时间后才发布数据泄露通告。

Thomas称:“美国并未就数据泄露通知设立联邦法案,你不得不遵循各州的法案。然而,每个州的法案都不一样,而且州法案允许被黑公司在30天或更长时间后才披露数据泄露事件。新闻媒体、勒索软件和昂展污损团伙早就在官方通知之前披露了,我们只能坐视官方披露所占份额节节下降。”

不拖延到最后一刻不披露数据泄露事件几乎就是在玩弄司法系统。Netenrich首席信息安全官Hoffman对此表示认同:“我们安全行业也怀疑这其实是在嘲弄数据泄露通知法案,或者说尽最大努力滥用通知期限来美化公司图景,蒙骗投资人和公众。换句话说,如果公司被黑,法定通知窗口期为90天,那他们会用足89天来最大程度地诊断和清理,这样到了不得不披露的那天,就可以宣称问题已经全都解决了。”

nVisium应用安全顾问Angell补充道:“遭遇数据泄露时,数据泄露通知法案不保证公司企业每次会愿意为披露数据泄露而牺牲投资人的信任或甘冒法律诉讼的风险。”

Digital Shadows威胁情报团队主管Alec Alvarado对此还有个很有意思的补充。他承认当前的通知法案给了公司企业避免影响股价和品牌形象的回旋余地,但补充道,“我们经常听说哪家公司宣布‘遭遇了网络安全事件,但并无迹象表明数据被渗漏’。很多情况下这种说辞经不起推敲,因为这不符合黑客的典型动机:都坐拥网络了还不拉取数据或找到变现访问权的方法?”事实上,每当听到“网络安全事件”,我们应该自动猜测“可能出现了数据泄露”。

HackNotice对过去三年间6万多起数据泄露事件的分析,揭示了过去的错误做法和现象,强调了未来网络安全攻击和防御的趋势。最重要的是,这份分析显示出网络罪犯在攻防战中占据了上风。公司企业至少应该夯实基本安全措施,而不是一味在最新、最具噱头的产品上砸钱。

分析还指出,如果掌握自家网络上当前正在发生的事很重要,那通过威胁情报监视暗网比关注新闻推送来得准确多了。此外,当前的数据泄露通知法案并没有真正实现立法的初衷。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。