信息化觀察網(wǎng)

2019 年，美國電信巨頭發(fā)布了 2018 年年度數(shù)據(jù)泄漏報告 (DBIR)，作為安全行業(yè)的重量級調(diào)查報告，值得不斷、仔細(xì)研讀。美創(chuàng)科技根據(jù)報告進(jìn)行了深入的總結(jié)分析，包括醫(yī)療、政府、金融等行業(yè)，希望能夠給合作伙伴以及安全從業(yè)者提供專業(yè)的參考。本篇講述 2018 年政府行業(yè)的數(shù)據(jù)安全形勢。

縱觀 2018 年度 Verizon 數(shù)據(jù)泄露報告，我們可以看到，在眾多行業(yè)數(shù)據(jù)泄漏統(tǒng)計排名中，政府行業(yè)數(shù)據(jù)泄露排名超過醫(yī)療、金融行業(yè)，首次登居榜首。而往年排名第一的醫(yī)療行業(yè)雖已退居第二，金融行業(yè)雖繼續(xù)排名第三，其形勢依然嚴(yán)峻、不容忽視。其中政府行業(yè)數(shù)據(jù)泄漏日益增長的根本原因在于網(wǎng)絡(luò)間諜和國家活動的活躍程度不斷增強。

1、政府行業(yè)數(shù)據(jù)泄露排名穩(wěn)步上升，2018年度高居榜首

從近幾年的 verizon 報告中，可以看到政府行業(yè)的數(shù)據(jù)泄露威脅在每年的排名中均處于穩(wěn)步上升的趨勢，幾乎 “一年一個臺階”：從 2016 年排名第三，2017 年的排名第二到 2018 年的排名第一。其中值得一提的是，政府行業(yè)的安全事件每年獨占鰲頭。

2、政府行業(yè)表現(xiàn)出平均水平的內(nèi)部威脅，內(nèi)部威脅比例快速上升

我們來進(jìn)一步剖析政府行業(yè)數(shù)據(jù)泄漏的原因。從報告中可以總結(jié)出，政府行業(yè)數(shù)據(jù)泄漏表現(xiàn)出的內(nèi)、外部威脅占比與多數(shù)行業(yè)的對應(yīng)占比特征相似，呈現(xiàn)外部占比相對較多，但內(nèi)部威脅快速上升的趨勢。2018 年的政府行業(yè)數(shù)據(jù)泄漏來源占比：內(nèi)部威脅占比 30%，外部威脅占比 75%，來自于合作伙伴的威脅占比 1%，來自于多方的威脅占比 6%。以下就數(shù)據(jù)泄露的幾個重點行業(yè)做比較，分別為：醫(yī)療、金融、政府、信息服務(wù)、制造業(yè)、零售、酒店餐飲。

我們必須注意到，幾乎在每個行業(yè)的數(shù)據(jù)泄漏來源占比中，內(nèi)部威脅正在快速上升,以下為近 8 年來數(shù)據(jù)泄漏來源的統(tǒng)計占比圖：

3、異常猖獗的網(wǎng)絡(luò)間諜活動是政府行業(yè)數(shù)據(jù)安全的最大威脅

高達(dá) 79% 的網(wǎng)絡(luò)間諜活動和國家有關(guān)。而從內(nèi)部來看，主要威脅則體現(xiàn)為各種誤操作和越權(quán)訪問。下圖為 2011 年至今數(shù)據(jù)泄漏原因占比圖，作為一個比較，從全行業(yè)來看，在外部人員導(dǎo)致的泄漏事件中，最主要的威脅來自于組織犯罪和國家間諜，尤其是間諜相關(guān)在最近幾年持續(xù)快速上升，需要引起注意。而在內(nèi)部威脅中，最大的威脅來自于系統(tǒng)管理員，從 2014 年開始持續(xù)上升，2016 年開始快速上揚。

4、入侵動機：間諜是政府入侵的主要訴求

以下為各行業(yè)入侵動機的趨勢分析圖，可以看到政府行業(yè)數(shù)據(jù)泄漏事件特征表現(xiàn)出極大的特殊性：高達(dá) 66% 的入侵是為了間諜活動，財務(wù)訴求僅僅為 29%，完全不同于一般行業(yè)的入侵動機：71% 的財富訴求和 25% 的間諜活動。在過去的一年中，政府行業(yè)的間諜活動訴求表現(xiàn)出爆發(fā)型增長，增長幅度達(dá)到 68%，體現(xiàn)了過去一年復(fù)雜的國內(nèi)國際環(huán)境。

5、入侵目標(biāo)：入侵以獲得內(nèi)部數(shù)據(jù)為主要目標(biāo)

政府行業(yè)的入侵目標(biāo)和入侵動機表現(xiàn)出高度的一致性，以獲得內(nèi)部內(nèi)容數(shù)據(jù)為主要目標(biāo)：68% 的內(nèi)部內(nèi)容信息，22% 的個人信息和 12% 的身份信息。

6、社會工程攻擊、惡意軟件和入侵

社會工程/釣魚、backdoor/C2，這些攻擊手段和網(wǎng)絡(luò)間諜活動表現(xiàn)出高度的相關(guān)性。事實上，社會工程攻擊是最近 5 年發(fā)展最為迅速的攻擊手段。

下圖為全行業(yè)入侵手段和入侵目標(biāo)的 5 年變更，可以看到社會工程攻擊從 17% 增加到 35％，成為最為主流的入侵手段。而在入侵目標(biāo)上，作為社會工程主要目標(biāo)的個人則從 19% 增加到了 39%，具有高度相關(guān)性。

7、惡意軟件：勒索和挖礦雙翼齊飛

勒索軟件在經(jīng)歷了 2017 年的急劇增長之后，2018 年其整體趨于高位平穩(wěn)狀態(tài)。其中， 2018 年勒索威脅最主要的特征即企業(yè)級勒索：81% 的勒索威脅目標(biāo)在企業(yè)，在總體勒索事件有所下降的情況下，企業(yè)市場的勒索占比卻增加了 12%。挖礦病毒則在 2018 年上半年狂飆突進(jìn)，甚至成為了茶余飯后的談資，下半年隨著比特幣價格的下跌，挖礦病毒威脅表現(xiàn)出逐月下跌的趨勢，但總體而言，相較于 2017 年還是增長了 4 倍。

在被勒索病毒影響最為嚴(yán)峻的醫(yī)療行業(yè)，70% 的惡意軟件為勒索病毒，2017 年則為 85%。（由于 verizon 2019 數(shù)據(jù)泄露報告缺乏具體數(shù)字，以上數(shù)字來自于賽門鐵克2018年度互聯(lián)網(wǎng)威脅報告 (ISTR24) ）。

下圖以 C2，ransowmare 和 backdoor 為主要惡意軟件的統(tǒng)計符合 2018 年度猖獗的間諜活動、挖礦和勒索威脅的總體特征。

8、發(fā)現(xiàn)攻擊：政府行業(yè)中攻擊的發(fā)現(xiàn)異常緩慢

通常情況下，執(zhí)行惡意攻擊只要幾分鐘，但發(fā)現(xiàn)攻擊行為卻可能要幾個月時間。緩慢的攻擊發(fā)現(xiàn)在政府行業(yè)中表現(xiàn)得十分明顯，往往黑客或內(nèi)部的攻擊行為需要長達(dá)幾年才會被發(fā)現(xiàn)，其中需要注意的是，和間諜活動相關(guān)的攻擊因其隱蔽性，需要更長的時間才能被發(fā)現(xiàn)。