應用程式和使用者帳密是網路攻擊者的首要目標,駭客藉此取得入侵系統之鑰,發動改變我們網路安全觀的資料攻擊,F5 Labs研究27國37個行業跨越12年的433件資料外洩案例,找出導致資料外洩的初始攻擊型態。
網路犯罪曾經只是極少數駭客的偏差行為,不過現在已成為非法線上活動的顯著部分之一。國際網路犯罪者在地下網站和聊天室買賣竊取而來的帳密與資料,邪惡政權和惡意集團經常聘用駭客去干擾和滲透他們的敵人。
Pew Research Center在2017公布一份報告,指出64%美國人成為資料外洩的受害者。FBI運營的網路犯罪申訴中心(Internet Crime Complaint Center,IC3)則指出,網路犯罪損失額在過去5年增加176%,從2012年的5.25億美元增加到2016年的14.5億美元。而身分識別竊盜資源中心(Identity Theft Resource Center)報告,2016年資料外洩比前一年增加40%。
我們生活在一個威脅不見趨緩的網路犯罪時代。這些網路犯罪者是何等人物?他們如何鎖定受害目標?他們的目的為何?從實際的執法情資和過去幾年的案件調查,我們可以弄清楚網路犯罪者操弄電腦和人類所運用的特別戰術和技巧。然後,從這些資料導出實用的防衛措施,保護潛在的受害目標,同時削弱網路犯罪者的破壞力。
借鏡他人的經驗將有助於改善自身的防衛能力,了解攻擊者如何侵入其他公司的系統,並從受害公司的遭遇學習該如何做好防衛措施。
釐清兩點疑問設定研究範疇
為了解攻擊者如何鎖定目標,F5從攻擊路徑找出那些導致高衝擊資料外洩事件的初始目標,以便於釐清以下兩點疑問:
‧對攻擊者而言,什麼樣的組織會成為他們的目標?
‧為了舒緩攻擊,什麼地方是加強安全管控的最有效場所?
再者,F5也研究了不同產業的資料外洩事件,以了解是否存在不同的攻擊型態或根本原因,以及受害公司的損失是否會因為攻擊類型的不同而異,藉此了解是否某些攻擊的衝擊大於其他攻擊類型。對於企業而言,資料外洩數量或者終極代價是否有顯著差異?
這項研究的範疇包括資料外洩數量、企業成本損失或攻擊者已確認的案例。分析了27國跨越37個產業的433案例,涵蓋北美、南美、歐洲、中東、亞洲和非洲。
透過評估案例以了解攻擊計畫、初始目標和根本原因(攻擊者如何找到攻擊機會),以及最終目標。這項研究涵蓋廣泛的攻擊類型和目標,以確保分析的完整性。
令人震驚的數字出現
在F5研究的338個案例中,遭攻擊的資料將近120億筆(11,768,384,080)。平均一次攻擊的資料外洩數量達34,817,704筆。從另一個觀點來看,現在全球人口有75億,而線上人口在2017年6月30日為38億。這相當於全球每一個人約1.6筆記錄遭侵入(就算不在線上,也不等於資料不在線上),或者每一個線上使用者有3筆記錄遭竊。不過,這與真正遭竊的資料相比只是一小部分。
|
▲從攻擊路徑找出是那些初始目標而導致高衝擊資料外洩事件。 |
不讓人驚訝的是,大多數案例中遭竊的資料為電子郵件地址、使用者名稱和密碼,因為每一個線上帳戶都有這些資料,總計超過100億筆記錄。這個數字相當驚人,因為這些資料正是攻擊者侵入線上帳戶所需的。有了這些資料,就可以進一步竊取更多資料。許多情形下,密碼都是在沒有加密的狀態下遭竊。許多企業嘗試以雜湊技術保護密碼,不過雜湊機制對於進階的攻擊者而言很容易破解。
|
▲令人震驚的惡意攻擊與外洩資料統計。 |
每發生一次資料外洩,攻擊者就掌握更多資料,讓他們越來越容易破解密碼。超過10億(1,030,275,438)信用卡號碼在338次駭客事件中遭竊。2017年發行的信用卡數量約9.05億張。由於這338個案例的發生時間跨越12年,並且包含一些已取消或過期的卡片,因此大多數應該不是使用中的卡片。然而,許多情形下,被駭的組織經過多年都不知道曾經遭駭客入侵,直到他們的資料被放在線上販售時才發現。這顯示攻擊者侵入公司並且將資料留在手上多年後才使用。有時候,攻擊者竊得的信用卡資料數量超過他們的負荷,因此無法及時完成銷贓動作。
從遭竊的帳密數量和破解雜湊密碼來看,我們可以合理假設使用者重複使用任何線上密碼或者長期使用相同的帳密組(包含使用者名稱和密碼),那就有遭駭客竊取的可能。
竊取資料的途徑:帳密是鑰匙,應用程式是門戶
以下由依照初始攻擊目標分析攻擊、依照初始攻擊目標分析案例、依照被駭組織的金錢損失分析初始攻擊目標,以及依照根本原因分析駭客攻擊來做進一步的分析。
依照初始攻擊目標分析攻擊
許多情形下,初始目標並非終極目標。網路攻擊者鎖定一位使用者以便進入一支應用程式,或者從應用程式直接竊取資料。