=Start=
缘由:
简单总结来说就是——自动化和智能化的数据泄露检测是企业需要投资的方向,这有助于提高检测和响应速度,降低数据泄露生命周期,降低数据泄露损失;攻击者正在使用更多方法来窃取有效凭证以获取系统访问权,所以对于凭证盗取/权限滥用的检测需要重点关注;其它基础的访问控制和内部网络隔离以及安全意识培训等手段也需要稳步推进和强化,安全基础要打好,否则上层建筑难以稳固,整体效果也难有保证。
- 数据安全正在变得越来越重要——随着新攻击方法、新漏洞和新风险的出现,数据泄露的成本逐年上升。
- 许多公司的访问控制和内部网络隔离做的并不好导致攻击者进来之后横向移动起来很容易和快速(从首次入侵系统到再次横向移动仅需 84 秒),同时攻击者还依赖于企业糟糕的检测能力和响应时间来实施攻击。
- 网络钓鱼和凭证盗取是两种最常见的攻击载体。
- 公司如果能在自动化或人工智能数据泄露检测方向上有所投资,它的识别、控制和解决数据泄露问题的速度会更快,泄漏生命周期更短,数据泄露成本更低。
- 关键基础设施的数据泄露平均成本要比非关键基础设施行业的数据泄露平均成本高33%左右。最常见的被盗或被泄露数据类型是客户PII(排名前五的数据类型是:客户个人信息、员工个人信息、知识产权、非PII的客户数据、公司数据)。
- 2023 年,规模较大的组织的数据泄露成本有所下降,而规模较小的组织的数据泄露成本大幅上升。规模较大的组织(超过 5000 人)通常拥有更成熟的安全计划,并有更充分的准备来处理任何潜在的数据泄露。虽然规模较大的企业可能拥有更多有价值的数据,但网络犯罪分子要窃取或破坏这些企业的数据将越来越困难。
- 74% 的安全漏洞涉及人为因素,绝大多数安全漏洞都涉及人为因素,包括人为错误、凭证被盗、权限滥用或社会工程学。
正文:
参考解答:
之前业内参考的比较多的是IBM和Verizon每年发的数据泄露报告;
Crowdstrike以前没有发布过类似报告,而且他的报告标题是Global Threat,并不局限或偏向于数据泄露,所以之前关注的不多。
另外还有一个ITRC发布的Annual Data Breach Report之前没怎么注意,前段时间看到的,后面有时间也翻译整理一下。
还有就是Ponemon机构的调查貌似也很出名(但是我之前不知道这家机构,只是在一些文章里面看到过这家机构的名字),好像IBM的数据泄露调查报告实际是由这家机构去做的。
随着新攻击方法、新漏洞和新风险的出现,数据泄露的成本逐年上升。根据 IBM 的《2023 年数据泄露成本报告》,2023 年数据泄露的平均成本为 445 万美元,比 2022 年的 435 万美元增加了 2.3%。
由于威胁环境不断变化,如果企业没有有效的攻击面管理(ASM)或第三方风险管理(TPRM)计划,可能会发现保护数据和系统安全的挑战越来越大。成为网络攻击受害者风险较高的行业或公司必须了解如何保护自己的资产,否则最终可能会因损失、数据被盗、声誉受损等原因而损失数百万美元。
我们收集并总结了以下报告中的数据和发现,以帮助您更好地了解您和您的组织在当今数字世界中可能面临的风险。
2024 年数据泄露报告的18个重要见解
以下是三份数据泄露报告和调查的主要发现:
- 2023 年数据泄露的平均成本达到 445 万美元,比 2022 年的 435 万美元增加了 2.3%(《2023 年 IBM 数据泄露成本报告》)。
自 2020 年以来,数据泄露的平均成本从 386 万美元增加了 15.3%。根据这一轨迹,预计未来几年内成本将达到 500 万美元。
- 恶意软件和破坏性攻击分别占所有网络攻击的 24% 和 25%(《2023 年 IBM 数据泄露成本报告》)。
恶意软件攻击造成的成本和损失平均为 524 万美元,而破坏性攻击造成的成本达到 513 万美元。在 IBM 和 Ponemon Institute 调查的 500 多家企业的所有恶意攻击中,这两类攻击所占比例最大。
恶意软件攻击有多种目的,如窃取数据或敲诈勒索,而破坏性攻击的唯一目的是破坏数据、瘫痪系统或造成不可逆转的损害。民族国家或国家支持的攻击者通常是破坏性攻击的幕后黑手,他们通过0day漏洞、破坏性恶意软件或勒索软件实施这些攻击。
- 威胁分子从首次入侵系统到再次横向移动需要 84 秒(CrowdStrike 2023 年全球威胁报告)
威胁分子横向移动到另一个系统只需 84 秒。虽然许多公司可能会把工作重点放在防止入侵上,但这表明其中许多公司并没有强有力的访问控制或内部网络隔离策略。这意味着,网络犯罪分子一旦进入系统就能获得未经授权的访问权,从而自由驰骋。
- 犯罪分子正在从使用恶意软件访问系统转向(CrowdStrike 2023 年全球威胁报告)
在 Crowdstrike 的《2023 年全球威胁报告》中,2022 年只有 29% 的入侵检测涉及恶意软件,低于 2021 年的 38%。这表明,威胁分子正在使用更多方法来窃取有效凭证和执行漏洞利用,以获取系统访问权。威胁分子还依赖于企业糟糕的检测能力和响应时间来实施攻击。
- 投资自动化或安全人工智能数据泄露检测服务或工具的公司,其数据泄露成本较低,泄露生命周期较短(《2023 年 IBM 数据泄露成本报告》)。
使用自动或人工智能漏洞检测服务的公司比未使用的公司平均降低了 176 万美元的数据泄露成本。此外,它们的数据泄露生命周期也缩短了大约 108 天,其中包括从最初发现威胁、遏制到解决的整个过程。
- 在勒索软件攻击中没有执法部门参与的组织,其成本和漏洞生命周期都更长(《2023 年 IBM 数据泄露成本报告》)。
受勒索软件攻击影响但未选择让执法部门介入的组织,其成本和损失平均增加 47 万美元,漏洞生命周期增加 33 天。这表明,执法部门可以极大地帮助勒索软件受害者恢复数据并将损失降到最低。
- 医疗保健行业的数据泄露成本最昂贵(《2023 年 IBM 数据泄露成本报告》),其次是:
2023 年,医疗保健行业的数据泄露成本最高,平均达到 1,093 万美元,远远超过排名第二的金融行业,后者的数据泄露成本平均为 590 万美元。平均成本最高的前五个行业是:
- 医疗保健 – 1093 万美元
- 财务 – 590 万美元
- 制药 – 482 万美元
- 能源 – 478 万美元
- 工业 – 473 万美元
- 关键基础设施的数据泄露成本平均为 504 万美元,而非关键基础设施行业的数据泄露成本平均为 378 万美元(《2023 年 IBM 数据泄露成本报告》)。
由于关键基础设施(Critical Infrastructure, CI)组织处理的信息和数据类型不同,其数据泄露成本自然较高。事实上,数据泄露成本最高的前五个行业都属于 CI 行业,包括医疗保健、金融、能源等。非 CI 行业通常包括消费品、食品和饮料或旅行/旅游等行业。
- 82% 的安全漏洞发生在云环境中,39% 的云安全漏洞跨越多个环境(《2023 年 IBM 数据泄漏成本报告》)。
在所有数据泄露事件中,82%涉及存储在云中的数据,无论是公共云还是私有云,其中39%的泄露事件跨越多个环境。此外,云安全漏洞与更高的数据漏洞成本密切相关,因为企业需要更长的时间来识别和控制。当漏洞发生在多个环境中时,平均成本达到 475 万美元。值得注意的是,发生在公共云空间的泄密事件的平均成本约为 454 万美元,比发生在公共或内部存储环境的泄密事件的 398 万美元高出 17%。
- 在 200 天内控制住的数据泄露生命周期的平均成本为 393 万美元,而持续时间超过 200 天的数据泄露生命周期的平均成本为 495 万美元(+23%)(《2023 年 IBM 数据泄露成本报告》)。
200 天是大多数数据泄露生命周期的分界点。受数据泄露影响的公司如果能够迅速识别、控制和解决数据泄露问题,其数据泄露成本要远远低于那些需要超过 200 天才能解决问题的公司。持续时间超过 200 天的数据泄露生命周期的数据泄露成本平均为 495 万美元,比持续时间低于 200 天的数据泄露生命周期的成本 393 万美元高出近 23%。
- 2023 年,数据泄露的平均周期为 277 天(《2023 年 IBM 数据泄露成本报告》)。
2023 年,发现漏洞的平均时间为 204 天。2023 年遏制漏洞的平均时间为 73 天,因此漏洞的总生命周期为 277 天。2022 年的平均漏洞生命周期也是 277 天,变化幅度为 +0%。漏洞生命周期平均最长的年份是 2021 年,平均为 281 天。
- 2023 年,规模较大的组织的数据泄露成本有所下降,而规模较小的组织的数据泄露成本大幅上升(《2023 年 IBM 数据泄露成本报告》)。
规模较大的组织(超过 5000 人)通常拥有更成熟的安全计划,并有更充分的准备来处理任何潜在的数据泄露。虽然规模较大的企业可能拥有更多有价值的数据,但网络犯罪分子要窃取或破坏这些企业的数据将越来越困难。我们在 IBM 的报告中看到了这一点,至少拥有 10,000 名员工的公司的成本下降了 1-2% 不等。
取而代之的是,威胁分子将重点转向中小型企业(小于 5000 人),这些企业的保护措施不完善,更容易遭到入侵。与 2022 年相比,规模在 500-5000 人之间的企业的数据泄露成本至少增加了 20%。
- 最常见的被盗或被泄露数据类型是客户 PII(《IBM 2023 年数据泄露成本报告》)。
2023 年被窃取或泄露的前五类数据是:
- Customer PII 客户个人信息
- Employee PII 员工个人信息
- 知识产权(IP)
- Customer data (non-PII) 客户数据(非 PII)
- Corporate data 公司数据
- 74% 的安全漏洞涉及人为因素(《2023 年 Verizon 数据泄漏调查报告》)。
绝大多数安全漏洞都涉及人为因素,包括人为错误、凭证被盗、权限滥用或社会工程学。
- 2023 年,被盗/被破坏的凭证(15%)和网络钓鱼(16%)是两种最常见的攻击载体(《2023 年 IBM 数据泄露成本报告》)。
识别和控制使用被盗或泄露凭证的数据泄露平均需要 328 天,其次是恶意内部人员(308 天)和社会工程(298 天)(《2023 年 IBM 数据泄露成本报告》)。
- 超过 32% 的 Log4shell 事件发生在其发布后的头 30 天内(《Verizon 2023 年数据泄露调查报告》)。
尽管 Log4shell 漏洞是一个严重的全球性事件,影响了许多大型企业,但大多数 Log4j 漏洞后来都打上了补丁,在过去两年中没有影响到许多组织。然而,由于 Log4j 应用程序的广泛使用,许多专家认为它在未来几年仍将是一个普遍存在的漏洞。
- 黑客活动在过去两年大幅增长,并将继续上升(Crowdstrike 2023 年全球威胁报告)
自 2022 年底乌克兰战争爆发以来,Crowdstrike 发现来自俄罗斯的黑客活动显著增加,影响到全球多个国家。这并不是 2023 年唯一的黑客活动–台湾已经有多份报告或事件声称,……。这一部分的可信度存疑,暂不评价。
- 勒索软件攻击的首要攻击媒介是电子邮件(《2023 年 Verizon 数据泄露调查报告》)。
近 35% 的勒索软件攻击源于电子邮件账户被攻破,这涉及毫无戒心的用户自行打开并运行恶意软件。其次是桌面共享和网络应用程序。
各国数据泄露的平均成本是多少?
美国是世界上数据泄露成本最昂贵的国家(《2023 年 IBM 数据泄露成本报告》)。美国的数据泄露成本仍然位居世界前列,这很可能是因为美国公司众多、经济发达、处理的数据量大。
不过,需要注意的一点是,2022 年,中东地区的平均数据泄露成本为 646 万美元。2023 年,这一数字达到 807 万美元,增长了近 20%,显示出成本的大幅跃升。
数据泄露成本最昂贵的前 5 个国家/地区是
- 美国 – 948 万美元
- 中东 – 807 万美元
- 加拿大 – 513 万美元
- 德国 – 467 万美元
- 日本 – 452 万美元
Google搜索:data breach report
https://www.google.com/search?q=data+breach+report
参考链接:
https://www.ibm.com/reports/data-breach
https://www.verizon.com/business/resources/reports/dbir/
https://www.idtheftcenter.org/publication/2023-data-breach-report/
https://go.crowdstrike.com/2023-global-threat-report.html
https://www.proofpoint.com/us/resources/proofpoint-research
2022 Ponemon Cost of Insider Threats Global Report
https://www.proofpoint.com/us/resources/threat-reports/cost-of-insider-threats
Data Breaches Caused by Insiders Increase in Frequency and Cost
https://www.ponemon.org/news-updates/blog/security/data-breaches-caused-by-insiders-increase-in-frequency-and-cost.html
=END=
《 “数据泄露报告导读-翻译整理” 》 有 4 条评论
IBM数据泄露成本报告 2023
https://mp.weixin.qq.com/s/h_lGLUmbKWCwFH387agJTQ
`
写在前面:本文包括两部分,第一部分是对IBM 数据泄露成本报告新内容的总结。第二部分是IBM 数据泄露成本报告原文,但也做了节选,删掉了一些介绍成本变化的报表及后部分对地区和行业的介绍、研究方法等。
Verizon的数据泄露调查报告和IBM数据泄露成本报告,是数据安全领域最重要的两个报告。连续两篇供大家对比。
IBM报告中有几个现象很有意思,发生数据泄露的组织,51%后续会提高产品售价,我们经常在报告中看到某个组织遭受勒索软件攻击,以为和自己无关,其实很多组织最后把成本分摊给消费者。
82%的数据泄露发生在云端,既说明云端的安全还有很多需要加强的地方,也说明本地安全可做的工作日益减少。
《2023 IBM 年数据泄露成本报告》新内容
数据泄露的成本持续增长, 最新研究显示,全球平均成本达到创纪录的445万美元,在三年内增长了15%。医疗健康行业的成本继续高居榜首,连续第13年成为成本最高的行业。然而,随着泄露成本持续攀升,研究指出了遏制数据泄露成本的新机会。
研究由波耐蒙研究所(Ponemon Institute)独立进行,IBM安全(IBM Security)分析并发布,构成了第18期年度数据泄露成本报告。本报告是安全行业领先的基准研究,旨在帮助IT、风险管理和安全领导者识别其安全态势中的差距,并发现哪些措施可以最成功地将代价高昂的数据泄露造成的财务和声誉损失降至最低。
2023年版的报告分析了553家组织的真实数据泄露事件,采访了数千人,分析了数百个成本因素,得出了报告中的结论。(报告中的数据泄露发生在2022年3月至2023年3月之间,因此本文中提到的年份是指研究的年份,而不一定是数据泄露的年份。)
数据泄露成本报告中的主要发现
1. 安全AI和自动化、DevSecOps方法和事件响应计划引领了成本节约的道路。
2. AI和ASM(攻击面管理)加快了对泄露的识别和控制。
3. 当数据存储在多个环境中时,成本很高,并且需要更长的时间来遏制漏洞。
4. 拥有内部团队识别泄露的组织在控制成本方面表现得更好。研究中只有33%的泄露是由组织的内部工具和团队发现的,而执法部门等中立第三方发现了40%的漏洞,其余27%的漏洞是由攻击者披露的,例如勒索软件攻击。然而,与攻击者披露的漏洞相比,那些在内部识别泄露的组织平均节省了100万美元。
在安全方面的投资主要集中在事件响应规划和测试、员工培训以及威胁检测和响应工具方面。尽管只有51%的组织表示他们在数据泄露事件发生后增加了安全投资,但根据该研究,那些增加投资的组织将重点放在有效控制数据泄露成本的领域,以获得可观的投资回报率。其中50%的组织计划投资于事件响应计划和测试;46%组织投资员工培训;38%的组织投资SIEM等威胁检测和响应工具。
`
2023年 Verizon 数据泄露调查报告(DBIR)(下)
https://mp.weixin.qq.com/s/R05P83poz_VEddOkYV5S4Q
`
写在前面:本章主要对VERIS定义的八种事件分类模式做具体说明。
1. 系统入侵
# 概要
* 这种模式主要是关于专业犯罪人员实施的攻击,他们利用在黑客攻击和恶意软件方面的专业知识来破坏和/或影响不同规模的组织,经常利用勒索软件作为他们赚钱的手段。
# 事件统计
随着攻击者利用大量不同的技术来破坏组织,勒索软件继续在这种模式中占据主导地位。
* 频率:3966起事件,1944起已确认数据泄露
* 威胁攻击者: 外部(96%),内部(4%),多重(2%),合作伙伴(1%)
* 攻击者动机: 财务(97%),间谍(3%)
* 数据丢失:其他(42%),个人(34%),系统(31%),内部(24%)
2. 社会工程
# 概要
* 社会工程事件比去年有所增加,主要是由于使用Pretexting(假托(pretexting)通常是一个骗局,欺骗者在骗局中假装需要信息来确认对话人的身份。在和目标对象建立信任之后,假托者可能会问一系列问题来收集关键的个人身份信息),这在BEC中经常用到,自去年以来几乎翻了一番。加上这些攻击的频率,在过去几年中,这些攻击中被盗金额的中位数也增加到50,000美元。
# 事件统计
因此,网络钓鱼和Pretexting继续主导着这种模式,确保电子邮件仍然是影响个人的最常见手段之一。
* 事件频率:1700起事件,928起已确认数据泄露
* 威胁攻击者: 外部(100%),多个(2%),内部(1%),合作伙伴(1%)
* 攻击者动机: 财务(89%),间谍(11%)
* 数据丢失:凭证(76%),内部(28%),其他(27%),个人(26%)
3. 基本的Web应用攻击
# 概要
* 虽然这些泄露和事件约占我们数据集的四分之一,但它们往往主要是由针对凭证的攻击驱动的,攻击者随后利用这些被盗的凭证访问各种不同的资源。
# 事件统计
错误选择和保护不当的密码仍然是这种模式中泄露的主要来源之一。
* 频率:1404起事件,1315起已确认数据泄露
* 威胁攻击者:外部(100%),内部(1%),多重(1%)
* 攻击者动机:财务(95%),间谍(4%),娱乐(1%)
* 数据丢失:凭证(86%),个人(72%),内部(41%),其他(19%)
4. 杂项错误
# 概要
* 错误交付、错误配置和发布错误仍然是头条新闻,导致泄露的错误通常是由系统管理员和开发人员犯下的。
# 事件统计
员工不断犯错,有时会对组织造成相当大的损害。
* 频率: 602次,512次确认数据泄露
* 威胁攻击者: 内部(99%),合作伙伴(2%),多个(1%),外部(1%)
* 数据丢失:个人(89%),医疗(19%),其他(10%),银行(10%)
5. 拒绝服务攻击
# 概要
* 由于拒绝服务继续在我们的事件中占主导地位,因此缓解服务的能力也是如此。然而,低容量攻击的死灰复燃仍然会给企业带来问题。
# 事件统计
拒绝服务攻击仍然无处不在,并且多年来一直是事件攻击的首选。
* 频率:6248次事件,4次确认数据泄露
* 威胁攻击者: 外部(100%)
6. 丢失和被盗的资产
# 概要
* 对于组织来说,这种模式仍然是一个问题,因为这些小型设备非常便携。我们已经看到它们存储大量数据的能力随着时间的推移而增加,而员工遗漏(或外部攻击者窃取数据)的能力仍然是可以预见的普遍现象。
# 事件统计
设备和媒介更有可能被内部人员丢失,而不是被外部攻击者窃取。
* 频率:2091起事件,159起已确认数据泄露
* 威胁行为者:外部(92%),内部(68%),多重(60%),合作伙伴(1%)
* 攻击者动机: 财务(100%)
* 数据丢失:个人数据泄露(87%),医疗(30%),其他(21%),银行(13%)
7. 权限滥用
# 概要
* 您的员工继续使用他们的访问权限进行泄露行为,在某些情况下,还会发起欺诈性交易。今年,我们看到了更多不同类型的参与者之间的勾结。
# 事件统计
根据定义,这种模式继续以内部参与者为主。大多数人的动机是为了经济利益,个人数据仍然是最受欢迎的目标。
* 频率:406起事件,288起已确认数据泄露
* 威胁攻击者: 内部(99%),多重(7%),外部(6%),合作伙伴(2%)
* 攻击者动机:财务(89%),怨恨(13%),间谍(5%),便利(3%),好玩(3%),意识形态(2%)
* 数据丢失: 个人(73%),医疗(34%),其他(18%),银行(12%),支付(12%)
`
2023年 Verizon 数据泄露调查报告(DBIR)(上)
https://mp.weixin.qq.com/s/tNYptKx_-FohJwXEpaFvfA
`
写在前面:Verizon和IBM的数据泄露调查报告是业内最有名的两个关于数据安全的报告,各有侧重。2022年IBM的报告我以前介绍过,更关注数据泄露成本。Verizon的报告方法很科学,内容很详尽,涵盖了主要的行业,尤其是对各种攻击技术都做了介绍。报告内容很多,我重点介绍前部分关于技术的章节,后部分详细分析各个不同行业遭受的攻击特点等,和国内差异较大,就先略过了。内容较多,分两篇介绍。
报告的事件统计时间为2021年11月1日到2022年10月31日。
在统计各类事件的时候,文中有时用事件,有时用泄露,事件指危及信息资产完整性、机密性或可用性的安全事件。
泄露指导致数据被确认泄露(而不仅仅是潜在的泄露)给未授权方的事件。例如,分布式拒绝服务(DDoS)攻击通常是一个事件,而不是一个漏洞,因为没有数据泄露。
# 调查总结
社会工程攻击通常非常有效,网络罪犯获利不菲。也许这就是为什么商业电子邮件入侵(BEC)攻击(本质上是pretexing攻击)几乎翻了一番,在社会工程中占了50%以上。【假托(pretexting)通常是一个骗局,欺骗者在骗局中假装需要信息来确认对话人的身份。在和目标对象建立信任之后,假托者可能会问一系列问题来收集关键的个人身份信息】
74%的数据泄露事件包括人为因素,涉及错误、特权滥用、使用被盗凭证或社会工程。
83%的数据泄露涉及外部攻击者,95%的数据泄露中,攻击的主要动机仍然是金钱驱动。
攻击者访问组织的三种主要方式是窃取凭证(50%)、网络钓鱼(10%)和利用漏洞(5%)。
勒索软件继续作为最主要的攻击类型之一占据统治地位,虽然它实际上并没有增长,在统计上稳定地保持在24%。勒索软件在各种规模和行业的组织中无处不在。
在这一年中,超过32%的Log4j扫描活动发生在其发布后的30天内(最大的活动高峰发生在17天内)。
Log4j在我们的数据贡献者的事件响应中是如此重要,以至于90%的使用漏洞攻击事件中,在评论部分都有“Log4j”或“CVE-2021- 44228”。而只有20.6%的事件有评论。
# 结果和分析
在VERIS中,我们用来描述事件的核心分类被称为4A:攻击者(Actor)(谁)、行动(Action)(如何)、资产(Asset)(哪里)和属性(Attribute)(什么)。即使在一天结束时,其中一些因素对于调查事件的各方来说是未知的,一个事件需要所有这四个因素才是“完整的”。请关注我们在每个小节中的指导性标注,其提供了有关VERIS分类的更多背景信息。
## 攻击者分类
* 外部:外部威胁源自组织及其合作伙伴网络之外。例子包括犯罪集团、单独黑客、前雇员和政府实体。这个分类还包括上帝(如“某些行为”)、自然界和随机机会。通常,对外部实体没有信任或权限。
* 内部:内部威胁是指来自组织内部的威胁。这包括公司的全职员工、独立合同工、实习生和其他员工。内部人员值得信任和享有权限(有些人比其他人享有更多权限)。
* 合作伙伴:合作伙伴包括与组织共享商业关系的任何第三方。这包括供应商、销售商、托管服务商和外包IT支持,赋予某种程度的信任和权限。注意,攻击者可以使用合作伙伴作为攻击渠道,但在这种情况下,这并不能使合作伙伴成为攻击者。除非是合作伙伴发起攻击。
## 行为分类
* 黑客攻击:试图在没有(或超过)授权的情况下,通过绕过或破坏逻辑安全机制,有意访问或损害信息资产。
* 恶意软件:任何在设备上运行的恶意软件、脚本或代码,在未经所有者知情同意的情况下改变设备的状态或功能。
* 错误:错误地或无意中完成(或未完成)的任何事情。
* 社会工程:利用欺骗、操纵、恐吓等手段,攻击信息资产中的人或用户。
* 滥用:使用得到信任的组织资源或权限,任何与预期相反的目的或方式。
* 物理:深思熟虑的威胁行为,包括接近、占有或武力。
* 环境:不仅包括地震和洪水等自然事件,还包括与资产所在的直接环境或基础设施相关的危害。
## 资产分类
* 服务器:支持组织某种功能的设备,通常没有最终用户交互。所有的网络应用程序、邮件服务、文件服务器和所有神奇的信息层都是在这里产生的。如果有人告诉您“系统已关闭”,请放心,某些服务器的可用性受到了影响。服务器是几乎所有攻击模式的常见目标,尤其是在系统入侵、基本Web应用程序攻击、杂项错误和拒绝服务模式中。
* 人:在组织中从事这项工作的人(希望如此)。不包括人工智能聊天。不同类型的人将是不同部门的成员,并且在组织中具有源于此角色的相关许可和访问权限。至少,他们可以使用自己的用户设备,实现自己对未来的希望和梦想。人是社会工程攻击模式中常见的目标。
* 用户设备:用户在组织中执行工作职责所使用的设备。通常表现为笔记本电脑、台式电脑、手机和平板电脑。系统入侵模式中的常见目标,但也存在于资产丢失和被盗模式中。人们确实喜欢带着他们的小电脑到处走。
* 网络:不是概念,而是实际的网络计算设备,使比特在世界各地流通,如路由器、电话和宽带设备,以及一些传统的在线网络安全设备,如防火墙和入侵检测系统。
* 介质:以最纯净的结晶形式稀释的宝贵数据。开玩笑的,主要是u盘和打印文件。您会不时看到奇怪的硬盘和实际的物理支付卡,但这些都是比较罕见的。常见于丢失和被盗资产模式中。
## 属性分类
* 保密性:指对资产(或数据)的观察和披露受到限制。机密性的丧失意味着数据实际上被观察到或披露给了未经授权的攻击者,而不是处于危险、风险或潜在被暴露(后者属于占有和控制的属性)。
简短定义:受限的访问、观察和披露。
* 完整性:指资产(或数据)保持完整,相对于原始或授权的状态、内容和功能保持完整和不变。完整性损失包括未经授权的插入、修改和操作。
简短定义:完整的,未改变的。
* 可用性:指资产(或数据)就绪、可访问并在需要时准备好使用。可用性损失包括销毁、删除、移动、性能影响(延迟或加速)和中断。
简短定义:在需要的时候可以使用和访问。
# 模式分类
* 基本Web应用攻击
这些攻击是针对Web应用程序的,在最初的入侵之后,它们没有大量的附加动作。这是一种“进入、获取数据、然后退出”的模式。
* 拒绝服务
这些攻击旨在破坏网络和系统的可用性。这包括网络和应用层攻击。
* 丢失和被盗资产
信息资产丢失的事件,无论是由于放置不当还是恶意,都被分组到此模式中。
* 杂项错误
无意行为直接损害信息资产安全属性的事件属于这种模式。这还不包括设备丢失,因为设备丢失属于盗窃
* 特权滥用
这些事件主要是由未经批准或恶意使用合法权限造成的
* 社会工程
这种攻击涉及到一个人的心理影响,改变他们的行为,采取行动或违反保密性。
* 系统入侵
这些是复杂的攻击,利用恶意软件和/或黑客来实现他们的目标,包括部署勒索软件。
* 其他项
这种“模式”根本就不是真正的模式。相反,它涵盖了所有不符合其他模式的有序范围的事件。就像那个容器,里面装着你不再拥有的电子产品的所有电缆:以防万一。
`
Data Breach 数据泄露
https://www.cyberark.com/zh-hans/what-is/data-breach/
https://www.cyberark.com/what-is/data-breach/
`
数据泄露指恶意内部人士或外部攻击者未经授权访问机密数据或敏感信息,例如病历、财务信息或个人身份信息(PII)的安全事件。数据泄露是最常见且代价最高的网络安全事件之一。它们影响着各种规模、行业和地域的企业,并以惊人的频率发生。
# (数据泄露的种类繁多)Data Breaches Come in a Variety of Flavors
(意外的网络/互联网暴露)Accidental Web/Internet Exposure where sensitive data or application credentials are accidentally placed in a location accessible from the web or on a public repository like GitHub.
(未授权访问)Unauthorized Access where bad actors exploit authentication and authorization control system vulnerabilities to gain access to IT systems and confidential data.
(敏感数据数据明文传输)Data on the Move where perpetrators access sensitive data transmitted in the clear using HTTP or other nonsecure protocols.
(员工错误/疏忽/处置不当/损失)Employee Error/Negligence/Improper Disposal/Loss where bad actors exploit weak or unenforced corporate security systems and practices or gain access to misplaced or improperly decommissioned devices.
(黑客/入侵)Hacking/Intrusion where an external attacker steals confidential data via phishing, malware, ransomware, skimming or some other exploit.
(内部盗窃)Insider Theft where a current or former employee or contractor gains access to confidential data for malicious purposes.
(实体盗窃)Physical Theft where data is extracted from stolen laptops, smartphones or tablets.
# (防止和缓解数据泄露的方法)Preventing and Mitigating Data Breaches
(特权访问安全)Privileged access security solutions to monitor and control access to privileged system accounts, which are often targeted by malicious insiders and external attackers.
(多因素验证)Multi-factor authentication solutions to strengthen identity management, prevent impersonation and reduce risks associated with lost or stolen devices or weak passwords.
(端点威胁检测和响应)Endpoint threat detection and response tools to automatically identify and mitigate malware, phishing, ransomware and other malicious activity that can lead to a data breach.
(最小权限管理)Least privilege management practices to tightly align access rights with roles and responsibilities so that no one has more access than they need to do their job. This helps reduce attack surfaces and contain the spread of certain types of malware that rely on elevated privileges.
`