ITRC《2024年上半年数据泄露分析》报告解读|复杂多变的网络攻击技术导致数据泄露事件频发
2024-10-8 17:40:0 Author: mp.weixin.qq.com(查看原文) 阅读量:20 收藏

一.  概述

2024年7月,身份盗窃资源中心(Identity Theft Resource Center, ITRC)发布了《2024年上半年数据泄露分析》(H1 2024 Data Breach Analysis)。报告统计了2024年1月7日至2024年6月30日期间发生的1571起网络攻击事件。这一期间内,全球数据泄露事件不仅数量显著增长,受害者人数更是因几起大规模攻击而激增。随着攻击者手法的日益复杂与多样化,网络攻击的规模和威胁也在不断扩大,企业和组织正面临前所未有的安全挑战。接下来,我们将结合统计报告中的数据,就报告结论进行解读,分析数据背后的关键趋势和安全挑战。

二.  ITRC简介

身份盗窃资源中心(Identity Theft Resource Center, ITRC),于1999年12月在美国加利福尼亚州圣地亚哥成立,是一家非盈利性组织,资金来源于政府拨款、商业服务和赞助以及企业捐款。致力于授权和指导消费者、受害者、企业和政府,以最大程度地降低泄露风险并减轻身份泄露和犯罪带来的影响。

ITRC官网宣称,他们拥有美国最大的数据泄露信息数据库,泄露数据来源于政府机构、新闻媒体、公司新闻稿、文件和出版物、行业和贸易网站以及消费者或公司提供的直接通知。除发生重大数据泄露外,其余数据均在周内进行更新入库。其出版物主要包含“身份盗窃趋势和影响研究”、“数据泄露研究”两个专题,《2024年上半年数据泄露分析》便是数据泄露研究专题下发布的报告,该专题分别以“季度”、“半年度”以及“年度”的方式对外发布研究报告。

三.关键结论分析

结论一:

 相比2023年同期,2024年上半年数据泄露事件数量增长14%,受害者人数激增5倍

如图1所示, ITRC的统计数据显示,2024年上半年,共发生了1571起数据泄露事件,较2023年同期的1382起增长了约14%,较2022年同期的817起增长了约92%。此外,受影响的用户数量约为10.79亿,几乎是2023年(1.83亿)的6倍, 2022年(6.2万)的17倍。这一趋势表明,数据泄露事件的数量和影响范围都在快速扩大,企业和组织面临的安全挑战日益严峻。

图1 2022到2024年上半年泄露事件对比

结论二:

TOP 10数据泄露事件的受害者占总受害者人数的96%以上,展示出少数事件对整体影响的显著性

2024年上半年,共有10.79亿用户受到数据泄露的影响,其中96%以上的受害者源自少数几起大规模数据泄露事件。如图2所示,Ticketmaster Entertainment泄露事件影响了约5.6亿人,Advance Auto Parts事件波及约3.8亿人,Dell Technologies事件则涉及了4900万人。除此之外,loanDepot泄露事件影响了约1692万人,Kaiser Foundation Health Plan事件涉及1340万人,美国环境保护署(EPA)事件波及846万人,Infosys McCamish Systems LLC事件影响607万人。其他重要事件还包括:Omni Hotels and Resorts事件影响350万人,Financial Business and Consumer Solutions事件波及343万人,A&A Services dba Sav-Rx事件影响281万人。仅TOP 10数据泄露事件就影响超过10.41亿人,超过总受害者人数的96%。这意味着,虽然在2024年上半年发生了1571起数据泄露事件,但真正导致受害者人数激增的几乎仅是这些0.6%的大型攻击事件。

图2 Top 10数据泄露事件受害者总人数统计

值得一提的是,TOP 10数据泄露事件中,Ticketmaster和Advance 所泄露的数据均来自Snowflake服务,仅由Snowflake攻击引起的数据泄露就影响了超过9亿人,占到了总受害人数的83%以上。Snowflake作为SaaS化数据库服务的全球领导者,为超过1万家公司提供服务。这也反映出大企业和知名服务在网络攻击中具有极高的价值,一旦针对这些大型企业的攻击生效,其供应链的上下游企业也将面临连锁反应,可能引发大规模的数据泄露。而这种“雪崩效应”使得少数大型攻击事件能够波及大部分受害者,放大了事件的影响范围。

结论三:

金融服务业和医疗行业依然是网络攻击的主要目标

如图3所示,在2024年上半年,金融服务业和医疗行业在2024年上半年依然是最受攻击的行业:

图3 2022-2024年各行业上半年数据泄露事件与受害者人数

金融服务业:在2024年上半年,金融服务业发生了407起数据泄露事件,占总体事件的近26%。该行业受害者人数相比2023年同期减少了31.5%,从4149万下降至2841万。这一趋势表明,金融服务业的防御措施可能取得了一定成效。由于金融数据的高价值和行业的高利润等特性,该行业仍将是攻击者的重要目标,报告中事件数量的上升也支撑了这一看法。因此,该行业仍需提高安全防护标准,以应对持续的攻击威胁。

医疗行业:2024年上半年,医疗行业共发生了236起数据泄露事件导致约2688万人受影响。虽然2024年上半年医疗行业的数据泄露事件数量较2023年下降了37%,但其依然是受攻击的重灾区。医疗数据不仅涉及个人隐私,还有详细的健康记录,这无疑增加了医疗数据的敏感价值,加之远程医疗和数字医疗系统的推广,使得该行业面临的安全挑战更加严峻。

总体而言,金融和医疗行业之所以成为网络攻击的重灾区,主要源于其数据的高价值性。IBM发布的《2024年数据泄露成本报告》中从数据泄漏成本的角度证实了这一说法的有效性,如图4所示,医疗行业和金融行业泄露成本分别为977万美元和608万美元,远高于其他行业。

图4 各行业数据泄露成本

四. 攻击向量分析

如图5所示, ITRC 对2024年上半年数据泄露事件的攻击向量进行了统计,同时也与2022和2023年同期的数据进行了对比,攻击向量包括网络攻击(Cyberattacks)、系统和人为错误(System & Human Error)、物理攻击(Physical Attacks)和未知(Unknown)等几大类。接下来笔者将对报告中的几种主要攻击向量进行分析:

图5 2024年上半年攻击向量统计

4.1

网络攻击

网络攻击持续增加,并依然是数据泄露事件的主要原因,报告中,有1226起网络攻击导致数据泄露事件,较2023年(1035起)增长了18%,较2022(730起)年增长了68%,连续三年成为导致数据泄露事件的主要原因。网络攻击类型中,造成数据泄露事件的主要网络攻击向量包含未指定(NA – Not Specified)、网络钓鱼/短信钓鱼/商业邮件入侵(Phishing/Smishing/BEC)、勒索软件(Ransomware)、恶意软件(Malware)等。

其中,未指定的攻击向量839起,占到了网络攻击总体数据泄露事件的68%,从同期维度来看,较2023年增长63%,较2022年增长了1.7倍,这表明攻击技术正在不断复杂化,许多攻击手段难以被准确分类或识别。

网络钓鱼/短信钓鱼/商业邮件入侵通常采用社会工程学技术,冒充合法实体来窃取敏感信息。2024年上半年,该攻击向量导致了212起数据泄露事件,较2023年同期(245起)减少了13%,但仍然为主要的已知攻击向量。

2024年上半年,勒索软件和恶意软件攻击向量共导致131起数据泄露事件,较2023年同期(370起)下降约65%,较2022年(352起)下降约63%,该类攻击在2023年小幅升高后,在2024年急速下降,这也反应出不断变化的攻击技术与防御手段之间的激烈较量。

4.2

系统和人为错误

2024年上半年,系统和人为错误攻击向量导致了155起数据泄露事件,较2023年的314起减少了50.6%。报告中,系统和人为错误主要包含通信配置错误(Correspondence)、防火墙配置错误(Misconfigured Firewall)、云配置错误(Failure to Configure Cloud Security)、未指定(NA – Not Specified)以及其他配置错误。

未指定的配置错误导致16起数据泄露事件,几乎是2023年和2022年同期的2倍,笔者猜测,大概是由于业务和服务越来越多样和复杂,看似不相关的系统或服务配置改动也会间接影响到其他服务的安全运行,这也导致在复杂业务场景下,很难对错误配置的类型进行定位。

4.3

物理攻击

2024年上半年,导致的数据泄露事件共18起,比2023年同期(31起)减少了42%,相较2022年同期(16起)稍有增长。报告中,物理攻击主要包含文件盗窃(Document Theft)、设备盗窃(Device Theft)、处置不当(Improper Disposal)、设备盗刷(Skimming Device)等攻击向量,其中处置不当主要指电子设备或数据存储介质的处理方法错误导致敏感信息泄露,比如手机回收前删除的个人敏感信息被恢复。

尽管物理攻击向量导致的总体数据泄露事件数有所减少,但依然具有较高风险。尤其是在数据存储设备或重要文件的物理保护不充分的情况下,攻击者往往会利用伪装等方式给犯罪行为的发现和追踪带来一定的困难。

4.3

未知

上半年,共有172起数据泄露事件无法确定具体原因,较2023年(2起)增加了85倍,较2022年(4起)增加了42倍。与网络攻击、系统和人为错误中不同的是,随着攻击技术的演变和派生,网络攻击行为可能越来越隐蔽,安全人员可能都无法确定这些泄露事件是如何发生的。该类事件的持续增长,将会对应用新技术的企业或组织造成一定的安全焦虑,从而间接限制创新技术的发展和应用。

五.总结

ITRC的2024年上半年的数据泄露数据表明,网络攻击影响规模在继续扩大的同时,攻击技术也愈发复杂和多样。随着攻击者不断更新其攻击策略,防御措施也必须相应调整,方能应对不断变化的威胁环境。企业应考虑采用更先进的威胁情报和风险发现技术,以最大限度地减少潜在的数据泄露风险。

绿盟科技创新研究院在云上风险发现和数据泄漏领域已经开展了多年的研究。目前,我们已监测到数万个云端暴露资产存在未授权访问的情况。这些资产包括但不限于自建仓库(如源代码和镜像仓库)、公有云对象存储、云盘、OLAP/OLTP数据库,以及各类存储中间件等。具体研究内容,可以参考《2023公有云安全风险分析报告》。
Fusion数据泄露侦察平台是由绿盟科技创新研究院自主研发的一款创新产品,Fusion主要针对的数据泄露测绘,集成探测、识别、泄露数据侦察于一体的平台,针对互联网中暴露的泛云组件进行测绘,识别组件关联的组织机构和组件风险的影响面,实现自动化的资产探测、风险发现、泄露数据分析、责任主体识别、数据泄露侦察全生命周期流程,能够有效发现企业数据泄露风险

图6 Fusion能力全景图

Fusion云上风险事件发现平台主要特色能力:

资产扫描探测:通过多个分布式节点对目标网段/资产进行分布式扫描探测,同时获取外部平台相关资产进行融合,利用本地指纹知识库标记,实现目标区域云上资产探测与指纹标记;

资产风险发现:通过分布式任务管理机制对目标资产进行静态版本匹配和动态PoC验证的方式,实现快速获取目标资产的脆弱性暴露情况;

风险资产组织定位:利用网络资产信息定位其所属地区、行业以及责任主体,进而挖掘主体间存在的隐藏供应链关系及相关风险;

资产泄露数据分析:针对不同组件资产的泄露文件,结合LLM相关技术对泄露数据进行分析与挖掘,实现目标资产的敏感信息获取。

公众号后台回复“数据泄漏” 获取更多信息

参考文献

 [1] https://www.idtheftcenter.org/publication/itrc-h1-data-breach-analysis/

 [2] https://hackread.com/hackers-ticketmaster-data-breach-560m-users-sale/

 [3] https://www.cybersecuritydive.com/news/advance-auto-parts-snowflake-data-breach/721353/

 [4] https://www.snowflake.com/en/company/overview/about-snowflake/

 [5] https://www.ibm.com/reports/data-breach

 [6] https://www.nsfocus.com.cn/html/2024/92_0313/212.html

内容编辑:创新研究院 张小勇
    责任编辑:创新研究院 吕治政

本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。

关于我们

绿盟科技研究通讯由绿盟科技创新研究院负责运营,绿盟科技创新研究院是绿盟科技的前沿技术研究部门,包括星云实验室、天枢实验室和孵化中心。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。

绿盟科技创新研究院作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。

我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。

长按上方二维码,即可关注我


文章来源: https://mp.weixin.qq.com/s?__biz=MzIyODYzNTU2OA==&mid=2247497850&idx=1&sn=b8200c4a09d6628647a944f114f93acb&chksm=e84c5ea5df3bd7b330df12849eedece5950ac8ced31c9646827587749a9cfe7c0bf79e0d1295&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh