查看原文
其他

2023年内部威胁统计:报告、事实、威胁行为者和成本

晶颜123 FreeBuf安全咨询 2023-06-06

作者 |晶颜

编 | zhuo


与内部威胁的最新统计数据保持同步有助于组织积极应对并减缓潜在风险。这篇文章概述了行业专家的主要发现,并展示了最近的内部威胁事实和案例,以帮助组织更好地了解风险并调整自身的网络安全措施。


 | 内部威胁统计研究 |


我们从一些最可信的报告中选择了内部威胁网络安全统计数据,这些报告提供了有关内部威胁、背后的技术和方法以及修复成本的关键信息:


  • 2023年、2021年Cybersecurity Insiders《内部威胁报告》;

  • 2022年、2020年、2018年Ponemon Institute《全球内部威胁成本报告》;

  • 2022年、2021年Verizon《数据泄露调查报告》;

  • 2021年Ponemon Institute《内部威胁状态报告》


 | 2023年Top3内部威胁行为者和事件 |


任何组织都可能有恶意的内部人员。Cybersecurity Insiders发布的《2023年内部威胁报告》指出,74%的组织容易受到内部威胁。这是可以理解的,因为在2022年,我们看到了许多恶意的内部攻击和由用户疏忽造成的数据泄露。


企业组织继续遭受来自下述类型参与者的内部威胁:


正式员工


与特权用户相比,普通员工的能力有限,但他们仍然可能损害组织安全。例如,他们可能滥用公司数据,安装未经授权的应用程序,将机密电子邮件发送到错误的地址,或者成为社会工程攻击的受害者。


一个普通员工触发的内部攻击案例:

受影响组织

雅虎

事件类型

离职员工窃取数据

后果

  • 57万份包含知识产权的文件被盗;

  • 失去对竞争对手的潜在优势


2022年5月,雅虎高级研究科学家窃取了雅虎AdLearn产品的机密信息。泄露的数据包括570,000份文件,其中包含源代码、后端架构信息、秘密算法和其他知识产权。在收到雅虎竞争对手的工作邀请几分钟后,该恶意员工将这些数据下载到他的个人存储设备中。在发现这一事件后,雅虎对该员工提出了三项指控,包括窃取知识产权数据,声称他的行为暴露了公司的商业秘密,给竞争对手带来了巨大的优势。


特权用户


特权用户包括系统管理员、C级高管人员以及其他具有高级访问权限的用户。特权用户掌控着进入组织关键基础设施和敏感数据的“钥匙”,因此他们可以对组织造成巨大的内部威胁。


特权用户造成的内部威胁案例:

受影响组织

珀加索斯航空公司(Pegasus Airlines)

事件类型

系统管理员云配置错误

后果

  • 2300万份敏感文件曝光:航班数据、个人身份信息、电子飞行包软件源代码;

  • 乘客和机组人员的安全受到威胁;

  • 违反了土耳其个人数据保护法;


2022年3月,一群网络安全爱好者通知珀加索斯航空公司(Pegasus Airlines),他们6.5TB的敏感数据被暴露在网上。发生这种情况是因为系统管理员未能正确配置存储这些记录的云环境。该漏洞可能会影响数千名乘客和机组人员。由于泄露员工的个人信息,该航空公司违反了土耳其个人数据保护法(LPPD),这可能导致最高约18.3万美元的罚款。


第三方


第三方是可以访问组织IT系统或数据的供应商、分包商、业务合作伙伴和供应链实体等。第三方可能并未遵守组织的网络安全规则,或者通过恶意行为违反这些规则。此外,黑客可以通过攻破安全性较差的第三方供应商,进入受保护的范围。


第三方引发的内部威胁示例:

受影响组织

丰田(Toyota)

事件类型

供应商数据泄露

后果

  • 业务中断;

  • 生产赤字相当于13000辆汽车;


2022年2月,由于塑料零部件供应商小岛(Kojima)发生数据泄露,导致丰田不得不停止运营以保护他们的数据。由于这次停工,该公司无法生产1.3万辆汽车,占其月生产计划的5%。该漏洞还影响了丰田子公司的一些业务,导致产量下降,并可能影响到它们的净利润。据悉,这次攻击发生在日本加入西方盟国对俄罗斯入侵乌克兰发布制裁之后,尽管目前还不确定这次袭击是否与俄罗斯有关。


 | 2022年常见的内部攻击媒介 |


内部人员群体可以通过多种方式实施数据犯罪:在线或离线,有意或无意。Verizon的《2022年数据泄露调查报告》概述了两种常见的内部威胁:


特权误用(Privilege misuse) 


特权误用是指以不适当的方式使用特权访问。Verizon的《2022年数据泄露调查报告》显示,78%的特权滥用案件是出于经济动机。两种最常见的权限误用类型是权限滥用(privilege abuse)和数据处理不当。


特权滥用占所有特权误用案例的80%,是指具有特权访问权限的欺诈或恶意活动。数据处理不当占特权误用事件的20%,涉及内部人员漫不经心地处理敏感数据。与特权滥用不同,数据处理不当事件背后通常没有恶意。



各种各样的错误


根据Verizon 《2022年数据泄露调查报告》指出,内部行为者无意中犯下了各种错误。犯下此类错误的高层内部人员通常是特权用户(系统管理员和开发人员)和其他终端用户。他们最常犯的错误是:


  • 错误配置,占比40%;

  • 传递不当,占比40%;

  • 发布、编码错误以及其他错误,占比20%;



 | 内部威胁事件的主要原因 |


现在让我们根据根本原因对内部威胁进行稍微不同的分类。波耐蒙研究所(Ponemon Institute)的《2022年内部威胁成本全球报告》概述了内部威胁事件的主要原因:


  • 雇员或承包商疏忽,占比56%;

  • 有犯罪意图和恶意的内部人士,占比26%;

  • 凭据盗窃,占比18%;



凭据盗窃


凭据盗窃是进入组织受保护边界的最常见方法之一。使用合法凭据,黑客可以在系统内操作很长一段时间而不被发现。为了获取用户登录名和密码,犯罪者会使用社会工程、暴力破解、凭据填充和其他攻击媒介。


有犯罪意图和恶意的内部人士


有犯罪意图和恶意的内部人员构成了重大威胁,因为他们知道组织的网络安全措施和敏感数据。利用这些知识,他们可能会窃取或泄露数据,破坏操作,或者向外部攻击者提供访问组织资源的权限。


雇员或承包商疏忽


员工或承包商的疏忽导致了大多数内部威胁安全事件,但此类事件的缓解成本通常最少。人为错误的例子包括将敏感数据发送给错误的接收者、错误配置环境以及使用不安全的工作实践。


 | 导致新的内部威胁风险的因素 |


据Gartner称,攻击面扩大是2022年的网络安全趋势。随着混合办公、公共云和供应链风险带来新的内部威胁挑战,这一趋势将持续下去。


云内部攻击


云内部攻击是由已经访问或永久访问云环境的内部人员实施的攻击。根据Cybersecurity Insiders发布的《2023年内部威胁报告》指出,53%的网络安全专业人士认为,在云中检测内部攻击比在内部部署环境中更难。


供应链攻击


供应链攻击的目标是公司第三方供应商或合作伙伴的漏洞,以获得对公司系统或数据的未经授权访问。Gartner预测,到2025年,软件供应链攻击将影响45%的组织,这是2021年记录的三倍。


混合办公环境


混合办公环境是另一个吸引眼球的因素。在混合办公环境中,员工将远程工作与现场工作结合起来。根据Cybersecurity Insiders的《2023年内部威胁报告》指出,68%的受访者担心,随着他们的组织重返办公室或向混合工作过渡,内部风险会进一步加剧。


 | 内部威胁正变得越来越频繁 |


内部威胁的比例持续上升。尽管内部风险管理能力不断发展,但根据Cybersecurity Insiders的《2023年内部威胁报告》显示,74%的组织表示内部威胁有所增加。

波耐蒙研究所(Ponemon Institute)发布的《2022年全球内部威胁成本报告》也证实,由凭据窃取、恶意内部人士和雇员或承包商疏忽3个因素造成的内部威胁正变得越来越频繁,具体如下图所示。


【内部事件的平均数量】


 | 内部威胁成本不断上升 |


在Cybersecurity Insiders发布的《2021年内部威胁报告》中,82%的受访组织无法确定内部攻击造成的实际损害。量化内部攻击的影响是具有挑战性的,因为存在不同类型的损害,并且攻击的结果通常是非线性和不明确的。


内部威胁的总成本包括三个部分:


  • 直接成本:用于检测、缓解、调查和恢复的资金;

  • 间接成本:用于处理事件的资源和时间成本;

  • 丧失机会成本:由于攻击而丧失客户信任和品牌名誉;


这些费用每年都在上升。


波耐蒙研究所对内部威胁的成本进行了三次研究:2018年、2020年和2022年。根据这些研究,2018年至2022年间,内部威胁的总平均成本增加了76%,从2018年的876万美元飙升至2022年的1540万美元。


【内部威胁事件的总平均成本】


来自北美的公司受到内部攻击及其后果的影响最大:该地区的平均成本在四年内从1110万美元增加到1753万美元。


2016年至2022年间,单个内部威胁事件的平均总支出也增长了85%。减轻内部威胁涉及监视、调查、升级、事件响应、遏制、事后分析和补救等方面的支出。


为了防止这些内部威胁趋势的破坏性后果,组织需要及时检测员工构成的威胁,但这并不像看起来那么容易。


 | 检测和防止内部攻击的时间成本 |


内部事件潜伏时间越长,后果就越严重。有些漏洞可能数月甚至数年都未被发现。

检测恶意内部人员的活动具有挑战性,因为他们确切地知道敏感数据的存储位置以及实施了哪些网络安全解决方案。检测无意的内部人员也具有挑战性,因为它涉及跟踪组织中所有用户的所有操作。


根据波耐蒙研究所发布的《2022年内部威胁成本全球报告》显示,检测和控制内部威胁事件平均需要85天。只有12%的内部事件在31天内得到控制。



 | 防范内部威胁的最佳策略 |

日益增加的内部威胁需要使用先进的程序和技术来完善内部威胁保护措施。

Gartner预测,到2025年,一半的中型和大型企业将采用正式的内部威胁计划,而目前这一比例仅为10%。


公司用来检测和防止内部欺诈和其他威胁的工具是基于统一可见性的,这意味着所有用户活动都可以从一个地方看到。在Cybersecurity Insiders发布的《2021年内部威胁报告》中,大多数受访组织认为统一可见性很重要。


市场上有如此多的网络安全工具,很难专注于一条特定的防线,并选择以最小的努力提供最佳结果的内部威胁管理软件。


根据《2022年全球内部威胁成本报告》,特权访问管理(PAM)、用户和实体行为分析(UEBA)和数据丢失预防(DLP)是预防内部威胁的前三大技术。



原文链接:

https://www.ekransystem.com/en/blog/insider-threat-statistics-facts-and-figures



精彩推荐


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存