1 引言
近年来,随着信息技术的蓬勃发展,数据的规模和应用模式已经发生了变化,数据已经从小规模发展到大规模、超大规模。数据已经呈现出规模大、种类繁多、价值密度低、处理速度快等特点;数据的应用模式为集中式存储和云存储并存,大量数据不仅仅存储在终端计算机、服务器、数据库中,而且通过BYOD设备、网络存储在云端。
海量的数据加之繁多的应用模式,导致数据泄露的风险逐年攀升。近期,国际权威机构Verizon发布了《2014年度数据泄露调查报告》。报告统计了最近10年以来,95个国家或地区的6万多起数据泄露事件,总结出了9种最主要的数据泄露模式,为数据安全研究提供了有力的数据支撑。
2 数据泄露的基本模式
根据统计,数据泄露事件的92%可以归入9种基本模式:POS入侵、Web应用攻击、内部失窃、物理性损失、恶意软件、支付卡盗刷、拒绝服务攻击、网络间谍、其他错误。
(1)POS入侵是指攻击者通过入侵运行POS程序的主机或服务器,从中窃取交易信息,导致支付信息、用户个人信息等敏感数据泄露。这种泄露方式多发生在零售业、酒店、医院等拥有大量POS设备的行业。
(2)Web应用攻击是指攻击者利用Web应用系统的漏洞发起攻击,攻陷Web服务器后将其作为跳板,进一步从机构内部网络窃取重要数据。这类泄露方式多发生在公共事业性机构、电子商务企业等通过Web应用为大众提供服务的行业。
(3)内部失窃是指机构内部的员工由于主观因素或权限管理等多种原因,泄露机构数据造成的事件,著名的“斯诺登事件”就是这类数据泄露模式的典型案例。这类事件在各行各业都有发生,是较普遍的数据泄漏模式,影响面较广,防范机制也相对复杂。
(4)物理性损失是指数据存储介质的损坏和丢失或失窃,这是威胁数据安全的最基本模式,多在灾难发生的时候同时发生。随着数据量的海量增大,发生该类数据泄露的风险也随之上升。医疗行业和公共事业性机构容易发生此类数据泄露事件。
(5)恶意软件涵盖了所有具备恶意行为的软件,多为黑客发起攻击的工具软件和订制程序。恶意软件种类繁多,主要包括木马、病毒、窃听、渗透、Rootkit等。随着信息技术的发展,恶意软件的发展也异常迅猛,使用者的技术门槛也越来越低,呈现出泛滥的趋势,令人防不胜防。此类数据泄露事件多发生在公共事业型机构、信息产业和大型企业。
(6)支付卡盗刷和POS入侵的目的相同,通过在ATM、POS等刷卡设备上加装装置,从而截获支付卡数据。支付卡盗刷的技术门槛较低,所能窃取的交易信息比POS入侵方式的要少得多,有一定技术实力的攻击者通常会采取POS入侵这种效率较高的方式。此类数据泄露多发生于银行、零售、酒店等支付频繁的行业。
(7)拒绝服务攻击虽不直接造成数据泄露,但是其背后的僵尸网络却是数据安全的巨大威胁。近年来拒绝服务攻击的目的已经不再是单纯为了瘫痪网络服务或设备,而是将其作为前期手段,为后续的攻击方式埋下伏笔。这类攻击多针对金融、零售、公共事业型机构等行业的关键事务系统。
(8)网络间谍行为的针对性强,多是有组织、有计划的入侵行为,其所导致数据泄露的危害相当巨大。近年来频发的APT攻击就有典型的网络间谍行为。政府、军事组织、公共事业性机构、专业技术部门等都是此类数据泄露的重灾区。
(9)其他错误泛指危害数据安全的错误。人总是会犯错的,很多这类错误是因为人为疏忽导致的。这类事件是最普遍发生的数据泄露事件,涉及的行业也最广。
3 总体分析
从2004-2013年数据泄露事件的统计数据,如图1所示可以看出,在过去10年中,数据泄露事件发生最多的5种模式是其他错误(27%),内部失窃(19%),恶意软件(19%),物理性损失(16%),Web应用攻击(8%)。这5种模式已经涵盖了数据泄露模式的89%,也恰恰是数据安全领域长期被大家关注的对象。
再看看最近3年数据泄露事件的统计数据,如图2所示,和过去10年的统计数据,如图所示1呈现出较大的差异。数据显示POS入侵(31%)、Web应用攻击(21%)、支付卡盗刷(14%)、网络间谍(15%)和内部失窃(8%),这5种模式占据了最近3年数据泄露事件总数的89%,成为近年来数据泄露的主要方式。这直接反映出,经过10年的努力,传统数据泄露模式得到了一定程度的控制,但数据泄露的模式已经向新的方式发生转变。
除此之外,从上一年度1367件数据泄露事件中可以看出,如图3所示,POS入侵(14%)和支付卡盗刷(9%)的占比同近3年的统计数据如图2所示相比有所下降,表明最近一年针对POS入侵和支付卡盗刷采取的防范措施取得了一定成效。但是,Web应用攻击(35%)和网络间谍(22%)造成的数据泄露事件就占了上一年度事件总数的一半以上(57%),与过去10年和近3年来的统计数据相比呈持续的上升趋势,需要引起特别重视。
4 重点分析
通过对数据的总体分析可以看出,POS入侵、Web应用攻击、支付卡盗刷、网络间谍和内部失窃是现在最主要的五种数据泄露模式。为了对未来数年数据泄露风险的趋势有所预期,针对这五种模式的发展趋势进行重点分析是十分必要的。
4.1 POS入侵和支付卡盗刷
POS入侵和支付卡盗刷都涉及交易支付系统,是窃取交易数据的两种不同手段,具有一定的相关性。POS入侵相比支付卡盗刷所能获取的交易数据量更大,因此长期以来作为窃取交易数据的首选方式。POS入侵造成的数据泄露事件占比从2009的39%下降到2010年的26%,在2011年达到53%的最高峰之后,2012、2013年一度回落到14%。支付卡盗刷造成的数据泄露事件占比在2010年出现一个35%高峰,在其他年份都稳定在10%左右,如图4所示。
2010年支付卡盗刷的占比超过POS入侵,一度成为数据泄露的主要途径之一,与电子商务的发展有很大关系。2010年正是电子商务行业发展的新元年,电子商务的发展愈发蓬勃,越来越多的企业进入到企业化电子商务应用阶段。而同一时期网上支付的安全性并不能满足迅猛发展的电商业务的需要,导致通过网络盗刷支付卡的事件出现井喷。由于支付卡盗刷相比POS入侵更容易
得手,因而出现了2010年支付卡盗刷事件的占比超过POS入侵的现象。面对激增的支付卡盗刷事件,通过网络支付平台多因素认证技术的逐步完善,支付卡盗刷事件得到了有效控制,在2011占比回落到12%,攻击者再次回到采用POS入侵窃取交易数据的方式,导致2011年POS入侵事件占比达到53%的高峰。随着防范技术的提升和其他因素的共同作用,虽然POS入侵和支付卡盗刷在近年来的数据泄露事件中的占比呈下降趋势,但是仍然占据一定比重,有必要持续关注。
4.2 内部失窃
内部失窃一直是长期困扰数据安全的问题,虽然已经有各种各样的应对方法,但与付出的成本相比收效往往甚微。从过去10年和最近3年的统计数据,如图1、图2所示可以看出,虽然内部失窃造成的数据泄露占比有所下降,但其所占的比重并无明显下降趋势。从近5年的数据,如图5所示可以看出,内部失窃发生的占比呈波动性,今后几年内的发展趋势仍难以预期。
应对内部失窃造成的数据泄露,业界一直在进行不懈努力。从早期的PGP邮件加密,到近些年的数据防泄漏(DLP)系统。目前DLP系统形成了两大阵营:一种是以国外传统安全厂商如赛门铁克、Macfee、Websense、RSA等组成的基于深度内容识别技术的DLP系统;另一种是以国内安全厂商如亿赛通、明朝万达等组成的基于文档透明加密技术的DSM系统。两大阵营各有侧重,在数据防泄漏的理念上也有所分歧,要形成稳定、有效的数据防泄漏系统还需假以时日。防范内部失窃不能单单依靠部署一系列的数据防泄漏系统,更需要从员工安全意识培训和内部制度上下工夫。随着大数据、云计算、BYOD等数据应用模式的发展,内部失窃所造成数据泄露事件的占比不仅不会减少,甚至有增加的趋势。因此,应对内部失窃仍需一如既往,保持持续的防范力度。
4.3 Web应用攻击和网络间谍
Web应用攻击和网络间谍之间存在一定的关联性。10年到最近3年的统计数据如图1、图2所示,这两种数据泄露模式的占比在近年来呈明显的上升趋势。从近5年来的走势如图6所示可见,2011年之前Web应用攻击和网络间谍事件的占比都比较稳定,分别维持在平均13%和5%左右的水平。从2012年开始,两类事件的占比接连出现井喷。2012年,网络间谍事件的占比从前一年的7%猛增到33%。虽然2013年有所回落,但仍以22%的占比高居9种泄露模式的第二位。2013年,Web应用攻击事件的占比从前一年的16%一跃飙升到35%,首次成为数据泄露事件占比的榜首。
从近5年来5种主要数据泄露模式的总占比。如图7所示可以看出,Web应用攻击和网络间谍造成的数据泄露事件的总占比从2011年的18%,上升到2012年的49%,在2013年更是达到了57%高峰,上升势头极为迅猛。
这两种模式造成数据泄露事件之所以会出现井喷,与近年来频频发生的APT攻击不无关系。APT是黑客以窃取资料为目的,针对目标网络所发动的“手术刀”式入侵行为。APT往往是有组织、有预谋的,经过长期的经营与策划,并具备高度的隐蔽性,究其本质是一种典型的网络间谍的行为。而通过Web应用攻击,突破目标网络的防御是APT攻击的惯用手法之一。Web应用攻击常常作为APT攻击的发起点,将攻陷的Web服务器作为后续攻击的跳板。从近5年的统计数据来看,2013年网络间谍事件的占比虽然有所回落,但Web应用攻击的占比却出现暴增。可见,虽然自2012年开始,信息安全业界加大了对APT攻击的防范力度,但是所取得的成效并不显著。因此,随着APT攻击的威胁日趋严重,有理由相信在今后的几年中网络间谍和Web应用攻击的占比将会继续上升。由此,对于这两种模式的数据泄露必须持续、重点关注。
5 结束语
当今世界已经进入大数据时代,所面临的数据泄露风险也是前所未有的。通过对过去10年和最近几年数据泄露事件的统计分析可以看出,数据泄露的主要模式正在悄然发生变化。传统的数据泄露模式依然不容忽视,新的数据泄露模式如网络间谍和Web应用攻击更需要持续关注、提高警惕。虽然DLP系统为数据泄露的防范开辟了一条有实际价值的途径,但随着大数据、云计算、BYOD等数据应用模式的发展,加之近年来频发的APT攻击,给数据泄露的防范带来了更严峻的挑战,数据泄露的风险在未来几年持续上升的可能性很大。
参考文献
[1] 2014 Data Breach Investigations Report[R/OL].http://verizonenterprise.com/cn/DBIR/2014.
.机械工业出版社,2013:10-11.
[3] 马俊.面向内部威胁的数据泄漏防护关键技术研究[D].长沙:国防科学技术大学,2011.
[4] 蔡传忠.数据泄露防护(DLP)分域安全技术浅析[J].电脑知识与技术,2009,5(36);10174-10179.
[5] 杜跃进,方緖鹏,翟立东.APT的本质探讨[J].电信网技术,2011,11;1-4.
[6] 董建伟.2014年APT攻击发展趋势及防御策略调研[EB/OL].http://safe.it168.com/a2014/0617/1636/000001636118.shtml.
作者简介:
郭瑞(1981-),男,湖北武汉人,苏州大学物理系物理学专业理学学士,上海交通大学电子与通信工程专业工程硕士,