您位于: 首页 OWASP峰会 OWASP2010中国峰会 Kenny Lee:Verizon 2010 数据泄漏报告

Kenny Lee:Verizon 2010 数据泄漏报告

 

Verizon亚太区的调查响应首席咨询师 Kenny Lee

 

演讲实录:

翻译:我是Kenny Lee.我是Verizon的资深调查的咨询师,我今天谈的是应用安全在市场的趋势,在调查取证方面相关的信息。我们的2010年的数据切实的调查报告是 我们的第五世界报告包含了大量的统计和分析数据,并且来自美国特勤局的相关数据。那些没有从历史当中学到教训的人他一定会重复失败,这也是今天一个很重要 的原因我们来产生这个报告,这样的话我们的用户我们的合作伙伴和公众都能够从知识当中,从我们的积累和学习,如何消除这样的风险当中学到同样的知识。

 

这份报告实际上是来自于不是理想化的虚拟数字,它实际上是来自于我们实际的案件的数据,我们提供了这样的一种服务可以帮助很多企业来调查这样的 数据,我们而且非常激动,我们这次加入了美国特勤局当中很多的风险数据,这些数据的加入使得我们相信在大型的战略安全当中这些数据有非常重要的价值。

用我们的Methodology的数据,这个共享会变得可能。在这个报告当中,美国特勤局有一个内部的工具,使得这些数据能够相对的独立,并且我们 也删除了一些重复的数据。这里面一共有我们6年923个案件和10亿左右的切实的数据是我们最大的分析报告。VERIS是我们的一个标准,它用一个比较通 用的语言描述这样一个事件,在有组织和可重复的环境下。这个框架比较特别的地方就是他不是一个单独的一个事件,它是有一系列的事件,并且我们称为是分级的 A4的模型,它的整体的动作、资产。让我们去看一看哪一些点是造成了我们的数据的窃失?

 

在最近我们讲资产的数据这一块,左边的这个图呢就是他展现着随着年份从04到09年数据的窃失的数据量,那么大家可以看到有一点从08到09它 是下降的。这是一个很有意思的话题,我们加强了防范措施,这个措施取得的效果,使得产生的效果还是坏人已经减少了。在资产的右上方还是比较明显的,就是被 攻破的资产类型方面大家可以看到它的服务器和应用方面是占了绝大多数。下面这个数讲的这个数据的类型,大家可以看到像支付卡的数据代码是在第一位的,我们 不用感到奇怪,因为它会直接涉及到我们的经济利益,像认证的口令方面它是取得了很大的提升,其中一个主要的原因,如果我们有这个口令它可以得到更多的支付 卡这样的数据,它可以获得更大的经济利益。其实很多人认为美国是最大的数据,其实有一半的数据来自于美国之外,亚太区实际上是增长最快的区域。从经济犯罪 的角度来说,其实并没有国际,当我们去考虑的时候,当我们的国家和我们的城市是怎么样的情况,其实,说实话我们并没有什么例外在这样的趋势下。

 

从这个行业来说,其实没有大的变化。像金融、医疗和零售这三个行业其实是最大的行业,这三个行业刚才说的支付卡这些数据是息息相关的。大家都在 想,随着这几年的演变,一个行业是倒大霉的,我们也在好奇从过去三年,交保险到医疗,到零售我们会好奇几年是谁倒大霉?在事件当中,金融数据的窃失占 33%,但是从数据来说,金融行业占94%,这个也不用感到奇怪。因为金融数据里面包含了大量窃失的数。

 

看一看围绕着这个主体来说,从外部和内部,从最近数据来说,内部的盗窃者开始带来大量的合作伙伴,它会受到一些影响。我们可以看一下,外部的这样的攻击,其实占了很大的数量。那么,在被窃失的数据当中,外部的信息量会更大。

 

在外部的分析当中会发现已经不是很明显的组织团体,其实是犯罪团体。我们可以看到,在外部的比例当中,欧洲东部这一期实际上占了很大的比例,但是呢,如果说把亚泰很多的加起来的话,他的比例可能会超过欧洲,这里面有多种原因包括法律上的一些说法变化或者情况体系。

 

直接看一下攻击类型,占最大的就是偷窃登陆的密码,另外就是后面或者是从频道,另外Top 10占很大的比例。这个数据的数量是第一位的,10年来攻击是最简便核威胁最大的方式。后面可能有很多的经验或者建议,其中有一个是身份的验证,当他登陆 了我们要知道是谁在干这个事情。

 

在1.4个亿当中,有97%是通过自己定制化的恶意软件,这个目的其实是为了能够绕过我们的法定人去认证。这是一个很有意思的图,它从三个纬度 来表明,其中从这个攻击成功得逞的系统它可能大部分需要以分钟来做。第二个,多少时间你会发现你自己已经被攻破,当我这个手伸到我的口袋当中我需要多长时 间发现。一个公司当发现以及出现这样的数据之后,照样需要几个月的时间才能解决这个问题,但是这个原因是什么,有一个原因他自己的缺陷,或者他自己搞不清 楚,他自己认为已经解决了,但是其实并没有解决。

 

这是一份系统的规范,跟我们这块是切实相关的,我们可以看到在我们的事件量当中有绝大部分的公司,有79%的公司甚至连PCL的标准都没有符合,但是它确实会帮助。

 

今天我们看到了很多事件的缺失的源头,但是我们如何解决这块问题,其实从很多配置,资产的配置加固或者改变现有的一些模式,或者增加一些新的安 全,可能会贡献绝大部分,实际上来说,有64%这样的数据是非常简单和非常平易的。很多简单的习惯比如黄金如何稳定,这个都可以起到很好的效果,并不是要 做很多非常特别的事情,包括外部的事情。像我们看到这些结论,很多的数据被窃失都是从服务器和应用这块,另外我们的很多卡的数据在这块,实际上他们如果说 在短时间内不能够去攻破,它其实还会继续前进。发现这样的一个数据窃失需要很长的时间,很多外面告诉我们通过这个变化,而不是自己发现。首先很简单的基础 的习惯,就是很好的效果,如果简单的地方可以突破,第二点内部制造的威胁控制要做好,这其实也是在内部很重要的问题。如果我们回去最快加快实践的话,我们 可以从这里学到,比如说像今天讲的,其实在小范围里我们已经学会并且已经得到很好的应用。谢谢大家。