摘要：近日，Verizon公司發布2020年數據泄露調查報告(DBIR)，這是該公司自2008年以來的第13份數據泄露調查報告。從數據資源、研究方法、參與機構、結論呈現等方面看，報告體現出了較高的權威性、專業性，得到了網絡安全行業的較高認可。透過這份報告可以觀察到與數據泄露相關活動的趨勢，許多重要發現和影響不僅適用于IT安全，同時也適用于OT安全。從OT網絡安全的視角，我們梳理出部分關鍵的發現：涉及的OT域數據泄露事件占4%;OT域的漏洞管理、資產管理等基礎安全能力有缺失;對手攻擊向量的簡單化;制造業、采礦、采石和油氣開采等垂直行業泄露多發。盡管相關OT數據泄露只是OT網絡安全的一個側面，但也足以反映出OT安全的嚴峻性和緊迫性?；谶@些基本事實，針對OT網絡安全的持續改善，就提高威脅認知、持續開展意識培訓、降低OT網絡復雜性、協調IT/OT團隊和簡化治理進行了思考。

　　一、報告概述

　　近日，Verizon公司發布2020年數據泄露調查報告(DBIR)。這是迄今為止最廣泛最具權威性的數據安全專題報告，今年共有來自81個國家的81個組織參與，調研157,525起安全事件，其中32,002起事件符合其研究標準，核實為真正的數據泄露事件的為3,950起。報告中增加了新的地理位置信息，以及可視化數據的新方法。這是該公司自2008年以來的第十三份高度專業的數據泄露報告，透過這份報告可以觀察到與數據泄露相關活動的趨勢。

　　Verizon總體上認為，該分析為網絡安全專業人員提供了好消息。報告特別指出，惡意軟件事件有所減少，這表明當前的反惡意軟件產品正在發揮積極的作用。特洛伊木馬類型的惡意軟件曾在2016年達到頂峰，當時它占所有泄露的50%，但今年已降至6.5%。同樣，漏洞修補似乎比想象的情況要好，只有不到5%的泄露涉及漏洞利用，而只有2.5%的SIEM事件涉及漏洞利用。報告說：“這一發現表明大多數組織在修補漏洞方面都做得很好?！钡?，永遠不會修復的被遺忘的資產漏洞仍然可能會在防御中造成危險。

　　DBIR的研究結果也打消了人們常見的認知。通常認為內部人員是對安全性的最大威脅，但是DBIR顯示70%的漏洞是由外部黑客造成的。同樣，盡管國際間諜活動和“高級”攻擊行為已成為媒體的頭條新聞，追求經濟利益仍然是最大的誘因：86%的漏洞是出于經濟動機，而不是網絡戰;10%是間諜活動，只有4%被描述為高級威脅。相關的數據還有：

　　l 有22%的泄露事件涉及云資產，而本地資產占報告事件的71%。

　　l 45%的違規行為是黑客攻擊，22%涉及社會工程攻擊。 22%的涉及惡意軟件。

　　l 在55%的違規事件和有組織犯罪相關，外部攻擊者占70%。30%的為企業內部攻擊者。

　　l 81%的泄露是在幾天或更短的時間內發現的。

　　l 72%的涉及大型企業的受害者。

　　l 58%的受害者的個人數據遭到泄露。

　　l 43%的泄露涉及Web應用程序。

　　DBIR目前已成為網絡安全專業人員的葵花寶典和必備資源。它優勢在于它涉及對實際事件的科學分析(對事件的認定有其自身的標準)，而不僅僅是對單個供應商自己的觀測到數據的分析，因此沒有產品或攻擊類型的偏見。

　　二、報告中OT域的相關發現

　　Verizon數據泄露調查報告(DBIR)一直是IT安全從業人員的寶貴資源。新發布的2020年版DBIR的與眾不同之處在于，其許多重要發現和影響不僅適用于IT域安全，同時也適用于OT域安全。從OT安全角度出發，我們對Verizon 2020 DBIR報告中最重要的發現有如下觀察：

　　1、與IT側安全事件相比，OT安全事件占比很少，但值得關注

　　2020年的DBIR首次審查了安全事件中信息技術(IT)與運營技術(OT)資產的關系。觀察到的數據泄露中有4%與OT有關(150多起)，而IT側的則為96%。

　　盡管該百分比似乎相對微不足道，但該報告將其描述為擁有強大OT環境的公司值得關注的重要原因。

　　2、一致的修復程序是有效漏洞管理的關鍵

　　為了評估一個新發現的漏洞對整個互聯網以及特定組織的總體漏洞的影響程度，DBIR的作者進行了一項實驗。

　　首先，他們比較了托管在公共IP地址上的兩組服務器：一組易受2019年Exim漏洞的攻擊，另一組隨機選擇的服務器。作者發現，容易受到Exim攻擊的服務器也更容易受到有10年歷史的SSH老漏洞的攻擊，攻擊者可以輕松地利用這些漏洞。

　　接下來，在對組織的總體安全狀況評估上，作者將系統上存在搶眼的“永恒之藍”漏洞的組織與沒有該漏洞的組織進行了比較。與他們先前的發現相似，帶有“永恒之藍”的系統在過去一兩年中也更容易受到較舊漏洞的攻擊。

　　這項調查的主要結論是，隨著時間的推移,能夠保持優先級較高的補丁程序管理制度的組織受漏洞利用的可能性要小得多。而且，該報告還發現，在發布后三個月內未應用的補丁通常就不再會應用，因此一致性和及時性對于有效的補丁管理至關重要。

　　這些發現表明，選擇供應商時，是否能夠解決在OT環境中識別漏洞和對補丁進行優先排序，是一個關鍵指標。

　　3、資產管理經常被忽視，而這點恰恰是造成漏洞的常見原因

　　報告發現，一個組織平均將其面向互聯網的IP的43%保留在一個網絡中。但是，所有觀察到的組織中有一半存在于7個或更多網絡上。對于90%以上的組織，只有不到10%的暴露于互聯網的主機具有嚴重漏洞。所有組織中的50%，只有不到1%的主機易受攻擊。

　　這表明資產管理不足(在OT環境中普遍存在)通常歸咎于漏洞，而不是始終如一但緩慢應用的漏洞管理。資產管理挑戰在OT環境中尤為常見，但是可以與安全供應商合作解決這些挑戰，供應商可以提供對OT資產的及時細致的掌握或可見性。

　　4、攻擊對手極喜歡簡單的攻擊向量

　　分析觀察到的泄露事件中的攻擊路徑，發現絕大多數泄露事件涉及不到五個步驟。這表明攻擊者傾向于尋找容易得手的目標或果實，從而使他們能夠進行相對簡單的攻擊來危害高價值目標。

　　因此，為使組織成為一個吸引力較小的目標而對環境進行設置所進行的各種努力，會使攻擊變得更加復雜或耗時，達到遲滯或阻礙攻擊的目的，這可能會大有幫助。例如，雖然雙因素身份驗證是一種不完善的安全機制，但它確實有效地向攻擊路徑增加了額外的步驟。正如該報告所指出的，就增強安全狀況而言，兩個步驟和三個步驟或三個步驟和四個步驟之間的差異可能會很大。這同樣適用于IT和OT環境。

　　5、與OT相關的安全事件主要集中在特定的垂直領域

　　在為DBIR跟蹤的與OT相關的事件中，大多數涉及以下兩個行業領域的公司：制造業和采礦、采石業以及油氣提取和公用事業的合并行業。

　　制造業

　　與DBIR中詳細說明的所有部門一樣，觀察到的影響制造業的事件背后的最常見動機是經濟收益(73%)。話雖如此，很大一部分(27%)是由網絡間諜活動引起的。出于對監視和保護內部威脅的解決方案的強烈需求，內部威脅行為體占制造泄露事件的25%，而13%的違規行為涉及員工特權濫用或數據處理不當。

　　民族國家的對手占針對制造商的外部威脅行為體的38%，這表明該行業的組織應做好準備，以防范熱衷于竊取知識產權和其他敏感數據的復雜、資源豐富的威脅行為體。正如該報告簡要指出的那樣，“偷東西要比自己設計要便宜和簡單?！?/span>

　　犯罪軟件和Web應用程序是針對制造商的兩個最常見的攻擊向量，占觀察到的泄露事件總和的51%。對于涉及犯罪軟件的泄露事件，報告指出了一種常見的模式：(1)獲取口令，(2)滲透網絡，(3)下載軟件以及(4)獲取針對制造商的事件數據。

　　根據DBIR報告，攻擊制造業公司的Web應用程序的主要方式，是通過網絡釣魚活動和桌面共享等各種方式獲得的被盜憑證的使用。

　　DBIR針對制造業的主要建議如下：

　　l 邊界防御(CSC(關鍵安全控制) 12);

　　l 實施安全意識和培訓計劃(CSC 17);

　　l 數據保護(CSC 13)。

　　采礦、采石和油氣開采和公用事業

　　為了對影響采礦、采石和油氣開采(NAICS(北美工業分類系統) 21)和公用事業(NAICS 22)行業的事件和違規行為進行聯合調查，已將它們合并到2020 DBIR報告中。合并后的部門所面臨的涉及內部威脅行為體的攻擊比例甚至更高(28%)。

　　在采礦與公用事業行業，很難確定威脅因素的動機，據估計有63%–95%的事件是出于經濟動機，而8%–43%的是間諜活動。盡管很難準確地解釋間諜活動的范圍，但最重要的一點是，實際百分比可能比DBIR整個數據集中10%的平均值高得多。

　　由于針對此垂直領域的攻擊方式千差萬別，而且經常重疊，因此DBIR得出結論，從統計上無法確定哪一個最普遍，從而將報告建議的特異性限制為“所有CISO注意：確保所有事物安全!”。話雖如此，該報告承認網絡釣魚等社會工程策略和利用Web應用程序基礎結構中未修補的漏洞是常見的攻擊模式。

　　DBIR針對采礦和公用事業領域的主要建議如下：

　　l 安全配置(CSC(關鍵安全控制) 5，CSC 11);

　　l 邊界防御(CSC 12);

　　l 實施安全意識和培訓計劃(CSC 17)。

　　三、對OT網絡安全的啟示

　　強大的OT安全性帶來了更強的OT可用性和IT安全性。通過在IT域建立強大的網絡安全基礎并將該基礎擴展到OT域，形成IT/OT安全融合態勢，這對安全團隊贏得管理層的支持非常有益。DBIR報告中涉及的OT域數據泄露事件占比很小，反應出OT域的漏洞管理、資產管理等基礎安全能力缺失，制造業、采礦、采石和油氣開采等垂直行業泄露多發，但不容忽視的是OT域數據泄露完全具備“量小事大”的特征，而且這也是可能造成生產事故(計劃外當機、停產)的“最后一公里”。

　　1. 提高對網絡威脅的認知。關鍵信息基礎設施的安全的重要性不容多說，目前媒體也將重點放在對工業網絡和關鍵基礎設施的攻擊事件的披露上。及時分享相關情報和信息，以繼續證明這些攻擊的頻率和影響在不斷升級，影響著關基行業。這對影響和提升關基運營方和監管方對網絡威脅的認識是有益的，媒體的呼吁和合規的壓力也有助于喚醒運營方的內在動力。

　　2. 安全意識教育培訓永無止境。由于歷史的原因，OT網絡安全的狀況，無論是技術、控制、設備，還是流程、人員、意識，都明顯落后于IT安全。其脆弱性人盡皆知，相反其改善卻是緩慢甚至遙遙無期。固有的隔離思維、專屬專用思想，根深蒂固，持續的培訓、宣貫、教育加上反復的督促檢查，是落實現有制度規范和杜絕大部分高風險行為的有效辦法。

　　3. 降低OT復雜性。意識、教育和溝通可以幫助安全團隊從管理層和預算中獲得支持，以增強OT網絡的安全性。 如何迅速采取行動，縮小IT安全與OT安全之間巨大的差距，更為關鍵。OT網絡缺乏現代化的安全控制措施，缺乏足夠的資產、網絡、流程的可見性，不能迷失和困擾在眾多問題之中，從可以快速實施資產可見性和持續威脅監測的解決方案開始。

　　4. 協調IT和OT團隊。運行OT網絡的團隊會優先考慮可用性。實施新的安全控制、補丁程序或系統升級所帶來的中斷和停機風險有時對他們而言是巨大挑戰。更不用說篡改這些價值數昂貴的控制系統、設備通常會使保修無效。共同確定最重要的用例，并實施無代理和被動的解決方案，這意味著可以在不破壞生產效率或導致停機的情況下進行安裝。這需要IT和OT團隊的高效協同，不僅僅是技術層面，更需要在人員、流程、管理、資源、知識等層面的協同。

　　5. 簡化治理。 IT和OT分而治之的情況即將不在，試圖為OT安全創建單獨的治理流程和安全運營中心(SOC)，可能也不現實。OT安全解決方案也應該采用一種全局的系統性方法，這意味著它應該與OT、IT系統和工作流生態系統完美地集成在一起。確保安全解決方案可無縫集成到現有的安全解決方案中-包括安全信息和事件管理(SIEM)工具、安全協調、自動化和響應(SOAR)解決方案、分析平臺、邊界防護等，并且可以由IT團隊、OT團隊或兩者共同操作。

　　參考資源

　　1、2020 Data Breach Investigations Report，www.Verizon.com 2020.05.19

　　2、The Global State of Industrial Cybersecurity，www.claroty.com

　　3、https://blog.claroty.com/research/verizon-2020-dbir-ot-security