|
用户错误援助大多数Verizon的网络攻击,赛门铁克报告揭示的流行钓鱼攻击.灰鸽子下载
当一个网络安全漏洞的新闻,最密切相关的经常渲染的复杂攻击的动机。
如果黑客是描绘成资金充足的天才,受害者看起来不那么脆弱,保安公司可以出售他们的产品和服务,政府官员可以推动更严格的监管网络防御或寻求更多的钱。
但本周发布的两个深度研究报告强调干预行动的事实:绝大多数的黑客攻击成功,因为员工在受污染的电子邮件,点击链接公司未能提供补丁适用于已知的软件缺陷,或技术人员不正确配置系统。
最著名的年度调查数据泄露,Verizon Communications的一份报告发现,超过三分之二的290电子间谍活动情况下,了解了2014年涉及钓鱼。
因为这么多人点击污染链接或附件,发送钓鱼邮件仅10名雇员将黑客盖茨公司90%的时间内,Verizon发现。
“有一个总体模式”,Verizon科学家鲍勃鲁迪说:灰鸽子远程控制。
攻击者使用钓鱼安装恶意软件窃取员工的凭证,然后使用这些凭证漫游网络和程序和文件的访问,他说。
Verizon的报告包括自己的业务调查和数据从70年其他贡献者,包括执法。调查发现,虽然主要的新漏洞Heartbleed等被黑客发布后的几个小时内,更多袭击去年利用patchable漏洞可以追溯到2007年,2010年,2011年、2012年和2013年。
另一个年度信息安全报告,今天发布的赛门铁克,发现国家间谍也用网络钓鱼技术,因为他们工作和从后卫因为不那么复杂的方法吸引了更少的审查。
然而,一旦进入一个系统写定制的间谍软件为了规避任何安全项目目标的检测已安装,赛门铁克说。
“一旦我在,我可以做我所需要的东西,”罗伯特•瓶一个赛门铁克事件反应经理说。报告了157个国家和地区的5700万个传感器数据。
Verizon的另一个部分的报告可以帮助安全管理人员更大的预算。研究人员首次分析违反来自保险索赔的实际成本,而不是调查数据。
Verizon表示一个事件的成本的最佳指标是妥协的记录数量,和成本上升的对数,压扁的大小违反上涨。
根据新的Verizon模型,100000条记录的损失应该平均成本约475000美元,而1亿年失去的记录应该成本约885万美元。
虽然困难数据将被欢迎的数学家们,花更多的钱不能保证完全抵御攻击,灰鸽子远程控制软件。
旧的利用仍然成功,灰鸽子使用教程,威瑞森的报告还显示很少的漏洞利用2014年新。
去年发现最多的成功利用漏洞,使用本在2007年发现和修补。此外,攻击者成功地识别30漏洞从1999年仍然开放。
“显然黑客真的仍然像1999年,”威瑞森在其报告中表示,远程控制软件,灰鸽子使用教程。
“仅仅因为CVE(常见的漏洞和风险)变老并不意味着它是一种时尚与利用人群。”
同样,赛门铁克报告发现,越来越多的时间供应商正在创建和发布补丁后发现了一个缺陷被越来越被攻击者利用。
攻击者是跳跃在零日漏洞——缺陷的供应商不知道已公开披露之前报告给供应商,赛门铁克说。
“在2014年,花了204天,22天,53天为供应商提供的补丁前三大部分利用零日漏洞,“赛门铁克写道。
”相比之下,平均时间为一个补丁发布了2013年只有四天。” |
|