2022 年财富 1000 强身份曝光报告

目录 030405060809Overview关键发现一览 ： 财富 1000 强身份曝光财富 1000 强的公司凭证曝光按部门划分的暴露凭证密码重用 ： 按部门划分的罪犯更糟糕财富 1000 强员工最喜欢的密码被恶意软件吸入的数据受感染员工的危险受感染消费者的风险同样高超越凭证 ： 按资产类型划分的其他风险敞口11 19按部门划分的财富 1000 强身份暴露 航空航天与国防服装商务服务化学品能源工程与建筑Financials食品和药品商店食品、饮料和烟草Health Care酒店、餐厅和休闲 Household ProductsIndustrial MaterialsMedia Motor Vehicles & Parts Retailing Technology Telecommunications Transportation Wholesalers 随着世界在去年从疫情中逐步恢复，向数字化时代的迈进步伐未曾停歇。越来越多的企业接受了混合工作模式，而非完全要求员工返回办公室，员工们继续在各类网络和云应用程序之间进行更多的账号登录。而工作与个人空间、设备之间的界限依然模糊不清。 例如，如果一家 Fortune 1000 公司的员工使用其企业电子邮件地址注册了一个被泄露的第三方网站（如 jonsmith@example.com），我们能够将由此产生的泄露记录与该员工的雇主关联起来。 对于我们的分析，我们研究了数据库中与 Fortune 1000 公司员工电子邮件直接相关的超过 6.87 亿条泄露资产。在本报告中，我们将探讨所有 21 个行业部门中的顶级模式，识别风险最高的模式，然后对每个模式进行更详细的分析。 这些趋势恰好符合网络犯罪分子的利益，尤其是因为员工的不良密码习惯没有改变。依赖弱密码和重复使用的密码长期存在已久的问题，但数字工具的爆炸性增长为恶意行为者提供了更大的便利。 在过去几年中，大型公司一直在投资复杂的安全措施。然而，每当员工添加新的设备或数字账户时，就会增加绕过这些措施并访问公司资产的可能性。恶意入侵者只需一组在数据泄露中暴露的员工凭证就足够了，但在许多情况下，攻击者手中掌握的信息更多，包括从受恶意软件感染的设备中窃取的高度敏感的个人可识别信息（PII），这些信息可以用来规避多因素认证（MFA）并入侵企业网络。 SpyCloud独有的引擎收集、整理、丰富并分析从数据泄露、受恶意软件感染的设备及其他来源自犯罪地下经济中重新捕获的数据——将其转化为可操作的洞察，使企业能够迅速识别使用被盗信息的合法用户与潜在犯罪分子，并采取行动防止账户接管、勒索软件和在线欺诈。 .了解更多信息spycloud. com 在过去三年中，SpyCloud一直分析我们整个数据库，以了解影响《财富》1000强企业的大规模企业的数据泄露范围。截至目前，已从犯罪地下世界回收超过2000亿项资产，SpyCloud保持着行业最大的被盗凭证和PII存储库，这些数据是在暴露后尽可能快地通过人力情报收集的。 为了进行分析，我们搜索了包含《财富》1000强公司电子邮件域名的记录，排除了面向消费者的免费邮件服务域名。 1.在财富 1000 强员工中 ， 密码重用很普遍。 我们在数据库中分析了1000家企业的电子邮件地址，这些地址曾在多个数据泄露事件中被曝光，发现其中64%的密码存在重复使用的情况。这一比例比我们整个数据库中60%的平均密码重复使用率高出4个百分点，但更为令人担忧的是，高频率的密码重复使用现象已经连续多年出现在1000家企业的员工中。这意味着即使过去的暴露事件已经过去，犯罪分子仍然会利用这些旧的凭证对员工及其企业进行长期的攻击，直到这种习惯改变为止。此外，在勒索软件攻击日益加剧的背景下，密码重复使用的问题也引起了首席信息安全官（CISO）们的广泛关注。 数据泄露的风险继续以两位数的速度增长。 breaches 超记录关联的财富1000强企业员工数据泄露事件数量同比增长18%，达到1.266亿例。数据泄露超记录是指在特定数据泄露事件中与单一用户相关的一组数据，包括该记录中的个人泄露资产（记录中的数据片段），如密码和电话号码。泄露数据的数量为资产直接关联的 fortune 1000 员工数量同比增长 26%，达到 687.23 百万。在过去一年中，资产泄露量增长率最高的五个行业分别是电信、媒体、工业、科技和商业服务。 3.技术部门引领最高和最严重的暴露。 技术行业在数据泄露记录和密码暴露方面具有最高的风险敞口，并且拥有最多的受恶意软件感染的员工和消费者。我们在数据库中发现了与技术公司相关的2673万条数据泄露记录，占《财富》1000强公司所有暴露的数据泄露记录的21%（各行业中比例最高）。此外，技术公司员工的暴露凭据超过700万条，占《财富》1000强数据集总量的26%（也是各行业中比例最高的）。 当我们关注恶意软件感染时，情况变得更加糟糕。技术公司拥有最多的受感染员工设备（共计69,174台中的34,078台）和消费者设备（共计28,900,000台中的20,600,000台），这是所有财富1000强公司中的最高数字。相比之下，电信行业有4,584台受感染的员工设备，媒体行业有29,000,000台受感染的消费者设备。随着技术行业的拥抱远程或混合工作模式，工作和个人设备之间的界限模糊可能导致了这种极端的暴露——从而使得该行业的风险显著增加。 PII 风险敞口正在增长 ， 尤其影响金融、零售和电信等行业。 金融行业在过去一年中暴露的个人识别信息（PII）资产数量最多，共计70.78百万（占《财富》1000强总暴露PII资产的近18%）。零售公司紧随其后，暴露的PII资产为69百万。金融公司还拥有最高的暴露地理位置资产比例（23%）和电话资产比例（21%）。但在每家公司平均暴露的PII资产数量方面，电信行业的数字令人震惊——接近275万，而所有行业的平均水平为395,633。网络犯罪分子利用PII进行社会工程和钓鱼攻击，以进入公司并窃取敏感数据。尤其令人担忧的是，在被赋予大量消费者数据的行业中，员工的大量PII暴露。 5.关键基础设施部门承受着最糟糕的密码卫生火炬。 在大多数 Fortune 1000 公司中，我们始终发现公司名称出现在最受欢迎的前 10 个密码之中。在许多情况下，特定公司的前 10 个最受欢迎的密码中包含该公司名称的比例高达一半。这些是整体密码安全基础层面的重大疏忽——尤其是在关键基础设施行业中更为令人担忧。总体而言，在航空与国防、化学、工业和能源这四个关键基础设施行业中，我们发现公司名称是前 3 到 5 个最受欢迎密码之一。 在SpyCloud数据集中，我们发现几乎有27.36万对包含财富1000家公司电子邮件地址和明文密码的凭证对。暴露程度最高的三个行业分别是技术行业（707万），电信行业（635万），以及金融行业（356万）。虽然金融和技术行业的高数字部分原因可能是行业规模较大（分别有164家和120家公司），但电信行业的暴露程度异常严重，因为该行业仅包括10家企业。 尽管并非每一对资质凭证都能匹配企业的登录详情，但那些匹配的凭证代表了这些企业——以及其客户和合作伙伴——面临的重大风险。 当凭证在数据泄露中被曝光时，网络犯罪分子会不可避免地将这些凭证与其他在线站点进行测试，利用相同的登录信息攻破其他任何受保护的账户。如果被盗凭证包含企业电子邮件域名，犯罪分子将明显获得线索，可以借此访问有价值的企业系统、客户数据和知识产权。 在理论上，鉴于它们所保护的重要资产以及公司安全团队通常提供的坚实指导，企业密码应该足够强大。然而，在实践中，许多员工在工作中仍然使用不良的密码习惯，而一些企业的密码政策甚至鼓励这些不良习惯。像强制执行严格复杂性规则和每90天必须更换一次密码这样的过时政策，使得密码更难记住，促使员工做出不安全的选择，比如循环使用他们喜欢的密码版本。因此，国家标准与技术研究所(NIST) 的指导意见呼吁组织主动 检查“常用、预期或已被 compromise 的密码”，以有效减轻由人类行为带来的风险。 在我们对《财富》1000强公司数据泄露事件的数据库进行分析时，我们计算了平均密码重用率。具体方法是将使用相同明文密码登录多个站点的员工数量除以所有有暴露密码的员工数量。我们发现平均重用率为64%，而在密码重用百分比方面，两个部门特别突出： •航空航天与国防(75%)•汽车及零部件(75%) 员工在我们数据集中使用了多个重复密码，他们可能在工作中也会重复使用这些密码——但我们无法确定不检查他们实际的工作密码。然而，他们在第三方泄露账户中重复使用密码的情况可以反映出员工整体的密码卫生状况。 随着需要跟踪的账户数量众多，人们使用捷径记住登录凭据也就不足为奇了。除了在每个账户中重复使用少数几个最喜欢的密码的变体外，人们通常还会使用简单易记的密码——这些密码也容易被犯罪分子猜到。犯罪分子常常使用常见密码列表进行攻击。密码喷射攻击， 即使用户没有故意重复使用密码 ， 也会使密码较弱的帐户面临风险。 员工可以采取的一个最糟糕的捷径之一就是在密码中包含公司名称；当犯罪分子试图破解企业密码时，这是他们首先会输入的内容之一。然而，禁止在密码中使用公司名称可能还不够。组织需要找到保护员工免受自身行为影响的方法。 fortune 1000企业的员工遵循与我们相同的行为模式。以下每个密码在我们的数据集中出现数百甚至数千次。我们已屏蔽了公司名称，以及一个我们选择不打印的四字母词的各种变体。有趣的是，我们观察到，这种特定的词每年都很流行，而大多数情况下，它主要受到媒体公司员工的喜爱，fortune 1000企业员工对该词的偏好远高于其他企业员工。英国 FTSE 100同行。 虽然大多数例子无法通过基本的企业密码政策，人们往往会以可预测的方式对基础密码进行修改以绕过复杂性规则。例如，“password”可能会变为“Password1”或“Passw0rd!” 在工作中。 不幸的是，犯罪分子对此了如指掌，并且自动化工具使他们能够大规模测试暴露密码的各种组合。 123456 出现在 9, 708 密码中 本报告中并非所有暴露的数据都来自数据泄露。 SpyCloud 还重新收集了由 僵尸网络. 带有键盘记录功能的恶意软件，或“信息窃取者”，可以从受感染用户的设备中窃取诸如浏览器历史记录、自动填充数据、网页会话cookie、屏幕截图、系统信息、加密钱包以及登录凭据等信息。 像泄露的数据一样，通过恶意软件感染窃取的信息被网络犯罪分子收集、在小圈子内共享，并在犯罪市场平台上出售。 当SpyCloud重新捕获这些机器人日志时，我们会解析出受感染受害者的用户名、密码、URL和Cookies，以帮助组织保护自己及其用户。对于本报告，我们搜索了这些记录中的 fortune 1000 公司电子邮件地址，以识别可能使用受感染的个人或公司设备的员工。 技术行业在《财富》1000强公司感染员工数量方面领先所有行业，共有34,078名感染员工，这几乎占我们数据库中观察到的所有感染员工数量的一半。电信、金融服务、零售和医疗保健行业紧随其后，位居受感染员工数量最多的前五行业之列。 这些感染捕获的数据范围可能会对企业和受影响设备（无论是个人还是企业设备）造成灾难性的后果。恶意软件会窃取从浏览器历史记录到工作和第三方资源登录数据的一切信息。恶意行为者可以利用这些信息绕过多重身份验证、登录企业网络、窃取敏感数据、授权欺诈性交易等。即使没有具体的公司登录凭证，犯罪分子也可以轻松地勒索、欺骗或冒充受害者以延长其访问企业资源的权限。 窃取的凭证往往是网络罪犯的第一攻击途径，而勒索软件则通过感染员工设备构成了重大风险。最近SpyCloud 报告发现，在勒索软件攻击中，IT安全专业人士将泄露凭证列为第二大的风险入口（紧随欺诈邮件之后）。当员工设备感染了窃取身份验证数据的恶意软件时，这种风险尤其高，因为