2022 年报告 ： 伦敦富时 100 指数的身份暴露

目录 03Overview 关键发现 04 概览 ： 富时 100 指数的身份暴露 FTSE 100 的公司凭证风险敞口 06 公开的公司凭据 密码重复使用 FTSE 100 员工最喜欢的密码 08 被恶意软件吸入的数据09受感染员工的风险来自受感染消费者的风险同样高 超越凭证 ： 按资产类型划分的其他风险敞口11信息图 ： FTSE 100 身份暴露16关于 SpyCloud17 数字化时代的快速转型在2021年继续推进，越来越多的组织接受了混合工作模式。随着员工需要管理越来越多的网络和云应用程序登录，他们寻找提高生产力的方法，如重复使用密码。重复使用密码并不是一个新问题。但由于数字工具的激增，这恰好符合了网络犯罪分子的利益，因为员工的不良习惯没有改变——每增加一台新的员工设备或数字账户，恶意行为者就获得了更多攻击企业的机会。 对于我们的分析，我们在数据库中审视了与富时100指数及其子公司员工电子邮件直接关联的超过5100万起泄露事件。在本报告中，我们将探讨所有11个行业集群中的顶级模式，并对研究成果进行详细分析。 随着数据泄露继续以大规模的方式泄露凭证，密码重用对组织造成了显著的安全风险。一旦第三方泄露事件中暴露的一组员工凭证被利用，恶意行为者就很容易进入企业网络。而且在许多情况下，攻击者手中掌握的信息更多，可以提高他们的成功率，包括从受恶意软件感染的设备中窃取的高度敏感的个人可识别信息（PII），这些信息可以用来绕过多重身份验证（MFA）。 SpyCloud独有的引擎收集、整理、丰富并分析从数据泄露、受恶意软件感染的设备及其他来源自犯罪地下经济中重新获取的数据，将其转化为可操作的洞察，使企业能够迅速识别合法用户与潜在使用被盗信息的罪犯，并采取行动防止账户接管、勒索软件和在线欺诈。 在 spycloud. com 上了解更多信息。 随着目前从犯罪地下经济中成功追回超过2000亿美元的资产，SpyCloud保持了行业最大的被盗凭证和PII回收存储库，这些数据是在暴露后尽可能快地通过人力情报收集。为了提供对企业身份泄露情况的一个概览，我们检查了SpyCloud的整个数据库，以确定我们能够关联到伦敦FTSE 100公司及其子公司的哪些数据。 为了进行分析，我们搜索了包含富时100指数和子公司 CORPORATE 邮件域的记录，排除了面向消费者提供的“免费邮件”域。例如，如果一位富时100指数公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方站点（如jonsmith@example.com），我们能够将由此产生的泄露记录与该员工的雇主关联起来。 1.密码重用在 FTSE 100 公司和子公司的员工中很普遍。 SpyCloud研究人员发现，在我们的数据库中，FTSE 100及其子公司邮箱地址在超过一次的数据泄露中被暴露的情况下，密码重复使用率为64%。最严重的违规者是消费者可选品公司（重复使用率为65%）和工业公司（重复使用率为64%）。这一平均值比我们整个数据库中的60%的密码重复使用率高4个百分点，但更为令人担忧的是，高密码重复使用率是我们在FTSE 100员工中年复一年观察到的趋势。这意味着即使是对旧暴露信息的利用仍然非常重要；只要这种习惯不变，犯罪分子就会继续利用这些信息针对员工及其企业多年。此外，在面对日益加剧的基于暴露重用凭据的勒索软件攻击时，这也成为CISO们日益关注的问题。尽管企业安全团队、供应商和媒体进行了教育，员工仍然无视最佳实践——显然，意识与行动之间存在明显的差距。 2.富时 100 指数及其子公司的风险敞口正以两位数的速度增长。 FTSE 100员工相关的数据泄露记录同比增长21%，达到1000万条。数据泄露记录是指与特定用户在一个特定的数据泄露事件中关联的一组数据，包括记录中的个别泄露资产（记录中的数据片段），如密码和电话号码。与FTSE 100员工直接相关的泄露资产数量同比增长29%，达到5100万条。金融、消费者可选品和工业是拥有最高数量数据泄露记录和暴露资产的前三大行业。这些资产包括与FTSE 100及其子公司员工相关的275万对企业邮箱地址和明文密码。这些惊人的数字表明，网络犯罪分子的工作变得越来越容易——当他们拥有大量登录信息时，不需要使用复杂的技术。 3.自 2020 年以来 ， PII 暴露量增长了 45% ， 为网络钓鱼、欺诈和其他恶意攻击提供了更多素材。 我们发现与富时100指数公司及其子公司关联的个人 identifiable 信息（PII）资产接近2760万项，比去年的分析结果增加了45%。这是一个重大担忧，因为网络犯罪分子利用PII进行社会工程和钓鱼攻击，以入侵公司并窃取敏感数据。例如，从PII中获取的详细信息可以让他们创建可信的针对性钓鱼消息或回答账户安全问题，从而绕过或重置多因素认证（MFA）。当我们查看每家公司的平均暴露PII时，能源、电信和医疗保健行业名列前茅。 4.金融业的整体风险敞口最差 ， 也是最严重的。 财务行业在所有11个行业中表现最差，在数据泄露、凭证和PII暴露方面排名最高，这主要是由于其在这些领域的高数值。财务行业的近220万条暴露的数据泄露记录占FTSE 100总暴露记录的22%。在总共275万对电子邮件地址和密码中，有714,405条（占26%）来自财务行业。此外，该行业的暴露个人可识别信息（PII）资产数量接近613万，占FTSE 100总暴露PII的22%。财务行业还拥有最高的地理位置资产数量（149,779个，占所有行业的近29%）、社交资产数量（882,359个，占总数的24%）和账户资产数量（517,857个，占总数的20%）。尤其令人担忧的是，在一个被赋予保护大量消费者PII和金融数据职责的行业中，员工的暴露程度如此广泛。 在SpyCloud数据集中，我们发现超过275万对凭证，其中包括FTSE 100或子公司 CORPORATE 邮箱地址和明文密码。在这些凭证中，有714,405个与财务信息相关，该行业拥有暴露凭证数量最多。位居第二和第三的是电信和能源行业。 虽然并非每一对凭证都会匹配企业的活跃登录详情，但那些匹配的凭证代表了这些企业——以及其客户和合作伙伴——面临的重大风险。 当凭证在数据泄露中被暴露时，网络犯罪分子必然会将这些凭证与其他在线站点进行比对，利用相同的登录信息接管任何其他受保护的账户。如果被盗凭证包含企业电子邮件域名，犯罪分子显然会获得一个线索，即这些凭证可能为企业系统、客户数据和知识产权提供访问权限。 从理论上讲，鉴于 CORPORATE PASSWORDS 所保护的重要资产以及企业安全团队通常提供的强大指导，企业密码应该是强大的。然而，在实践中，许多员工在工作中使用不良的密码习惯，而一些企业的密码政策甚至鼓励这些不良习惯。像严格的复杂性规则和强制每季度一次的密码轮换这样的过时政策使得密码更难记住，导致员工做出不安全的选择，如循环使用他们最喜欢的密码版本。因此，国家网络安全中心（NCSC）的密码指导建议只有在必要时才到期，并实施密码黑名单，以引导用户远离常用和已被破解的密码。 在我们的FTSE 100及其子公司 CORPORATE BREACH 暴露数据集中，我们发现平均密码重用率为64%。我们通过计算在同一密码泄露事件中使用相同明文密码的员工数量，然后除以所有暴露密码员工的数量来计算平均密码重用率。 员工在我们数据集中使用了多个重复密码，他们是否会在工作中重复使用这些密码尚不确定——我们无法确定除非检查他们的实际工作密码。然而，他们在第三方泄露账户中重复使用密码的情况可以反映员工整体的密码卫生状况。 随着需要跟踪的账户数量众多，人们采取捷径记住登录凭据也就不足为奇了。除了在每个账户中使用少数几个常用密码的不同变体外，人们往往还会使用简单易记的密码——这些密码也容易被犯罪分子猜到。犯罪分子经常使用常见密码列表来密码喷射攻击， 即使用户没有故意重复使用密码 ， 也会使密码较弱的帐户面临风险。 员工可以采取的最糟糕的捷径之一就是在密码中包含公司名称；当犯罪分子试图破解企业密码时，这是他们首先会输入的内容之一。然而，禁止在密码中使用公司名称可能还不够。组织需要找到方法来保护员工免使自己陷入风险。 FTSE 100员工的密码模式与我们其他人相似。以下每个密码在我们的数据集中出现数百甚至数千次。（我们已删除了频繁出现的公司名称）。 尽管大多数例子无法通过基本的企业密码政策，人们往往会以可预测的方式修改基础密码以绕过复杂性规则。例如，“password”可能会变为“Password1”或“Passw0rd!” 在工作环境中。 不幸的是，犯罪分子对此了如指掌，并且自动化工具使他们能够大规模测试暴露密码的各种组合。 123456 本报告中并非所有暴露的数据都来自数据泄露。 SpyCloud 还重新收集了由僵尸网络. 带有键盘记录功能的恶意软件，或“信息窃取者”，可以从不知情用户的受感染设备中窃取诸如浏览器历史记录、自动填充数据、网页会话 cookie、屏幕截图、系统信息、加密钱包以及登录凭证等信息。 像数据泄露中的信息一样，通过恶意软件感染窃取的信息被网络犯罪分子收集、在小圈子内共享，并在犯罪市场平台上出售。 当SpyCloud重新获取这些机器人日志时，我们会解析出受感染受害者的用户名、密码、URL和Cookies，以便帮助企业保护自己及其用户。对于本报告，我们搜索了这些记录中的FTSE 100和子公司 CORPORATE 邮箱地址，以识别可能使用受感染个人或公司设备的员工。 我们在FTSE 100及其子公司中总共识别出9,522名受恶意软件感染的员工。消费品、电信和可选消费品行业受感染人数最多。 这些感染捕获的数据范围可能会对企业和受影响设备（无论是个人还是企业设备）产生灾难性后果。恶意软件会窃取包括浏览器历史记录、工作登录数据以及第三方资源的登录信息等一切内容。恶意行为者可以利用这些信息绕过MFA（多因素认证）、登录企业网络、窃取敏感数据、授权欺诈性交易等。即使没有确切的企业登录信息，犯罪分子也能轻易地勒索、欺骗或冒充受害者以延长其对企业资源的访问权限。 stolen 资格认证往往首先是网络罪犯攻击的途径，而勒索软件则通过感染员工设备构成了重大风险。最近SpyCloud 报告发现，在针对勒索软件攻击的风险入口点中，IT安全专业人士将泄露的凭证列为第二高的风险入口点（仅次于钓鱼）。当员工设备感染了窃取身份验证数据的恶意软件时，这一风险尤为高企，因为存在一个专门的犯罪集团专门从事此类活动。初始访问经纪人将新鲜采集的员工凭证出售给恶意软件运营商。这或许可以解释为什么我们在调查中发现，79%的安全领导者和实践者表示去年高调的恶意软件攻击提高了他们对员工和客户使用被泄露和脆弱凭证的担忧。 记住，由于每位员工拥有的应用程序和工作账户数量众多，一台受感染的设备可能会暴露成百上千对凭证。即使在清理了该设备之后，这些暴露的凭证仍然会继续使组织面临风险。 这些用户使用的是富时100指数（FTSE 100）及其子公司面向消费者的网站，在通过登录页面输入用户名和密码时被僵尸网络感染（例如，jim@example.com在登录signin.ftse100company.com时被感染）。 受感染设备的消费者会消耗企业大量内部资源（如客户服务时长、人工审核）和资金（如欺诈损失），从而影响企业的盈利能力。由于恶意软件往往会窃取用于建立浏览器或设备指纹的数据（包括操作系统、IP地址、浏览器类型、系统字体、浏览器扩展、书签及其他数据），欺诈和身份盗窃的风险特别高。公司经常使用浏览器指纹进行客户身份验证，而网络犯罪分子可以利用这些指纹成功冒充消费者而不引起任何警觉。 一种在过去一年中SpyCloud研究人员观察到的最广泛使用的Windows信息窃取工具是RedLine Stealer。该工具可在地下市场以约635英镑的价格购买（或每月160英镑作为恶意