2022 年报告 ： 伦敦富时 100 指数的身份暴露

目录 Overview03 关键发现04 概览：富时100指数的身份暴露05 FTSE100的公司凭证风险敞口06 公开的公司凭据密码重复使用 FTSE100员工最喜欢的密码08 被恶意软件吸入的数据09 受感染员工的风险来自受感染消费者的风险同样高 超越凭证：按资产类型划分的其他风险敞口11 信息图：FTSE100身份暴露16 关于SpyCloud17 数字化时代的快速转型在2021年继续推进，越来越多的组织接受了混合工作模式。随着员工需要管理越来越多的网络和云应用程序登录，他们寻找提高生产力的方法，如重复使用密码。重复使用密码并不是一个新问题。但由于数字工具的激增，这恰好符合了网络犯罪分子的利益，因为员工的不良习惯没有改变——每增加一台新的员工设备或数字账户，恶意行为者就获得了更多攻击企业的机会。 对于我们的分析，我们在数据库中审视了与富时100指数及其子公司员工电子邮件直接关联的超过5100万起泄露事件。在本报告中，我们将探讨所有11个行业集群中的顶级模式，并对研究成果进行详细分析。 随着数据泄露继续以大规模的方式泄露凭证，密码重用对组织造成了显著的安全风险。一旦第三方泄露事件中暴露的一组员工凭证被利用，恶意行为者就很容易进入企业网络。而且在许多情况下，攻击者手中掌握的信息更多，可以提高他们的成功率，包括从受恶意软件感染的设备中窃取的高度敏感的个人可识别信息（PII），这些信息可以用来绕过多重身份验证（MFA）。 SpyCloud独有的引擎收集、整理、丰富并分析从数据泄露、受恶意软件感染的设备及其他来源自犯罪地下经济中重新获取的数据，将其转化为可操作的洞察，使企业能够迅速识别合法用户与潜在使用被盗信息的罪犯，并采取行动防止账户接管、勒索软件和在线欺诈。 在spycloud.com上了解更多信息。 随着目前从犯罪地下经济中成功追回超过2000亿美元的资产 ，SpyCloud保持了行业最大的被盗凭证和PII回收存储库，这些数据是在暴露后尽可能快地通过人力情报收集。为了提供对企业身份泄露情况的一个概览，我们检查了SpyCloud的整个数据库，以确定我们能够关联到伦敦FTSE100公司及其子公司的哪些数据。 为了进行分析，我们搜索了包含富时100指数和子公司CORPORATE邮件域的记录，排除了面向消费者提供的“免费邮件”域。例如，如果一位富时100指数公司的员工使用其公司电子邮件地址注册了一个被泄露的第三方站点（如jonsmith@example.com），我们能够将由此产生的泄露记录与该员工的雇主关联起来。 1.密码重用在FTSE100公司和子公司的员工中很普遍。 SpyCloud研究人员发现，在我们的数据库中，FTSE100及其子公司邮箱地址在超过一次的数据泄露中被暴露的情况下，密码重复使用率为64%。最严重的违规者是消费者可选品公司（重复使用率为65%）和工业公司（重复使用率为64%）。这一平均值比我们整个数据库中的60%的密码重复使用率高4个百分点，但更为令人担忧的是，高密码重复使用率是我们在FTSE100员工中年复一年观察到的趋势。这意味着即使是对旧暴露信息的利用仍然非常重要；只要这种习惯不变，犯罪分子就会继续利用这些信息针对员工及其企业多年。此外，在面对日益加剧的基于暴露重用凭据的勒索软件攻击时，这也成为CISO们日益关注的问题。尽管企业安全团队、供应商和媒体进行了教育，员工仍然无视最佳实践——显然，意识与行动之间存在明显的差距。 2.富时100指数及其子公司的风险敞口正以两位数的速度增长。 FTSE100员工相关的数据泄露记录同比增长21%，达到1000万条。数据泄露记录是指与特定用户在一个特定的数据泄露事件中关联的一组数据，包括记录中的个别泄露资产（记录中的数据片段），如密码和电话号码。与FTSE100员工直接相关的泄露资产数量同比增长29%，达到5100万条。金融、消费者可选品和工业是拥有最高数量数据泄露记录和暴露资产的前三大行业。这些资产包括与FTSE100及其子公司员工相关的275万对企业邮箱地址和明文密码。这些惊人的数字表明，网络犯罪分子的工作变得越来越容易——当他们拥有大量登录信息时，不需要使用复杂的技术。 3.自2020年以来，PII暴露量增长了45%，为网络钓鱼、欺诈和其他恶意攻击提供了更多素材。 我们发现与富时100指数公司及其子公司关联的个人identifiable信息（PII）资产接近2760万项，比去年的分析结果增加了45%。这是一个重大担忧，因为网络犯罪分子利用PII进行社会工程和钓鱼攻击，以入侵公司并窃取敏感数据。例如，从PII中获取的详细信息可以让他们创建可信的针对性钓鱼消息或回答账户安全问题，从而绕过或重置多因素认证（MFA）。当我们查看每家公司的平均暴露PII时，能源、电信和医疗保健行业名列前茅。 4.金融业的整体风险敞口最差，也是最严重的。 财务行业在所有11个行业中表现最差，在数据泄露、凭证和PII暴露方面排名最高，这主要是由于其在这些领域的高数值。财务行业的近220万条暴露的数据泄露记录占FTSE100总暴露记录的22%。在总共275万对电子邮件地址和密码中，有714,405条（占26%）来自财务行业。此外，该行业的暴露个人可识别信息（PII）资产数量接近613万，占FTSE100总暴露PII的22%。财务行业还拥有最高的地理位置资产数量（149,779个，占所有行业的近29%）、社交资产数量（882,359个，占总数的24%）和账户资产数量（517,857个，占总数的20%）。尤其令人担忧的是，在一个被赋予保护大量消费者PII和金融数据职责的行业中，员工的暴露程度如此广泛。 总破坏来源 SpyCloud数据库中✁违规总数，包括与FTSE100员工及其子公司相关✁记录。 公司违约总记录 一个泄露记录是指与特定用户在给定✁数据泄露事件中相关 ✁一组数据。例如：在example.com✁数据泄露事件中与jsmith@acme.com相关✁信息。 总破坏资产 违规资产是包含在违规记录中✁信息。例如：密码，地址 ，电话号码。 总明文公司凭证 FTSE100及其子公司员工✁电子邮件地址和明文密码对✁总数，这些信息可供犯罪分子使用。如果员工重复使用了这些密码，犯罪分子可以轻易利用泄露✁凭证对访问企业系统。 总C级高管暴露 暴露了与FTSE100及其子公司✁高级管理人员相关✁公司资质 ，增加了他们遭受针对性账户接管尝试和商务电子邮件欺诈（BEC诈骗）✁风险。 密码重复使用 在FTSE100及其子公司员工在同一违规行为中出现✁情况下，这是我们观察到✁密码重复使用率。这包括完全相同✁密码和犯罪分子可以轻易匹配✁轻微变体。 恶意软件感染雇员 FTSE100公司✁员工数据出现在从信息窃取恶意软件（infostealermalware）重新捕获✁僵尸网络日志中。这一高严重性暴露使他们面临高级账户接管（ATO）和欺诈✁风险，并使企业容易遭受勒索软件攻击。 在SpyCloud数据库中，我们发现： Industry 总暴露量公司凭据 基本材料 59,695 非必需消费品 313,835 消费必需品 323,983 能源 375,492 Financials 714,405 HealthCare 224,147 Industrials 297,595 房地产 1,370 技术 32,181 电信 404,893 Utilities 8,916 Total 2,756,512 在SpyCloud数据集中，我们发现超过275万对凭证，其中包括FTSE100或子公司CORPORATE邮箱地址和明文密码。在这些凭证中，有714,405个与财务信息相关 ，该行业拥有暴露凭证数量最多。位居第二和第三✁是电信和能源行业。 虽然并非每一对凭证都会匹配企业✁活跃登录详情，但那些匹配✁凭证代表了这些企业——以及其客户和合作伙伴——面临✁重大风险。 当凭证在数据泄露中被暴露时，网络犯罪分子必然会将这些凭证与其他在线站点进行比对，利用相同✁登录信息接管任何其他受保护✁账户。如果被盗凭证包含企业电子邮件域名，犯罪分子显然会获得一个线索，即这些凭证可能为企业系统、客户数据和知识产权提供访问权限。 企业密码应该是强大✁。然而，在实践中，许多员工在 从理论上讲，鉴于CORPORATEPASSWORDS所保护✁重要资产以及企业安全团队通常提供✁强大指导， 导致员工做出不安全✁选择，如循环使用他们最喜欢✁ 工作中使用不良✁密码习惯，而一些企业✁密码政策甚至鼓励这些不良习惯。像严格✁复杂性规则和强制每季度一次✁密码轮换这样✁过时政策使得密码更难记住， 密码版本。因此，国家网络安全中心（NCSC）✁密码指导建议只有在必要时才到期，并实施密码黑名单，以引导用户远离常用和已被破解✁密码。 在SpyCloud数据库中，我们发现： Rank Industry Average密码 重复使用 1 非必需消费品 65% 2 Industrials 64% 3 消费必需品 63% 4 技术 Utilities 62% 5 能源Financials HealthCare 60% 6 电信 59% 7 基本材料 51% 8 房地产 46% 在我们✁FTSE100及其子公司CORPORATEBREACH暴露数据集中，我们发现平均密码重用率为64% 。我们通过计算在同一密码泄露事件中使用相同明文密码✁员工数量，然后除以所有暴露密码员工✁数量来计算平均密码重用率。 员工在我们数据集中使用了多个重复密码，他们是否会在工作中重复使用这些密码尚不确定——我们无法确定除非检查他们✁实际工作密码。然而，他们在第三方泄露账户中重复使用密码✁情况可以反映员工整体✁密码卫生状况。 随着需要跟踪✁账户数量众多，人们采取捷径记住登录凭据也就不足为奇了。除了在每个账户中使用少数几个常用密码✁不同变体外，人们往往还会使用简单易记✁密码——这些密码也容易被犯罪分子猜到。犯罪分子经常使用常见密码列表来 ，即使用户没有故意重复使用密码，也会使密码较弱✁帐户面临风险。 员工可以采取✁最糟糕✁捷径之一就是在密码中包含公司名称；当犯罪分子试图破解企业密码时，这是他们首先会输入✁内容之一。然而，禁止在密码中使用公司名称可能还不够。组织需要找到方法来保护员工免使自己陷入风险。 FTSE100员工✁密码模式与我们其他人相似。以下每个密码在我们✁数据集中出现数百甚至数千次。（我们已删除了频繁出现 ✁公司名称）。 尽管大多数例子无法通过基本✁企业密码政策，人们往往会以可预测✁方式修改基础密码以绕过复杂性规则。例如，“password”可能会变为“Password1”或“Passw0rd!”在工作环境中。 不幸✁是，犯罪分子对此了如指掌，并且自动化工具使他们能够大规模测试暴露密码✁各种组合。 出现在12,570个密码中 出现在9,879个密码中 123456 出现在8,938个密码中 本报告中并非所有暴露✁数据都来自数据泄露。SpyCloud还重新收集了由.带有键盘记录功能✁恶意软件，或“信息窃取者”，可以从不知情用户✁受感染设备中窃取诸如浏览器历史记录、自动填充数据、网页会话cookie、屏幕截图、系统信息 、加密钱包以及登录凭证等信息。 像数据泄露中✁信息一样，通过恶意软件感染窃取✁信息被网络犯罪分子收集、在小圈子内共享，并在犯罪市场平台上出售。 当SpyCloud重新获取这些机器人日志时，我们会解析出受感染受害者✁用户名、密码、URL和Cookies，以便帮助企业保护自己及其用户。对于本报告，我们搜索了这些记录中✁FTSE100和子公司CORPORATE邮箱地址，以识别可能使用受感染个人或公司设备✁员工。 我们在FTSE100及其子公司中总共识别出9,522名受恶意软件感染✁员工。消费品、电信和可选消费品行业受感染人数最多。