数据安全调查报告解读

Verizon发布第六期的数据泄漏调查报告DBIR,本期的看点显示出75%的网络攻击活动都有明显的金钱动机。显然,现在网络犯罪分子的入侵动机多数不再受传统的黑客精神影响,他们已经不再满足炫耀和破坏,他们更看重的是商业利益。

让我们简单看一看报告的更多内容并且为您解读一番,其中92%来自外部攻击者,14%来自内部人员,当然有内外夹击的情形,这期的报告特别提到来自中国的对被调查对象知识产权的窃取占到了19%。尽管来自外部的数据窃取占了大部分,Verison仍然认为内部人员的风险不容忽视——80%的风险源自内部。

数据泄漏是如何发生的呢?报告显示半数源自黑客攻击,与黑客攻击相对应的剩下的一半则无疑源自权限误用和滥用等等,比如内部人员有意或无意间泄露了机密数据。类似将公司窃取知识产权转卖给竞争者的内部违规行为占了近13%,如此可见保障商业信息数据安全仍然需要“外防黑客、内防家贼”两手一起抓。

我们还看到数据泄漏中有76%源自脆弱的或被窃取的身份权限,说到底可能是用户们使用了弱密码、相同的密码、被网络钓鱼、分享了权限等等,这些显然不是强化密码策略或使用多重身份验证措施可以简单而有效解决的。帐户与访问权限的管理一直是一项看似简单,但工作量巨大的信息安全运维管理工作,这项工作不仅和各类信息系统的帐户管理员密切相关,更和最终用户、数据所有者、IT支持等等密不可分。帐户与访问权限管理工作的重点不应该只是建立帐户权限申请流程,更应该关注权限的定期审核以及相关人员之间的协同沟通。

我们还注意到使用类似网络钓鱼的社交骗术有了四倍的增长,而且40%的攻击掺合了恶意代码的利用。未安装的防病毒软件比例显然要远低于40%,问题的原因在于仍然在于恶意代码的构建和传播已不再以感染电脑为目标,前面也提到网络犯罪分子更看重的是商业利益,这让防病毒软件很难及时获得目标针对性很强的定制代码的恶意软件特征。

商业化的攻击目标中有71%针对最终用户的设备,有了大幅提升,而针对服务器的攻击比例有所减少,这无疑和云计算、大数据以及IT消费化有关。

报告显示数据泄露事故的发现可并不乐观,69%是被外部第三方发现的,而66%并没有立即被发现,而是过了几个月之后才被发现,这显然让那些片面强调实时安全入侵探测、监控、分析和报警的安全事件监管系统很没面子,其实报告也表明:其实78%的入侵都是很低端的攻击。

该如何应对呢?建立强大的入侵检测与报警、开发即时的安全应急响应体系?显然不是,再智能的信息安全监控系统也无法足够聪明到解决复杂的人类问题,保障数据安全应该更多依赖管理的手段,摘抄几条Verizon的建议如下:

实施基本的安全控制措施,并且定期检查和确保它们的有效性;
收集、分析和分享事件数据,创建足够的入侵数据来源,以便驱动安全计划的有效性;
不要过度强调防范,综合使用人员、流程以及技术措施来更快更好的进行侦测和响应;
建立安全事件衡量矩阵和指标,使用它们来驱动最佳安全实践;
强化安全技能评估并且提供必要的安全意识培训以填补信息安全认知差距;

报告中关于政府赞助的入侵事故特别是关于中国窃取知识产权的部分说辞可能有些偏颇,昆明亭长朗然科技有限公司认为:在民族复兴的过程中,难免会借鉴一些发达国家的科学技术。实际上,很多发达的技术也是我们用市场换来的,国外政府和机构更多是在窃取我们的市场情报,这些无疑需要引起重视。

data-breach

如何检测及应对数据泄露

您可能经常会从媒体上了解到一些数据泄露事故案例,但是您有没有想一想,这些数据泄露事故都是如何被检测或发现的?

由昆明亭长朗然科技有限公司赞助进行的一项安全统计表明,数据所有者获得数据泄露的渠道方式有很多,包括被审计机构审查出来的、无意中发现的、数据保护系统检测出来的、员工报告的、行政执法机关告知的、客户或消费者报告的、安全组织发现的、甚至也有在媒体披露后才知道的。

相信数据安全负责人在得知数据泄露时的反应各一,吃惊?迷茫?无助?懊悔?沮丧?愤怒……不管如何,那是一个重要的令人难忘的时刻,而且并不是什么美好的体验。

特别是行政执法机关告知的,以及被审计或审查出来的,简直太打击人了,公司可能会面临相关的合规性制裁。而由客户或消费者报告的或由安全组织发现的也不少,这些则会伤及公司的颜面和信誉。而无意中发现的、由内部员工、供应商或合作伙伴报告的合起来也占到近三成,这些往往不会得到公开,而会得到内部的适当处理。消息最不灵通的恐怕是在媒体披露后才知道的,不过这种事情并不多见。

实际上,我们可以做好充分的准备工作来应对数据泄露事故,在数据泄露事故被公布之前便采取必要的行动,当然,最高尚的目标还是防范数据泄露事故的发生,防范胜于救治嘛。不过,也有古谚云:不怕一万,就怕万一。防范胜于救治,而救治的经验可以促进防范。

想不被外部监管机关或客户轻易发觉数据信息安全泄露事故,还得从内部的安全体系建设上抓起,特别是强化内部审查,在数据泄露事故发生之前及时发现和消除隐患才是上策。不少大型组织并不缺乏合规审计和风险控制职能部门,然而它们多数关注的是商业流程,而并非信息数据。即使聘请专业的信息安全渗透测试,仍然可能不熟悉公司的信息数据环境而获得不到充分的结果。

正确的及时检测出数据泄露的方法如何呢?要多种方式交叉并用,加强安全事故报告流程和安全事件响应体系建设,关键是依靠群众的力量,对员工、供应商以及合作伙伴进行必要而充分的数据信息安全意识教育,让他们知晓在遇到信息数据相关的安全隐患、安全漏洞(弱点)、安全违规、安全事故等等之时,该有何种正确的响应。

业务信息系统繁多,而信息数据又无处不在,没有一个明星团队或超级英雄能够发现和堵住所有的工作职位相关的安全漏洞,唯有加强数据安全保密意识教育和数据安全事故响应流程培训,方可在内部及时检测或发现数据泄露的苗头,进而抢住时间,抓住机遇,掌握数据安全的主动权。