大规模数据泄露轮番上演过半手机用户无意识“裸奔”?
2014-07-10李璐
本刊记者 | 李璐
用户姓名、身份证号码、银行卡卡号、账号密码……从上月的携程用户支付信息泄露,到近日的本年度最严重的全球互联网安全协议OpenSSL漏洞,数据泄露事件正不断上演。在当下业界不断关注网络安全的同时,其实在去年,大规模数据泄露便已露出苗头。
根据赛门铁克最新《互联网安全威胁报告》显示,去年一年全球被泄露的个人身份信息达到5.52亿条,千万级以上的规模泄露事件达到八次以上,泄露数据的数量是2012年的4倍,而这还只是在见诸报端的情况下所统计的。在赛门铁克大中华区总裁连智浩看来,这仅仅是冰山一角,已发生而未曝光的大规模数据泄露将比人们想象的严重,而2013年也开始揭开了“大规模数据泄露”的序幕。
不是所有泄露都来自黑客攻击
根据报告显示,在2013年数据泄露的主要原因中,有34%来自于黑客攻击,有29%来自于意外泄露,27%来自于电脑、硬盘失窃和丢失。可见,实际上有超过一半的数据泄露并非源于黑客攻击,而是由于电脑、硬盘失窃和丢失以及意外的数据泄露所造成。
同时报告也表明,虽然有58%的数据泄露事件出现在医疗、教育和公共管理等对安全敏感度并不十分高的行业,但在2013年所泄露的总数据量中,77%却来自零售、电脑软件和金融行业,因为这些行业数据价值更高,也是袭击者的主要目标。
攻击更针对性、更有预谋
在赛门铁克中国区安全产品总监卜宪录看来,一次大规模数据泄露造成的损失可能相当于50次小型攻击,而现如今攻击者除了诡计多端之外,“让人惊讶的是他们已变得更有耐心,蓄意等待收益最大化的时候出手”。
他向《通信世界》举例介绍到,以前垃圾邮件或刺探邮件常常是随机大量发送,而现在情况转变至攻击者会缩小目标范围,对主题和收件人进行明显的精心挑选,围绕一个目标有针对性,并在时间上有关联性的采取行动。如选择与其他邮件有至少3或4项相关内容(主题、发件人地址、IP地址等),选择在同一天或分为数天寄出。“攻击者越来越低调、有耐心,但越来越有针对性、组织性和计划性,而大部分人们的防范意识还未提升至相应高度,这也导致了攻击变得越容易得逞。”同时卜宪录指出,“攻击者在得逞后日益大胆,没有什么比成功更能孕育成功,对网络罪犯来讲尤其如此”。
例如,潜在的大额放款日就很可能诱发大规模的网络攻击,而在他看来无论什么规模的企业都应当重新审视、思考并在可能的情况下重新部署安全防御系统。根据报告统计,在2013年针对性网络攻击数量明显增多,较2012年增长了91%。
移动设备=危险?
目前移动设备越来越普遍,手机恶意软件也在数年孕育后日益成熟,同时越来越多的人选择将工作和个人信息都存储在移动设备里,然而智能手机用户风险意识的缺乏,使得移动设备正逐渐成为存在安全威胁的重要领域,并有越演越烈的趋势。
在赛门铁克2013年对各个移动平台(iOS、Android、Windows、Symbian)遭遇恶意代码袭击的统计中,Android依然是恶意软件制造者的主要选择,占到了96%。并且,恶意软件开发者主要进行已有软件的升级,因此新型恶意软件的出现速度放缓。在2012年,每个种类下不同变种的平均数量为38,而到2013年增加到57个。
另外卜宪录向记者表示,根据诺顿调查显示,有38%的智能手机用户在过去12个月遭遇过网络威胁,同时有50%的用户未采取基本预防措施,如设置密码、安装安全性软件或对移动设备里的文件进行备份。
他向记者列举了PC端和移动端的数据对比:在PC端,约90%用户会删除来自未知发件人的可疑邮件,而在移动终端上只有56%用户采取行动;在PC上,72%的用户会至少安装一个免费的基础防病毒软件,而移动终端比例只有33%;有78%的PC用户避免在网络上存储敏感文件,而移动用户比例只有48%。
“基于移动互联网的风险与威胁在未来会越来越多,虽然它现在造成的破坏性从单独分类统计来看并不是特别显著,但这将是一个必然的趋势。”卜宪录说道。
建议
——对于企业组织
了解企业数据:以“信息”为核心部署安全防护技术,而非仅仅考虑以设备或数据中心等基础设施为核心的保护,了解敏感数据的存储位置及流向,以确定最佳的安全策略和流程。
重视员工教育:为员工提供信息安全指导,内容包括公司安全政策,以及针对个人设备和企业设备中敏感数据的保护措施。
部署强大的安全防御系统:加强安全基础设施的建设,部署包括数据泄露防护、网络安全、端点安全、加密、验证和信誉技术在内的必要安全防护解决方案。
——对于消费者
成为安全达人:密码是开启一切的钥匙,可以使用密码管理软件为您所登陆的每一个站点创建安全等级更高的密码,并及时将个人设备(包括智能手机)中的安全软件更新至最新版本。
时刻保持警惕:检查您的银行卡和信用卡账单是否存在异常情况,谨慎处理来路不明的意外邮件,谨记“天上掉下的馅饼”往往都是陷阱。
了解商家:对于那些要求您提供银行或个人信息的零售商或在线服务,最好在分享您的信息之前详细阅读其相关政策。如果必须与商家分享你的个人信息,一个最佳安全实践是,直接访问其官方网站,而非点击邮件中的链接。
