政治和社運意圖催生更多網絡攻擊;完善保安措施可大幅防止資料外洩發生 香港 -《Verizon 2012 年資料外洩調查報告》顯示,「黑客運動」(Hacktivism),即那些帶有政治或社會運動動機的黑客入侵行為急劇上升。 Verizon 於今日發佈年度資料外洩調查報告,報告指出,在 2011 年,58% 的資料外洩個案是由「黑客運動」所引致,其目的不是放眼於金錢利益之上,而是要引起社會對個別議題的關注。由於在過去數年以獲取金錢利益為基本目的的網絡罪行才是資料外洩的主因,可見新趨勢與舊有的網絡攻擊模式大相逕庭。 報告涵蓋的攻擊個案中,有 79% 屬於投機性質。就全部個案而論,96% 的個案並非高難度攻擊,亦不需要任何高深或複雜的技術支援。此外,在全部資料外洩個案當中,97% 根本毋須採用高難度或昂貴的對抗措施都能避免發生。報告亦提供了多項建議,旨在協助各大小機構避免受到黑客攻擊。 本年是 Verizon 第五年發表《資料外洩調查報告》,今年的報告包括 855 宗資料外洩個案,涉及 1.74 億項被盜檔案記錄,為 Verizon RISK(Research Investigations Solutions Knowledge)團隊自 2004 年開始蒐集資料以來錄得的第二大失竊資料量。Verizon 獲五家合作夥伴提供資料以完成今年的調查報告,分別是美國特勤局、荷蘭國家警察局屬下的國家高科技罪案組、澳洲聯邦警察、愛爾蘭匯報及資訊保安局,以及倫敦警察廳中央電子罪案組。 Verizon 風險智能部總監 Wade Baker 表示:「我們獲得環球多個執法部門參與製作《2012 年資料外洩調查報告》,因此,我們相信報告內容是歷來對網絡保安狀況至為完備的描述。我們旨在令環球網絡罪行更廣為人知,協助保安行業提升能力,對抗網絡罪犯。同時,我們也協助政府機關和私人機構制定適合的保安計劃。」 報告結果凸顯了國際網絡罪行的地域特性:導致資料外洩的攻擊由上一年來自 22 個國家,擴展至全球 36 個國家。接近七成的資料外洩源自於東歐,而源自於北美地區的個案則少於 25%。 報告顯示,外來攻擊仍然是資料外洩的主要方式,當中 98% 個案乃外在因素所為,源頭包括有組織罪案、激進主義組織、前僱員、獨行黑客,甚至是受外地政府資助的組織。隨著外來攻擊個案上升,內部攻擊的比例在今年再度下跌(至 4%)。至於由商業夥伴所致的個案則少於 1%。 就攻擊方法而言,以電腦入侵(hacking)和惡意軟件(malware)為手段的攻擊個案依然不斷上升。事實上,電腦入侵是 81% 資料外洩及 99% 資料遺失的成因,而惡意軟件同樣是資料外洩的一大元兇:69% 資料外洩和 95% 的記錄失竊個案源自於惡意軟件攻擊。由於電腦入侵和惡意軟件能夠遙距攻擊,並於同一時間襲擊多位受害人,因此成為了外來攻擊者喜歡使用的方式。此外,許多電腦入侵和惡意軟件工具都方便易用,令罪犯可以因利乘便。 另一方面,資料外洩至發現(compromise-to-discovery)的時間線依然以月甚至年為計算單位,而不是以小時和日來量度。最後,大部分資料外洩個案(92%)仍然是從第三方偵測發現的。 《2012 年資料外洩調查報告》主要調查結果 報告的調查資料顯示: 工業間諜活動顯示罪犯喜歡盜取交易機密,以及竊取知識產權:雖然情況並不常見,但就企業資料保安而言卻是當頭棒喝。若果趨勢日盛,情況將更形嚴峻。 外來攻擊增加:由於超過半數的資料外洩個案均由「黑客運動」所引致,電腦攻擊往往是外在因素所為,僅得 4% 的個案有內部員工牽涉其中。 電腦入侵和惡意軟件佔主導:在 2011 年,電腦入侵和惡意軟件的攻擊個案隨著外來攻擊增加而上升。81% 資料外洩個案由電腦入侵引起(2010 年為 50%),而惡意軟件則與 69% 的個案有關(2010 年為 49%)。兩種方式都令外來入侵者可輕易利用保安弱點,獲取機密資料。 個人識別資料(PII)成為犯罪分子的獵取目標:PII(Personally identifiable information)包括個人名稱、聯絡資料、社會保安號碼等重要資料,日益成為熱門的竊取目標。在 2011 年,95% 的失竊記錄含有個人資料,較 2010 年的僅得 1% 急遽上升。 合標達規不等於做好保安工作:儘管《支付卡行業資料保安標準》等規管計劃提供完整的步驟,協助機構提升保安能力,但達到支付卡行業的規範標準並不能令機構免受攻擊。 Wade Baker 表示:「報告顯示,許多機構仍未明白到它們能夠『防患於未然』,避免資料外洩發生,情況令人惋惜。今年,我們為企業和小型公司提供個別的專門建議,以便執行。另外,我們深信透過加強公眾對網絡威脅的認識,配合使用者教育和培訓,都會對打擊網絡罪行起了舉足輕重的作用。」 給企業的建議: 刪除不必要的資料:除非企業有充分理由而必須儲存或傳送資料,否則資料應予以銷毀。另外,企業須謹慎監察必須保存的資料。 建立必需的保安監控:為防範大部分黑客入侵,企業必須確保轄下已有完善的基本及常規保安監控措施並且操作無誤,亦必需作定時檢測。 監察事件日誌:監察事件日誌,並留意可疑活動──資料外洩通常是從事項記錄分析中發現的。 按輕重排列保安策略:企業應該評估其受威脅概況(threat landscape),並因應結果制定獨一無二、回應緩急輕重的保安策略。 給小型機構的建議: 使用防火牆:替使用互聯網的服務安裝防火牆,並保持防火牆運作以保護電腦資料。黑客並不能夠盜取他們無法觸及的東西。 更改原廠設定的憑證(credential):銷售點(POS)和其他系統均預先設定了使用憑證。更改原廠設定可以防止系統被未經授權使用。 監察第三方:服務供應商(第三方)通常負責管理防火牆和銷售點系統。機構應監察第三方,以確保它們已實施上述適用的保安建議。 如須下載完整的《資料外洩調查報告》,請瀏覽:www.verizon.com/enterprise/2012dbir/us。報告內容備有七種語言版本,並以英文版為首,其餘六種語言包括法、德、意、日、西班牙及葡萄牙語將於六月六日提供。 Verizon 藉著旗下附屬公司 Terremark,利用雲端技術或實地設施,為機構提供一整套強大的保安服務,涵蓋管治、風險和合規解決方案;身份和存取管理解決方案;調查應變;資料保護服務;威脅管理服務,以及弱點管理服務,協助機構保護其資料資料,維護其核心資產。如需詳情,請瀏覽 verizonbusiness.com/product/security。若要緊貼環球一流保安研究員對保安的精闢見解和分析,請閱覽 Verizon保安網誌(securityblog.verizonbusiness.com)。
