核實驗證攻擊、網絡應用程式濫用將是機構於 2013 年最有可能面對的威脅 雲端運算濫用、全面網絡戰等其他威脅卻不太可能出現 香港 – 儘管許多保安專家預計,機構於 2013 年最有機會遇到的資料外洩威脅,包括雲端運算濫用(cloud exploit)、流動設備攻擊,以及全面的網絡戰,可是,《Verizon 資料外洩調查報告》(Verizon Data Breach Investigations Report)研究員的結論卻大相逕庭:核實驗證攻擊和失效(authentication attack and failure)、持續的間諜活動和黑客行為(hacktivism)攻擊、網絡應用程式濫用,以及社交工程陷阱(social engineering)方會是最有可能的資料外洩威脅來源。 報告的研究員均是 Verizon 旗下專責研究、資訊、解決方案、知識(Research Intelligence Solutions Knowledge,簡稱「RISK」)工作小組的成員,其研究結果以歷時八年、來自於數千個案的資料為基礎,並且已刊載於今年較早時公佈的 2012 年資料外洩調查報告之中。 報告的首席著作者 Wade Baker 表示:「很多保安專家都利用軼聞和意見做為預測的基礎,至於 Verizon 研究員則引用觀察得來的證據,協助企業辨別輕重,並正視來年真正的重點所在。」 他續道:「首先也是最重要的,是雖然可能性總是存在,但我們並不認為全面網絡戰會發生。反而,企業在 2013 年的資料外洩風險,很大可能來自於低調又緩慢的攻擊。」 Verizon 的 RISK 小組指出下列是極有可能造成資料外洩的威脅: 最重大的威脅 – 可能出現率達到九成 – 是與核實驗證有關的攻擊和失效,當中包括容易被破解或盜用的用戶名稱及密碼,這經常是資料外洩的肇因。Wade Baker 表示:「入侵活動十居其九涉及身分盜用或核實系統,因此,企業須確保其開設、管理、監察使用者帳戶的過程健全,以及為所有系統、設備、網絡設立憑證。」 網絡應用程式濫用主要影響大型機構,對政府尤甚,至於對中小型企業的威脅卻較輕。根據 RISK 小組編製的資料,每四次網絡攻擊中,有三次是由應用程式濫用所致。Wade Baker 稱:「鑒於攻擊次數頻密,機構若心存僥倖,在來年忽略安全應用程式的開發和評核工作,無疑是自找麻煩。」 社交工程陷阱是針對使用者而非設備的攻擊,並藉由狡猾 – 有時笨拙 – 的詐騙來達到目的。Wade Baker 表示:「利用網絡釣魚(phishing)等社交手段攻擊大企業和政府的數量是以往的三倍。要完全杜絕人為錯誤或令機構毫無弱點當然是不可能的,但防患未然與員工教育有助控制及遏抑欺詐詭計。」 Wade Baker 亦指出,敵對者受間諜活動和黑客行為(因政治或社會動機而入侵電腦系統的行徑)鼓動所進行的針對性攻擊將繼續出現,所以「密切留意十分重要」。 另一方面,RISK 小組不認為機構在雲端運算技術或配置方面的失敗,會成為資料外洩的根源,可是,假若機構的服務供應商未能採取適當行動,或者是行動不當,便可能無意中增加了資料外洩的可能性。 至於流動設備,Verizon研究員相信遺失、盜竊 – 以及流動設備未受加密保護 – 的情況,會繼續比黑客入侵和惡意程式的禍害嚴重得多。 RISK 小組亦推斷,不法份子針對流動設備的攻擊,將隨著商務和消費市場大力推行流動支付而接踵而至。Wade Baker 表示:「我們很有機會在 2013 年看到這轉變。不過 Verizon 研究員認為,流動設備成為大企業資料外洩引線的情況,要在 2013 年之後方會出現。」 大型機構易於以本身的保安策略和相應計劃而引以為傲,但實情是大企業經常要接到執法人員的知會,方發現本身出現了資料外洩問題。Wade Baker 說道:「如果真的是自行發現的話,相信也是純屬偶然。」他總結如下: 「請緊記,以上提及過的資料外洩問題仍然對企業造成困擾。但根據我們過往的資料,我們要指出的是問題被過度渲染,而且也並非如普遍認為般容易便引致下一次資料外洩。」
