More I.T. News
  Jun 23, 2008
 
 
Verizon Business公佈具前瞻性的資料外洩調查

採用適當的安全措施可避免87%的資料外洩,可見企業應採取主動策略

根據Verizon Business公佈的一項綜合調查,如配備適當的安全措施,近九成的企業資料外洩事件 (Data Breach) 是可以避免的。本調查亦提供重要建議,協助企業建立最周全的安全措施,並促請企業採取主動策略。

這項「2008資料外洩調查報告」研究歷時四年,涵蓋超過500項取證分析調查及二億三千筆記錄,並分析了數百個企業資料外洩個案,包括歷年來五個最嚴重企業資料外洩事件的其中三個案例。這項調查由Verizon Business安全解決方案專家進行,73%的資料外洩是由外在因素引起,18%由內部威脅造成,而大部份則因多個事件同時發生所造成,而非單一入侵或攻擊所致。

Verizon Business安全解決方案研究及情報副總裁Peter Tippett指出:「對全球的企業機構而言,安全漏洞及敏感資料外洩是真正日益備受關注的問題。這項調查可協助企業了解資料外洩如何出現及它們的共通點。最重要的是,本調查可促使企業於安全方面採取主動措施,而這正是保護資料的不二法門」。

基本安全原則的主要調查結果

某些調查結果可能與廣為認同的看法對立,例如內部人員要就大部份的資料外洩事件負責。主要的調查結果包括:

調查中大部份的資料外洩事件是由外在因素所引起
有39%的外洩歸咎於商業夥伴,這數字於調查期間上升了五倍。
大部份資料外洩是由多個事件同時出現所造成,而非單一活動所致
62%的漏洞歸因於嚴重的內部失誤,直接或間接造成資料外洩。至於蓄意外洩,則有59%是由入侵及攻擊造成。
39%由駭客入侵所引起的資料外洩,所針對的是應用或軟件層面
針對應用、軟件及服務層面的攻擊多於入侵作業系統平台,前者佔23%。少於25%的個案,是利用已知或未知的漏洞進行攻擊。值得注意的是,在發現這些資料外洩事件至少六個月前,90%的已知漏洞均有可用的修補程式 (Patch)。
九成的資料外洩含有一些「未知」的情況,其中包括未知的系統、資料、網絡連接、及/或帳戶使用者權限
此外,75%的資料外洩是由第三方發現,而非受害機構,並存在了一段長時間而未被察覺。
現代機構的資料無所不在,資料監控工作又極度艱巨
基本原則十分簡單,但如果你不知道資料儲存在哪裡,當然無法保護它。

盜取資料的全球黑市市場正在增長

本調查所研究的資料外洩事件涵蓋多個行業。零售和餐飲業的案例佔超過半數。相反,與其他行業相比,擁有龐大貨幣資產的金融服務業一般都配備高度的防護,該行業的案例佔調查總個案的14%。

本調查亦顯示國際事件的數目及類別均顯著上升。例如,亞洲出現的攻擊,尤以中國及越南為甚,經常包含應用層面的入侵,繼而導致資料外洩,而網站篡改 (Defacement) 則經常來自中東。而銷售點系統 (POS) 的攻擊事件,其來源IP通常都與東歐及俄羅斯有關連。

調查發現:「隨著資訊科技提升了全球各地的相互連接性、企業極力尋求全球夥伴合作、以及法規治理對資料外洩事件的處理與公佈日漸成熟,國際資料外洩的上升趨勢很有可能會持續下去。」

報告說明了資料外洩的背後理論,透過資料盜取竊取所需資料來進行身份詐騙,是一種最容易、最安全,且最有利可圖的方法。罪犯只須闖入擁有權限的電腦系統,盜取儲存於這些電腦系統中的敏感資料,就可以存取載有成千上萬受害人資料的系統。若採用非電子方法,罪犯只能取得少量資料。

有利可圖的資料黑市交易使得這些犯罪行為變得更具吸引力。罪犯透過社交網路互相合作,尋找存有漏洞的系統、竊取資料,進而進行大規模的身份盜竊。報告指出,在這個網絡內,聯手合作的罪犯讓駭客、騙子及其他有組織犯罪集團可持續取得所需資料。

給企業的建議

這項研究提到,只要持續執行幾項簡單的動作,便可獲得莫大效益。主要建議包括:

把策略與程序緊密結合
在59%的資料外洩事件中,企業機構都有為系統建立安全策略及程序,但是這些措施都從未實行過。切實執行是一大要訣!
制訂資料保存計劃
在66%的資料外洩個案中,這些公司甚至不知道這些外洩的資料是在他們的系統之中。企業機構必須了解資料流動的途徑及儲存所在,以辨識資料並為其排定風險的優先順序。
設立交易區管控資料
調查人員指出,將網絡區隔有助於避免攻擊,或至少緩和部份攻擊。換言之,企業機構應於適當的時段及位置將資料予以區隔。
監控事件日誌
證據顯示高達82%的資料外洩事件,於外洩真正發生前都是有跡可尋的。企業機構應持續以系統的方式監控日誌,並於事件發現時適時予以回應。
建立意外事件處理計劃
懷疑有資料外洩的情況時,企業機構一定要迅速作出反應,不單要阻止資料繼續外洩,還要搜集證據,以便在必要時可進行檢舉。
提高警覺
儘管員工是保護資料的最前線,但只有14%的資料外洩個案是由受害機構員工發現。企業機構必須培養員工的警覺性。
進行模擬事件測試
企業機構要確保員工訓練有素,可應付資料外洩的情況,並提供模擬危機訓練,測試員工的事件處理能力、判斷力及行動。

Tippett補充:「這項報告明確指出,資料保護的關鍵不是安全防禦措施如何巧妙或精密,而是從資料監控計劃到實行都必須從最根本處著手。」
 
PressRelease 新聞稿
 
www.hkitnews.com