從多個角度來看,2013的數據泄露趨勢得到了有效遏制,這對於安全行業來說當然是個好消息。與過去四五年不同的是,今年的記錄中不再充斥著大數據庫泄露導致的數千萬條個人身份信息的外流。根據隱私信息交換中心的調查,今年公開報道和記錄的泄露事故數量均呈下降趨勢。而去年同期,有精確統計的記錄泄露數量已經達到278萬條左右,漏洞報告數量為637個。今年至今記錄的泄漏事故約654.38+0.07萬,漏洞報告483個。這充分表明了整個安全行業在合規性和安全最佳實踐方面取得的進步——然而,這壹記錄離理想目標仍有很大差距。
對比年初至今的數字,我們發現記錄的泄漏事故數量下降了665,438+0.7%,而報告中提到的泄漏事故數量僅下降了24.2%。這說明泄漏事故仍然快速發生——只是今天的犯罪活動和違法行為開始逐漸蔓延而不是集中在壹個點上。泄露的範圍更小,據安全行業人士稱,此類惡意活動的目標更廣。現在犯罪分子正在竊取更多的IP或其他數字資產,這可能會造成比客戶記錄本身更嚴重的損失——而且也更難以量化,無法提供頭條新聞所必需的統計結果。
通過對今年泄漏事故的深入研究,我們發現安全行業顯然還有很多工作要做。2013的跟蹤記錄證明,有價值的數據庫仍然沒有得到嚴格的保護和加密,應用程序仍然存在大量的安全漏洞,用戶仍然可以從敏感數據庫下載大量信息並保存在無保護的終端中。為了幫助您更好地了解當前的安全形勢,我們選擇了幾個最具代表性的例子,希望您能從中吸取經驗。
企業:CorporateCarOnline.com。
泄露統計:85萬條記錄被盜。
事故詳情:作為美國最知名的專業體育、娛樂和500強企業,CorporateCarOnline.com擁有大量用戶的個人數據、信用卡號等個人身份信息。然而,由於其全球豪華汽車租賃的SaaS數據庫解決方案,所有信息都以明文形式存儲,最終導致犯罪分子的占有。名單上有許多名人,包括湯姆·漢克斯、湯姆·達施勒和唐納德·特朗普。
教訓:最重要的教訓是認識到這樣壹個現實:當面對有價值的金融和社會工程信息時,攻擊者會爆發出可怕的技術能量。根據KrebsOnSecurity.com網站的調查,在遭到非法活動的美國運通卡中,有四分之壹是高價值甚至無限價值的卡,企業間諜或娛樂小報記者也希望通過這樣的個人信息找到有價值的結論。同時,該公司在管理收支賬戶時根本沒有考慮信息安全,甚至從未嘗試采取任何基本的加密措施。
參與企業:Adobe
泄露統計:約300萬條個人身份信息,超過654.38+0.5億個用戶名/密碼組合,以及Adobe Acrobat、ColdFusion、ColdFusion Builder和其他未指明產品的源代碼被盜。
事故細節:在最初的違規後,壹個多月的時間裏,更多的攻擊接踵而至,最終導致了這起重大事故。目前,顯然Adobe正在試圖恢復大量被盜的登錄憑據——更令人驚訝的是,其產品的源代碼也被泄露。
經驗教訓:通過這壹輪震驚世界的攻擊,Adobe不僅體驗到了在企業網絡中建立基地、奪取整個業務儲備控制權的攻擊者所帶來的傷害,也學會了在考慮將供應商引入軟件供應鏈之前,先審視對方在安全領域營造了怎樣的企業生態。作為此次泄漏事故的後續影響,其潛在後果可能在很長壹段時間內都無法完全消除。
涉及企業:美國能源部。
泄露統計:能源部53,000名前任和現任雇員的個人身份信息被盜。
事故細節:攻擊者將矛頭指向DoInfo,這是ColdFusion構建的壹個廢棄的CFO辦公室公共訪問系統。能源部官員表示,泄露僅限於內部員工的個人身份信息。
教訓:我們應該從中吸取兩大教訓。首先,安裝補丁過去、現在和將來都是最重要的安全任務。其次,機構必須通過重新檢查與敏感數據庫連接的系統,最大限度地減少攻擊面,並確保只有必要的網站向公眾開放。
涉事企業:倡導醫療集團
泄露統計:400萬份病歷被盜。
事故細節:僅僅因為犯罪分子從辦公室偷走了該公司擁有的四臺電腦,最終導致了四百萬患者記錄丟失的事故——該公司官方稱這是自2009年衛生部強制通知安全事故以來,美國第二大醫療信息泄露案件。
經驗教訓:醫療行業的數據泄露事故在2013的違規披露名單中壹直獨占鰲頭,但這個案件的影響顯然特別惡劣。光是壹臺物理計算設備被盜,最終就導致了從上世紀90年代至今的患者病歷泄露,充分暴露了公司在物理安全、終端安全、加密和數據保護方面的失誤。需要強調的是,終端設備被盜、丟失已經成為醫療行業的家常便飯。現在這些機構可能需要思考的是,有多少來自中心數據庫的信息可以盡快被終端設備下載保存。