泄漏事故的统计数据正在逐渐减少,但数据仍然面临着数据库、应用程序和终端保护不当造成的严重风险。
从多个角度来看,2013年的数据泄露趋势得到了有效遏制,这对安全行业来说当然是好消息。与过去四五年不同的是,今年的记录不再充斥着大型数据库泄露导致的数千万个人身份信息外流。根据隐私信息交换中心的调查,今年公开报告的泄漏事故数量和记录的泄漏事故数量都呈下降趋势。去年同期,统计准确的记录泄漏数量达到278万次左右,漏洞报告数量为637份。今年,迄今已记录了约107万起泄漏事故和483份脆弱性报告。这充分证明了整个安全行业在合规性和安全最佳实践方面取得了进步。但是,这个记录离理想目标还很远。
将今年至今的数字进行比较,我们发现记录在案的泄漏事故数量大幅下降了61.7%,而报告中提到的泄漏事故数量仅下降了24.2%。这说明泄漏事故还是发生的很快,——起,但现在犯罪活动和违法行为开始逐渐蔓延,而不是集中在一点上。泄密的影响较小,根据安全行业的说法,此类恶意活动的目标更广。现在犯罪分子开始窃取更多的IP或其他数字资产,由此造成的损失可能比客户记录本身更严重。
通过对今年泄漏事故的深入研究,我们发现安全行业还有很多工作要做。2013年的跟踪记录证明,有价值的数据库仍然没有得到严格的保护和加密,应用程序中仍然存在大量的安全漏洞,用户仍然可以从敏感数据库中下载大量信息并保存在不受保护的终端中。为了帮助大家更好的了解当前的安全形势,我们选择了几个最有代表性的例子,希望大家可以从中吸取教训。
涉及的企业:
泄漏统计:85万条记录被盗
事故详情:作为美国最知名的职业体育、娱乐和500强企业,拥有大量用户个人资料、信用卡号码等个人身份信息。然而,由于其开发的全球豪华汽车租赁SaaS数据库解决方案,所有信息都以明文形式存储,最终导致犯罪分子占有。名单上有很多大牌,包括汤姆汉克斯、汤姆达施勒和唐纳德特朗普。
吸取的教训:最重要的教训是要认识到这样一个现实:面对有价值的金融和社会工程信息,攻击者将会爆发可怕的技术能量。网站调查显示,遭遇非法活动的美国运通卡有四分之一是高价值甚至无限价值的卡,企业间谍或娱乐小报记者也希望通过这样的个人信息找到有价值的结论。同时,该公司在管理收支账户时根本没有考虑信息安全,甚至从未尝试采取任何基本的加密措施。
涉及的企业:
泄露统计:约300万个人身份信息,超过1.5亿用户名和密码组合,以及来自、和其他未指定产品的源代码被盗。
事故详情:最初违规后,更多的攻击持续了一个多月,最终导致了此次重大事故的发生。目前情况已经明确,正在努力追回大量被盗登录凭证信息——。更让人惊讶的是,连其产品的源代码都被泄露了。
经验教训:通过这一轮震惊世界的攻击,我们不仅感受到了攻击者在企业网络中建立根据地,夺取整套业务储备控制权后所能带来的伤害,也学会了在考虑将供应商引入软件供应链之前,考察对方在安全领域创造了怎样的企业生态。作为此次泄漏事故的后续影响,其潜在后果可能在很长一段时间内不会完全消除。
相关企业:美国能源部
泄漏统计:能源部5.3万名前任和现任员工的个人身份信息被盗
事故详情:袭击者将矛头指向DOEInfo——,这是该机构利用ColdFusion搭建的CFO办公室公共访问系统,现已废弃。能源部官员表示,泄漏仅限于内部员工的个人身份信息。
教训:我们应该从中吸取两个教训。首先,修补过去、现在和将来都是最重要的安全任务。其次,各机构必须通过重新检查与敏感数据库相关的系统来最大限度地减少攻击面,并确保只有必要的网站向公众开放。
参与企业:倡导者医疗集团
泄漏统计:400万份病历被盗
事故详情:就因为犯罪分子从办公室偷走了公司拥有的4台电脑,这次事故导致了400万患者记录的丢失。——该公司官方称这是自2009年卫生部强制通报安全事故以来,美国第二大医疗信息披露案件。
教训:2013年医疗行业的数据泄露事故一直占据非法披露名单的主导地位,但这起案件的影响显然特别恶劣。只有一台物理计算设备被盗,最终导致90年代至今的病历泄露,充分暴露了公司在物理安全、终端安全、加密、数据保护等方面的错误。需要强调的是,终端设备的被盗和丢失在医疗行业是很常见的。现在,这些机构可能需要考虑,终端设备能尽快下载并保存多少来自中央数据库的信息。
相关阅读
标签: #全球新闻事件数据库
