2012年11月7日星期三

Verizon資料外泄調查揭示行業網絡犯罪趨勢

數據乃企業重要資產,雖有調查顯示企業日益重視網絡保安,除部署防火牆,一般亦會採用保安方案,然而資料外泄問題卻愈益惡化,外泄事故頻仍,「Verizon2011及2012年資料外泄調查報告」便按行業劃分網絡犯罪概覽,旨在助各機構深入了解資料外泄的原委,以及如何提供最佳保護。

該報告主要針對零售業、酒店業、金融服務業和醫療保健業,並就知識產權盜竊進行了深入分析,揭示了許多行業要防止知識產權盜竊愈益困難。

醫療保健業低風險成攻擊目標

作為具高價值的目標,金融服務業容易引起犯罪分子針對性的關注。總的而言,該行業的資料泄漏主要與資金有關,方式或為直接(透過存取內部帳戶和應用程式),或為間接 (透過下游欺詐)。許多攻擊針對自動櫃員機、網絡應用程式和員工。妥善監控登入認證、開發安全應用程式、提高員工安全意識,及自動櫃員機安全問題等方面仍有待改善。

醫療保健業的資料外泄,大多發生於100員工或以下的中小型企業,其中大部分集中在門診護理設施,如醫務診所和牙科診所。報告指出,攻擊幾乎全部由有財務動機的有組織犯罪團體進行,且通常攻擊較小的低風險目標,為各種欺詐計畫獲取個人及付款資料。 大多數攻擊涉及黑客入侵和惡意程式,通常針對銷售點(POS) 系統。不過醫療保健業亦須注意保護醫療器械和電子醫療記錄。報告建議,大部分資料外泄可透過一些較小且容易實施的步驟加以防範,如變更所有 POS 系統上的管理密碼、架設防火牆、避免使用 POS 系統瀏覽網絡等,同時應確保 POS 符合 PCI DSS支付卡行業資料安全標準。

零售業欠內部管理

Verizon資料外泄調查報告顯示,零售業持續受大量資料外泄的困擾,相信當中許多由有財務動機的犯罪集團進行。他們透過日常交易中使用的 POS 系統取得權限,然後透過第三方遠端存取服務,利用安全性弱、易於猜中或預設的認證。 最易受到攻擊的,是加盟企業和其他中小型企業,他們通常缺乏管理自身安全的內部資源和專業技術。因此,這些企業一般依靠第三方供應商,或使用即開即用型解決方案,但第三方供應商往往無法提供足夠保護,而使用即開即用型解決方案時,又未充分調查解決方案是否能滿足其業務安全需求。

在許多案例中,員工皆有意或無意地牽涉其中。員工保安意識偏低,以致不慎以公司電腦點按了惡意電子郵件附件,或瀏覽有問題的網站,致使系統遭到惡意程式感染,或讓黑客有機可乘,取得權限存取網絡中的其他裝置。

知識產權盜竊內賊難防

整體而言,為證實知識產權(Intellectual Property,IP)盜竊搜證十分困難,過程相當專業。在此類別中,許多資料外泄在損失發生頗長時間後才會被發覺,而且常常需時很久才能成功控制資料外泄。

知識產權攻擊普遍涉及內部人員與外人串謀。外人通常會直接發起惡意攻擊,但通常會引誘和協助內部人員。大多數盜竊人員均屬企業的競爭對手,他們目標明確,瞄準知識產權,將其視為取得某種策略、財務、技術或相關優勢的捷徑。攻擊者通常會混合或搭配各種方法,直至找到最佳組合。

沒有留言:

發佈留言