儘管不少保安專家預期,企業今年將會面對的資料外泄威脅,包括雲運算濫用(cloud exploit)、流動設備攻擊,以及全面的網絡戰爭。惟《Verizon資料外泄調查報告》研究員的結論,卻大相逕庭。他們認為,核實驗證攻擊和失效(authentication attack and failure)、持續的間諜活動和黑客行為(hacktivism)攻擊、網絡應用程式濫用,以及社交工程陷阱(social engineering),方是資料外泄威脅最可能的來源。
該報告研究員全屬Verizon旗下專責研究、資訊、解決方案、知識(Research Intelligence Solutions Knowledge,RISK)工作小組成員,而該研究結果,則以歷時8年、來自數千個案的資料為基礎。報告首席著作者Wade Baker表示,有別於以軼聞和意見作為預測基礎的保安專家,Verizon研究員引用觀察所得證據辨別輕重。「雖然完全排除可能性,但我們並不認為會發生全面的網絡戰。相反,企業在2013年的資料外泄風險,很大可能來自低調而緩慢(Low and Slow)的攻擊。」
須慎防核實驗證攻擊
Baker續稱,最重大的威脅,是與核實驗證有關的攻擊和失效,可能出現的機率達到9成,當中包括容易被破解或盜用的用戶名稱及密碼,可說是資料外泄最常見的肇因。「入侵活動十居其九涉及身分盜用或核實系統,因此,企業須確保其開設、管理、監察使用者帳戶的過程健全,以及為所有系統、設備、網絡設立憑證。」網絡應用程式濫用主要影響大型機構,對政府尤甚,至於對中小型企業的威脅則較輕。根據RISK小組編製的資料,每4次網絡攻擊中,3次是由應用程式濫用所致。鑒於攻擊次數頻密,機構若心存僥倖,在來年忽略安全應用程式的開發和評核工作,無疑自找麻煩。
此外,Baker相信社交工程陷阱乃針對使用者,而非設備的攻擊,藉由狡猾的詐騙來達到目的。「利用網絡釣魚(phishing)等社交手段攻擊大企業和政府的數量,將會是以往的3倍。要完全杜絕人為錯誤,或令機構毫無弱點,那是不可能的,但防患未然與員工教育,能有助控制及遏抑欺詐詭計。」他續指,敵對者受間諜活動,和因政治或社會動機而入侵電腦系統的黑客行為,這些針對性攻擊將繼續出現,因此提醒企業須密切留意。另一方面,RISK小組不認為機構在雲運算技術,或配置方面的失敗,會成為資料外泄的根源,但假若機構的服務供應商,未能採取適當行動,或行動不當,便可能無意中增加了資料外泄的可能性。
至於流動設備,Verizon研究員相信遺失、盜竊,以及流動設備未受加密保護的情況,將繼續較黑客入侵,和惡意程式的禍害嚴重得多。RISK小組亦推斷,不法份子針對流動設備的攻擊,將隨著商務和消費市場,大力推行流動支付而接踵而至。不過Verizon研究員認為,流動設備成為大企業資料外泄引線的情況,要在2013年之後方會出現。大型機構傾向對本身的保安策略過分自信,實則大企業經常要接到執法人員知會,方發現出現了資料外泄問題。
該報告研究員全屬Verizon旗下專責研究、資訊、解決方案、知識(Research Intelligence Solutions Knowledge,RISK)工作小組成員,而該研究結果,則以歷時8年、來自數千個案的資料為基礎。報告首席著作者Wade Baker表示,有別於以軼聞和意見作為預測基礎的保安專家,Verizon研究員引用觀察所得證據辨別輕重。「雖然完全排除可能性,但我們並不認為會發生全面的網絡戰。相反,企業在2013年的資料外泄風險,很大可能來自低調而緩慢(Low and Slow)的攻擊。」
須慎防核實驗證攻擊
Baker續稱,最重大的威脅,是與核實驗證有關的攻擊和失效,可能出現的機率達到9成,當中包括容易被破解或盜用的用戶名稱及密碼,可說是資料外泄最常見的肇因。「入侵活動十居其九涉及身分盜用或核實系統,因此,企業須確保其開設、管理、監察使用者帳戶的過程健全,以及為所有系統、設備、網絡設立憑證。」網絡應用程式濫用主要影響大型機構,對政府尤甚,至於對中小型企業的威脅則較輕。根據RISK小組編製的資料,每4次網絡攻擊中,3次是由應用程式濫用所致。鑒於攻擊次數頻密,機構若心存僥倖,在來年忽略安全應用程式的開發和評核工作,無疑自找麻煩。
此外,Baker相信社交工程陷阱乃針對使用者,而非設備的攻擊,藉由狡猾的詐騙來達到目的。「利用網絡釣魚(phishing)等社交手段攻擊大企業和政府的數量,將會是以往的3倍。要完全杜絕人為錯誤,或令機構毫無弱點,那是不可能的,但防患未然與員工教育,能有助控制及遏抑欺詐詭計。」他續指,敵對者受間諜活動,和因政治或社會動機而入侵電腦系統的黑客行為,這些針對性攻擊將繼續出現,因此提醒企業須密切留意。另一方面,RISK小組不認為機構在雲運算技術,或配置方面的失敗,會成為資料外泄的根源,但假若機構的服務供應商,未能採取適當行動,或行動不當,便可能無意中增加了資料外泄的可能性。
至於流動設備,Verizon研究員相信遺失、盜竊,以及流動設備未受加密保護的情況,將繼續較黑客入侵,和惡意程式的禍害嚴重得多。RISK小組亦推斷,不法份子針對流動設備的攻擊,將隨著商務和消費市場,大力推行流動支付而接踵而至。不過Verizon研究員認為,流動設備成為大企業資料外泄引線的情況,要在2013年之後方會出現。大型機構傾向對本身的保安策略過分自信,實則大企業經常要接到執法人員知會,方發現出現了資料外泄問題。
沒有留言:
發佈留言