2014年5月14日星期三

資料外泄問題嚴重


網絡罪案愈趨精密,且當中不少更具針對性,瞄準存有大量客戶資訊的企業,意圖竊取個人資料藉以謀利。

Symantec新近公布的互聯網安全威脅報告(Internet Security Threat Report,ISTR),便指出去年網絡罪犯行為出現明顯變化,黑客放棄小額獲利的快速攻擊方式,轉而進行長時間潛伏,準備一次性的大規模攻擊計畫。Symantec大中國區安全產品技術總監羅少輝透露,報告顯示企業秘書、公關、傳媒等成首要目標。「數年前,ISTR曾指出最常受到攻擊的是大企業管理層,不過這些年來,他們的保安意識已得到大幅提升,加上企業對管理層的保安非常嚴謹,不容易成功。相反,管理層的秘書或個人助理,在保安保護上往往未獲同等待遇,惟管理層不少電郵或文件均由秘書或個人助理代勞,從他們入手可謂捨難取易,且成效顯著。」

全球資料外泄暴升逾六成

資料外泄的規模相較往年呈大幅度增長,讓企業的信任與商譽受到威脅。愈來愈多客戶的個人資料遭入侵,包括信用卡號碼、醫療記錄或銀行帳號密碼等。據報告指出,2013年整體全球網絡資料外泄事件,比前一年增加62%,並造成5.52億個身份資料曝光,這證明了網絡犯罪對消費者及企業來說,具強大的威脅。此外,2013年全球前8大資料外泄事件中,每一次均造成至少破千萬筆紀錄的損失;相較之下,2012年卻只發生過一宗同規模的大量資料外泄事件。「一次大量資料外泄的破壞性,相當於五十次較小的攻擊事件,且網絡攻擊的複雜程度亦持續提升。」

羅少輝又引述報告指,本地的市場推廣和媒體,為受到最多垃圾和釣魚電郵攻擊的兩個行業,而電訊業則獲最多惡意程式。此外,他強調不同規模的公司均被垃圾電郵攻擊,平均超過60%;其中,中小型公司(250人以下)和大型企業(1501-2501人以上)佔最高比例的釣魚攻擊。同時,大型企業遭惡意程式攻擊的比例最高。

另與2012年相比,全球針對性的魚叉式釣魚(spearphishing)攻擊事件增加91%,而且平均攻擊期間增長3倍。其中,市場推廣和媒體為這類攻擊的首要行業,網絡罪犯利用這些對象當跳板,成功後再針對具高價值的目標進行攻擊。

加強復原防護能力

Symantec香港系統工程經理李輝指出,大部分用戶均有為其個人及企業設備,安裝保安程式或落實相應措施,然而同樣賴以處理業務或財務管理的流動設備,則相對疏忽,往往未有安裝保護程式。「現今的智能裝置功能強大,除瀏覽網站外更可處理文件,或登入網上銀行處理財務,跟一台小型電腦無異,疏忽保護讓網絡罪犯有機會獲得更多資料。」

他建議企業及消費者採取更好的防護措施,如大量資料外洩、針對性攻擊或常見的垃圾郵件,同是需要採取保護的項目。特別對網絡罪犯來說,具有潛力的獲利模式會吸引他們發動更大規模的攻擊,公司不論大小都需要再檢查、再思考,及重新設計他們的資訊安全措施。因此Symantec建議企業防護措施必須針對資訊,而非裝置或數據中心而訂制。同時須了解敏感資料儲存的位置,這樣有助找出最佳的防護政策及程序。

此外,企業亦須教育員工,為他們提供指導方針或防護資訊,包括公司在個人及企業裝置上,保護敏感資料的政策及程序。而在資訊安全措施方面,企業則應在防止資料流失、網絡安全、端點安全、加密、強式授權制度,及防禦性措施等方面,加強資訊安全基礎建設,包括檢視檔案的信譽評等技術。



沒有留言:

發佈留言