外洩調查報告 : 資料外洩急增、數據遺失新低

Verizon 最新發表的「2011資料外洩調查報告」指出，網絡攻擊導致的數據遺失個案於2010年大幅下降，但資料外洩個案總數創歷來新高。這些調查結果持續顯示企業和消費者在實施和維持保安運作方面，必須時刻保持警惕。

Verizon與美國特勤局 (U.S. Secret Service) 合作調查的資料外洩調查記錄，從2009年的1億4,400萬宗，大幅下降至2010年的400萬宗，數據遺失量為該報告自2008年發佈以來最低。然而，今年的報告紀錄了約760宗資料外洩個案，為迄今最大的個案數量。

報告指出，低數據遺失和大量資料外洩個案之間看似的矛盾，原因可能是網絡罪犯改變戰術，使大規模資料外洩事件顯著減少。現時，不法分子伺機策動小規模及成功機會較高的攻擊，而不是大規模的高難度攻擊，並且使用相對簡單的方法，成功滲透企業機構網絡。例如，僅3%的資料外洩事件在缺乏極為複雜或昂貴的糾正措施之下是無可避免的。

報告續稱，有92%的資料外洩事件是由外在因素引起，較2010年的調查結果急升。雖然內部人員造成的資料外洩事件較去年顯著下降，由49%下降至今年的16%，但實由較小規模的外部攻擊大幅增加所致。因此，由內部人員引起的攻擊總數實際上仍然維持與去年相約的水平。

黑客(50%)和惡意軟件(49%)是最普遍的攻擊手法，這些攻擊很多時涉及容易破解或被盜的憑證及密碼。實際攻擊更首次成為三大最常見的竊取資料方法之一，如在自動櫃員機安裝盜取卡資料的裝置等，佔所有調查個案的29%。
美國特勤局與Verizon連續第二年攜手合作進行該項調查報告。此外，荷蘭國家警察局(Netherlands Policy Agency，KLPD)屬下國家高科技罪案組(National High Tech Crime Unit) 亦於今年加入，讓Verizon能夠為源於歐洲的個案提供更深入的見解。約三分之一的Verizon個案源於歐洲或亞太區，反映了資料外洩事件遍及世界各地。

「資料外洩調查報告」(DBIR)系列跨越了七年，合共調查1,700多宗資料外洩事件，涉及超過9億宗外洩記錄，為同類研究中最全面的。

2011年報告的主要調查結果

據2011年報告的數據顯示：

大規模資料外洩事件顯著減少，而小規模攻擊則不斷增加：報告顯示，這一趨勢有多個可能的原因，其中包括中小企成為了很多黑客的主要攻擊目標。黑客喜歡高度自動化、可重複攻擊、及較易有機可乘的目標，可能是鑑於最近多名高調黑客遭到逮捕和起訴，犯罪分子為安全起見而避免攻擊大企業機構。

大部份資料外洩事件是由外在因素引起：有92%的資料外洩事件是由外在因素引起。相對於典型不懷好意的員工，內部人員造成的攻擊只佔16%。合作夥伴相關的攻擊持續減少，而由商業夥伴引起的個案則佔所有資料外洩事件不足1%。

實際攻擊持續上升：繼2009年佔所有資料外洩事件的比例倍增後，涉及實際行動的攻擊於2010年再次倍增，其中包括對自動櫃員機、加油站和銷售點終端機等常見的信用卡裝置設備做手腳。數據顯示，這些複製信用卡 (card-skimming) 個案大部份均牽涉有組織犯罪集團。

黑客和惡意軟件是最流行的攻擊手法：惡意軟件為2010年約一半資料外洩個案的主要因素，導致近80%的數據遺失。最常見的惡意軟件包括：傳送數據到外部實體、後門程式及按鍵記錄軟件。

被盜密碼及憑證失效：無作用、容易破解或被盜憑證不斷威脅企業保安系統。不能更改預設憑證仍然是一個潛在問題，尤其是金融服務、零售及酒店業。

給企業的建議

2011年報告再次表明，一些簡單、重要的保安措施是解決資料外洩問題的良方，包括：

專注重要的控制：不少企業常犯的錯誤就是在某些範疇要求極高的安全性，而幾乎完全忽略了其他地方。企業必須在整個組織實施必要的保安控制，方可萬無一失。

清除不必要數據：資料如果不需要應直接刪除。對於必須保存的數據，應識別、監察及安全穩妥儲存起來。

安全遠端存取服務。將這些服務限制於特定的IP位址和網絡，並且盡量減少公眾存取這些服務。另外，企業應確保網絡內敏感資料的存取限制。

審核用戶賬戶和監察特權用戶：最佳的應對策略是信任，但須通過聘任前篩選、限制用戶存取權限，以及採用職責分離原則，以監視他們。管理人員應提供指導，並且監督員工，確保他們遵守保安政策和程序。

監察及深入研究事件日誌：專注於日誌記錄中的明顯問題，而不是細節小事。把外洩資料發現的時間範圍從數週或數月減至數天，可獲得莫大的裨益。

請注意實體保安資產。小心使用自動櫃員機和加油站等支付卡輸入裝置，防範不法分子竄改。