在IT安全领域,最糟糕的攻击情况在2014年变成普遍现象,并且没有结束的迹象。今年我们可能会继续看到数据泄露事故占据头条新闻,企业、政府和监管机构都在努力抵御攻击。
数据安全公司Gemalto表示,攻击的性质也正在变化。攻击者的主要目标是可以帮助攻击者实现身份盗窃的数据记录,这很难捕捉和阻止。最新披露的健康保险公司Anthem遭遇的8000万条记录泄露事故就是身份盗窃攻击。
Gemalto在其年度数据泄露水平指数表示,在全球范围内,共有1514起数据泄露事故被公开,而泄露的数据记录数量超过10亿条。
在泄露的数据数量来看,2014年比前年同期增长了78%。
Gemalto的数据收集来自公共来源,尽管这种类型的数据收集存在多样性,但该公司认为其报告反映了数据泄露事故数量的大体情况。Gemalto公司身份和数据保护首席战略官Tsion Gonen表示:“数据泄露通知法律并没有显著改变。”
大型数据泄露事故正在频繁发生,去年导致知名公司数千万条数据记录被泄露,包括Home Depot公司泄露的1.09亿条记录,易趣网1.45亿条记录,以及摩根大通的0.83亿条。
身份盗窃占这些攻击的54%,这比2013年同比增加20%。
Gonen表示,身份盗窃的增加是金融服务业成功地迅速阻止金融犯罪(例如信用卡诈骗)的结果。这种做法并不能阻止身份盗窃(+微信关注网络世界),这需要监管机构采取办法来遏制。
Gemalto对数据泄露事故提出了1到10的评分系统,由算法来确定分数。该系统侧重于“出站”、影响或对客户的影响,特别是当数据未加密时。这个评分系统给Home Depot、摩根大通和易趣网打了10分,索尼则为6.5分,因为大部分伤害是对索尼本身。
恶意攻击者占恶意攻击事故的55%,而下一个最大的攻击来源是人为错误,占25%。人为错误包括未受妥善保护的网站允许访问客户数据和丢失的笔记本。公司不对客户数据进行加密并不能算作是人为错误。
Gonen表示,2014年将被视为IT安全领域的临界点,安全意识已经达到有史以来的最高水平,美国总统奥巴马最近在采取行动来寻求安全立法以及与私营部门新水平的合作。