2008年泄露的电子记录总量比去年四年的总和还要多,而且其中大部分(90%)的泄露都是可以通过持续实施基本的防护性控制避免的。
Verizon在发布的《2009年Verizon业务数据泄露调查报告》中指出,2008年发生的已经确定的90起数据泄露事件涉及2.85亿份记录,而在2004年到2007年之间发生的数据泄露事件总共涉及2.3亿份记录。
Verizon调查的数据泄露事件中有大约1/3已经公开,预计今年年底还会有更多事件被公开。
调查发现:被涉及的记录中有91%的记录与犯罪组织团伙有关;有目的的病毒攻击翻了一番;受到攻击最多的板块是默认证书和SQL注入。
Verizon业务安全解决方案部门研究副总裁PeterTuppett表示,这份报告向人们敲响了警钟:企业业务需要更完善的安全和防护措施,尤其是当前的经济危机很可能引发更频繁的犯罪活动。
不过也有一个好消息,针对个人数据的市场已经瓦解。
报告指出:“最近几年磁带数据的大量泄露已经泛滥了整个信息黑市,这种市场饱和已经导致磁带信息变得一文不值。甚至出售被盗戏弄卡数据的价格已经从2007年年中的每份记录10~16美元锐减到现在每份记录0.5美元。”
坏消息是,网络犯罪开始转向盗取和银行账户信息有关的个人身份数字,罪犯可以利用这些数字盗走受害人账户上的现金。
这就解释了为什么2008年受牵连的2.85亿份记录中有95%都是来自于金融机构。报告中还指出,这主要是因为2008年金融机构发生数据泄露规模之大。
正如Verizon之前的数据泄露报告一样,大多数受调查的数据泄露事件都是有第三方发现的。这表明企业机构需要对他们自己的数据有更好的监管和控制。
令人感到以外的是,99%的泄露记录都是通过服务器和应用访问的,而不是笔记本电脑、上网本、手机或者可移动存储介质。
从报告中中我们可以接受到很多教训。但最主要的一个是持续应用安全策略其实是可以防止大多数数据泄漏事件发生的。
而且Verizon还给企业机构提供了更具体的建议,比如更改默认证书、避免分享证书、复查用户账户、应用测试和代码复查、智能补丁管理、员工期满终止流程、应用日志和监控、对可以或者匿名网络行为的监控。