【51CTO.com獨家翻譯】根據(jù)Verizon公司2010年度數(shù)據(jù)泄露調(diào)查報告（DBIR），數(shù)據(jù)泄露事件的總數(shù)在2009年里有所下降。Verizon公司負責技術和企業(yè)創(chuàng)新的副總裁Peter Tippett說：“數(shù)據(jù)泄露事件的下降是一個良好的跡象，表明我們在對抗網(wǎng)絡犯罪方面有了一定的進步?！辈贿^，服務器和應用程序所導致的被盜記錄仍占到了98.5％，這一點并沒有發(fā)生改變。

2010年度數(shù)據(jù)泄露調(diào)查是Verizon與美國特情局（U.S. Secret Service，USSS）首次聯(lián)合開展的。該報告顯示，去年電子記錄的泄露涉及到了更多的內(nèi)部人士的威脅（insider threats）、更多的社會工程學和有組織犯罪。Tippett說，“通過把美國特情局所記錄的案例次數(shù)包含在內(nèi)，使我們擴大了對網(wǎng)絡犯罪的認識，提高了我們阻止數(shù)據(jù)泄露的能力?！盫erizon和美國特情局（負責調(diào)查經(jīng)濟犯罪）聯(lián)合調(diào)查的數(shù)據(jù)設計到過去六年的900多起數(shù)據(jù)泄露事件，被盜的記錄超過9億條。

“在2009年導致數(shù)據(jù)泄露的威脅行為（threat actions）排行榜上，數(shù)據(jù)濫用位居榜首。這并不是說黑客攻擊和惡意軟件已經(jīng)消失了，它們?nèi)苑謩e位列第二和第三，需要對95％的被盜數(shù)據(jù)負責。在一些組織試圖保護自己的信息資產(chǎn)時，證書強度弱或者被盜、SQL注入和數(shù)據(jù)捕獲、定制的惡意軟件等仍然困擾著人們。而社會工程學導致的數(shù)據(jù)泄漏事件增加了兩倍還多，物理攻擊（如盜竊、竄改和監(jiān)控則上升了好幾倍?！?/P>

威脅行為有如下幾種（包含了各自在泄露事件和被盜記錄中所占的百分比）：惡意軟件（泄露事件的38％，被盜記錄的94％）、黑客攻擊（泄露事件的40％，被盜記錄的94％）、社會工程學（泄露事件的28％，被盜記錄的3％）、數(shù)據(jù)濫用（泄露事件的48％，被盜記錄的3％）、物理攻擊（泄露事件的15％，被盜記錄的1％）、錯誤（泄露事件的2％，小于被盜記錄的1％）和環(huán)境因素（泄露事件的0％，記錄的0％）。

2010年度報告的主要發(fā)現(xiàn)包含：

69％的數(shù)據(jù)泄露是由外部攻擊造成的，只有11％的數(shù)據(jù)泄露與商業(yè)合作伙伴有關。而49％的數(shù)據(jù)泄露則是由內(nèi)部人士造成的，這一項比以前的報告有所增加，主要和數(shù)據(jù)集（dataset）的擴大以及美國特勤局所研究的案件類別有關。

權限濫用占到數(shù)據(jù)泄露的很大一份。48％的數(shù)據(jù)泄露是由于用戶惡意地濫用訪問企業(yè)信息的權利而造成的。數(shù)據(jù)泄露的另外40％是黑客攻擊的結果，而其中28％是由于社會工程學，14％是由于物理攻擊。

與往年一樣，幾乎所有的數(shù)據(jù)都是在服務器和網(wǎng)絡應用程序上被盜的。85％的泄露事件并不十分困難的。而高達87％的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù)，但他們卻錯過了。如果安全規(guī)則得到遵守，大多數(shù)的數(shù)據(jù)泄露都是可以避免的。只有4％的數(shù)據(jù)泄露需要困難的、昂貴的自我保護措施才能得以實現(xiàn)。在去年被盜的所有數(shù)據(jù)中，有組織犯罪占到了85％。

在受害者中，有些是需要遵守PCI-DSS標準的，但79％的受害者在數(shù)據(jù)泄露發(fā)生之前，都沒能實現(xiàn)規(guī)則遵從（compliance）。

只要有足夠的時間、資源和專注，犯罪分子就能攻破他們所選擇的任何一個組織，但他們并沒有足夠的資源攻破所有的組織。在大型的數(shù)據(jù)泄露事件里，黑客侵入受害者的網(wǎng)絡（通常通過利用一些錯誤或漏洞）后，在受害者的系統(tǒng)上安裝惡意軟件以收集大量的數(shù)據(jù)。你得在對手控制你的電腦前阻止他們，因為等他們成功入侵你的系統(tǒng)之后再去阻止，那將會變得非常困難。在2009年，惡意軟件呈現(xiàn)大幅上升的局面。下面是Verizon公司提供的一個圖表，展示了各種惡意軟件在數(shù)據(jù)泄露中所占百分比，以及用紅色表示的被盜記錄百分比。

內(nèi)部人士作案并不是虛構的事情。網(wǎng)絡罪犯善于煽動，他們會勸說那些不滿的系統(tǒng)管理員或者正處在經(jīng)濟困難中的員工出賣自己的登錄信息或者VPN。Verizon負責調(diào)查響應的總監(jiān)Bryan Sartin說：“內(nèi)部作案總會被抓到?！?/P>

社會工程學在數(shù)據(jù)泄露中占的比例更大（28％，而在2008年只有12％）。社會工程學運用了欺騙、操縱、恐嚇等來利用人為因素、或者信息資產(chǎn)的用戶。引誘和賄賂發(fā)生的頻率往往比其他類型的社會工程學更高。美國特勤局表示，這些通常是有組織犯罪的慣用伎倆，他們會招募甚至在目標組織的內(nèi)部安置一個內(nèi)線，以盜用或者侵吞貨幣資產(chǎn)和數(shù)據(jù)，事后內(nèi)線會分到一部分好處。社會工程學瞄準的一些小目標如零售店和酒店的出納員，而大一點的目標則更容易涉及銀行職員以及其他類似的人員。在2009年所發(fā)現(xiàn)其他一些常見的社會工程學類型還包括網(wǎng)絡釣魚和假托技術(Pretexting)。

2010年的研究再次表明，當簡單的保護行動被勤勉的、連續(xù)的完成時，就能獲得巨大的好處。

#p#

向企業(yè)推薦的保護行動包括：

限制和監(jiān)督特權用戶。美國特勤局的數(shù)據(jù)顯示，內(nèi)部人士導致的數(shù)據(jù)泄露比以往任何時候都要多。內(nèi)部人士，尤其是具有高特權的那類人，可能很難對其進行監(jiān)督。最好的策略是信任他們，但在他們加入公司之前必須通過嚴格的審查，限制他們的用戶權限，以及采用職責分離策略。特權使用應詳細記錄和并為管理層生成詳細的行為報告。

注意“小的”政策違規(guī)。研究發(fā)現(xiàn)，看似很小的政策違規(guī)和嚴重數(shù)據(jù)濫用之間存在著一定的聯(lián)系。這意味著，組織必須有所提防，并對各項政策的所有違規(guī)行為進行充分的響應。根據(jù)案件的數(shù)據(jù)，用戶系統(tǒng)上存在的非法內(nèi)容或其他不適當?shù)男袨樵谖磥韺⒊蔀閿?shù)據(jù)泄露的一個合理指標。積極尋找這些指標可能會更為有效。

采取措施以阻止證書被盜。讓系統(tǒng)遠離可以進行證書捕獲的惡意軟件是需要首先進行的事情?？梢钥紤]在合適的時候進行雙因素（two-factor）驗證。如果允許的話，還可以采用使用時間（time-of-use）規(guī)則、IP黑名單，以及限制行政溝通（administrative connections）。

監(jiān)控和過濾對外流量（Outbound Traffic）。在許多數(shù)據(jù)泄露事件的某些時間點上，一些東（數(shù)據(jù)、通信、連接）通過組織的網(wǎng)絡向外傳輸，如果傳輸被阻止，就可能打破鏈路進而阻止數(shù)據(jù)泄露的發(fā)生。通過監(jiān)測、了解和控制對外流量，組織可以大大減輕惡意活動帶來的危害。

改變事件監(jiān)測與日志分析的方法。第三方的欺詐檢測仍然是讓受害者了解自身處境的最常見方法，但幾乎所有受害者的日志里面都有數(shù)據(jù)泄露的證據(jù)。弄清楚哪里出了問題，并做出必要的改動，并不會占用你很多的時間。組織應擠出時間以更加徹底地檢查批處理的數(shù)據(jù)，并進行日志分析。確保有足夠的人、足夠的工具和完善的流程可以發(fā)現(xiàn)并響應異常。

共享事件信息。一個組織可以自我保護的能力大小，在于其獲得資料的多少。Verizon認為，在同網(wǎng)絡犯罪對抗的時候，信息的可用度和分享十分關鍵。我們贊賞在這方面有所貢獻的所有組織，Verizon的VERIS架構也是一個類似的數(shù)據(jù)共享計劃（data-sharing programs）。

至于說日志，Verizon的Bryan Sartin表示，網(wǎng)絡管理員應該檢查他們的日志以確定是否發(fā)生了數(shù)據(jù)泄露，這一點非常重要。因為網(wǎng)絡管理員往往并不需要大海撈針，只要能看見大海就可以了?！拔覀儾粩喟l(fā)現(xiàn)，近90％的日志是可用的，但是通過日志分析有所發(fā)現(xiàn)的幾率卻低于5％。有三大征兆值得我們警覺：1）日志數(shù)據(jù)異常增長；2 ）日志中行（lines）的長度異常；3）日志數(shù)據(jù)的缺乏（或異常減少）。在一次數(shù)據(jù)泄露事件發(fā)生之后，我們看到日志的條目增加了500％。而在黑客關閉日志記錄之后，我們在幾個月內(nèi)根本發(fā)現(xiàn)不了日志。我們發(fā)現(xiàn)，SQL注入攻擊和其他攻擊在日志中所留下的行（lines）要比標準活動留下的長很多。不必大海撈針，因為大海更容易發(fā)現(xiàn)?！?/P>

如果想查看完整的“2010年度數(shù)據(jù)泄露調(diào)查報告”，您可以點擊鏈接http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-rep...（文中圖片由Verizon 2010 DBIR提供）。

【編輯推薦】

1. Black Hat和Defcon黑客大會的五大看點
2. 八月的Defcon大賽將考驗黑客的社會工程能力  
3. 第一安全規(guī)則：假設你被黑了
4. 2010年CSO狀態(tài)報告出爐：在充滿艱難的道路上前行