這份報(bào)告是Verizon對(duì)數(shù)據(jù)泄露的年度分析，也是對(duì)之前一年數(shù)據(jù)泄露所做的調(diào)查。除了Verizon自己的數(shù)據(jù)外，今年的數(shù)據(jù)泄露調(diào)查報(bào)告(DBIR)包含了來自全球18個(gè)組織的數(shù)據(jù)，其中有12家是首次貢獻(xiàn)出自己的數(shù)據(jù)。除了分析以外，Verizon再次用VERIS 事故共享框架將泄露數(shù)據(jù)集標(biāo)準(zhǔn)化，今年更是囊括了621次泄露事故，其中超過4.4千萬份記錄被破壞。

2013年的DBIR的數(shù)據(jù)顯示，競爭對(duì)手用于破壞受害企業(yè)的動(dòng)機(jī)和方法有著比較清晰的模式。Verizon的數(shù)據(jù)集顯示這些泄露中有92%是由外部威脅引起，超過55%的泄露事故由專業(yè)的受利益驅(qū)使的犯罪團(tuán)伙實(shí)施。

據(jù)Verizon透露，這些利益團(tuán)伙對(duì)金融，零售和食品服務(wù)行業(yè)最感興趣，他們一般是從東歐或北美等地發(fā)起攻擊。

這些黑客尋找可以立刻轉(zhuǎn)化為收益的支付數(shù)據(jù)和個(gè)人信息下手;對(duì)于經(jīng)驗(yàn)豐富的罪犯而言，這些信息可被快速轉(zhuǎn)換成現(xiàn)金。

與國家相關(guān)的網(wǎng)絡(luò)犯罪

Verizon注意到數(shù)據(jù)泄露與國家的關(guān)聯(lián)在上升，今年的數(shù)據(jù)集中有21%的泄露屬于這種情況。雖然Verizon承認(rèn)這些數(shù)據(jù)泄露調(diào)查中涉及的間諜案例多于以往年份，但Verizon不想承認(rèn)這種現(xiàn)象在整個(gè)行業(yè)中呈上升趨勢(shì)。

與國家有關(guān)聯(lián)的網(wǎng)絡(luò)罪犯在2012年很活躍，他們主要是對(duì)有產(chǎn)權(quán)的行業(yè)實(shí)施間諜活動(dòng)，如制造業(yè)，交通運(yùn)輸業(yè)和專業(yè)服務(wù)行業(yè);而零售和食品等受利益集團(tuán)青睞的攻擊對(duì)象幾乎被從事間諜活動(dòng)的攻擊者完全忽略。

惡意活動(dòng)實(shí)施者通過網(wǎng)絡(luò)間諜活動(dòng)獲取商業(yè)機(jī)密，敏感的內(nèi)部數(shù)據(jù)和系統(tǒng)信息等。令人咋舌的是，超過95%這類泄露事故都是通過釣魚手段進(jìn)入目標(biāo)組織。

并不是只有財(cái)富500強(qiáng)的公司才會(huì)丟失產(chǎn)權(quán)：員工人數(shù)少于1萬的公司比較大型公司更易發(fā)生與網(wǎng)絡(luò)間諜有關(guān)的數(shù)據(jù)泄露(多81%-19%)。

“小型律師事務(wù)所或?qū)I(yè)服務(wù)公司之所以遭遇這種破壞是因?yàn)樗麄兪掷镉锌蛻舻拿舾袛?shù)據(jù)，”Verizon高級(jí)分析師Kyle Maxwell說。“所以，與其入侵防御設(shè)施更好的大公司網(wǎng)絡(luò)，還不如入侵其外部法律顧問公司或是審計(jì)公司，這樣可以更容易獲取大公司的財(cái)務(wù)報(bào)表，并購計(jì)劃等一系列的商業(yè)機(jī)密。”

黑客偷取的數(shù)據(jù)減少;沒有萬能的防御方案

惡意攻擊者是2012年DBIR報(bào)告的一大特點(diǎn)，而根據(jù)2013年的DBIR報(bào)告，他們?nèi)ツ瓯I取的數(shù)據(jù)有所減少。但Verizon認(rèn)為這是攻擊策略改變的結(jié)果。

“黑客盜取的數(shù)據(jù)有所減少，部分原因是他們的攻擊方式改變了，”Maxwell說。“他們現(xiàn)在都是用DDoS，而這在DBIR的統(tǒng)計(jì)之外，因?yàn)樗{(diào)查的泄露案例沒涉及DDoS攻擊。”Maxwell暗示稱黑客行為主義社區(qū)的主要人員被捕或許也是數(shù)據(jù)偷竊有所減少的原因之一。

這份報(bào)告闡述了各種威脅實(shí)施群體的差異，而且沒有雷同。Maxwell稱，各大組織必須進(jìn)一步了解數(shù)據(jù)攻擊者想要什么，然后部署相應(yīng)的防御措施。#p#

內(nèi)部威脅：勢(shì)在必行還是言過其實(shí)?

2013 DBIR對(duì)內(nèi)部人員引發(fā)的數(shù)據(jù)泄露提出了一些異議：雖然2013數(shù)據(jù)集顯示內(nèi)部因素導(dǎo)致的數(shù)據(jù)泄露達(dá)到了2009年以來的最高值，然而從Verizon檢測(cè)過的更多安全事故樣本中發(fā)現(xiàn)，這些事故有7/10是由內(nèi)部人員不小心導(dǎo)致的，所以，還不至于是刻意的惡意行為。

在這份報(bào)告中，Verizon提到，以往年份的數(shù)據(jù)集可能過分強(qiáng)調(diào)了“顛覆內(nèi)部-外部攻擊比例的高度可擴(kuò)展遠(yuǎn)程攻擊”，而從新伙伴那里收集到的數(shù)據(jù)應(yīng)該更為準(zhǔn)確地還原了真實(shí)情況。

然而，某些特定的數(shù)據(jù)點(diǎn)或許能讓我們重新審視下內(nèi)部威脅。據(jù)Verizon透露，內(nèi)部泄露的主要原因仍會(huì)是有意識(shí)的利益驅(qū)動(dòng)行為，盡管各大組織都被一些技術(shù)含量很低的事件所困擾，如丟失或發(fā)錯(cuò)的文檔。

Verizon發(fā)現(xiàn)，在較小的組織里，員工需要直接處理支付事項(xiàng)，也就是說出納，服務(wù)生和銀行柜臺(tái)出納，對(duì)于內(nèi)部泄露，他們要承擔(dān)更多責(zé)任，通常他們?yōu)橥獠吭p騙集團(tuán)做內(nèi)應(yīng)的人。

Verizon指出，由管理人員或程序員的失誤導(dǎo)致泄露雖然不頻繁，但是卻是一直存在的威脅，特別是對(duì)于大型機(jī)構(gòu)而言。它列舉了一個(gè)應(yīng)用調(diào)試設(shè)置的案例，展示敏感數(shù)據(jù)如何在不經(jīng)意間被保存到不安全的地方，之后又暴露給未經(jīng)授權(quán)的人

數(shù)據(jù)隱私網(wǎng)絡(luò)顧問公司Chandler的創(chuàng)始人Philip Alexander稱，心態(tài)不好的員工或者粗心的員工是一種威脅，不要忽視他們。他說，公司應(yīng)該把這些風(fēng)險(xiǎn)和限制數(shù)據(jù)訪問的策略結(jié)合起來，并推薦使用數(shù)據(jù)審計(jì)。

2013 DBIR的質(zhì)量有提升，不再只是重視量的積累

今年DBIR的新拐點(diǎn)是包含的安全事例超過4.7萬，然而，Verizon對(duì)這些已確認(rèn)數(shù)據(jù)泄露事故的描述仍然很謹(jǐn)慎。

研究公司Securosis的CEO兼分析師Rich Mogull稱贊Verizon的所做的兩個(gè)重要決定，稱這提升了2013年DBIR的質(zhì)量。

“第一個(gè)決定是將記錄計(jì)數(shù)完全從報(bào)告中剝離。這些計(jì)數(shù)沒有什么意義，只能將人們的注意力從數(shù)據(jù)的事故指向型屬性轉(zhuǎn)移開來，”Mogull說。“第二個(gè)是不論是否能提供更大的數(shù)據(jù)集，僅關(guān)注已確認(rèn)的泄露事故。”這樣讀者可以了解到底哪些問題確實(shí)會(huì)導(dǎo)致事故。

雖然Verizon努力改進(jìn)泄露數(shù)據(jù)的統(tǒng)計(jì)，或許整個(gè)報(bào)告中最可怕的數(shù)據(jù)點(diǎn)是企業(yè)每月辦法對(duì)數(shù)據(jù)丟失進(jìn)行量化。

據(jù)Verizon透露，在數(shù)據(jù)集受損的泄露事故中，只有15%的機(jī)構(gòu)可以提供完整的可靠的損壞記錄。換言之，在85%的泄露事故中，各機(jī)構(gòu)無法確定到底泄露了多少數(shù)據(jù)。

Alexander稱Verizon的發(fā)現(xiàn)凸顯了企業(yè)制作敏感數(shù)據(jù)詳細(xì)目錄的重要性，這樣就更容易發(fā)現(xiàn)有哪些數(shù)據(jù)丟失，哪些數(shù)據(jù)隨著安全事故的發(fā)生而被篡改。

Forrester研究公司高級(jí)分析師Rick Holland提倡企業(yè)利用各種網(wǎng)關(guān)，端點(diǎn)，Web和郵件安全技術(shù)，專注于網(wǎng)絡(luò)可視性的提升。