泄露事故統(tǒng)計(jì)數(shù)字正在逐步下降，但數(shù)據(jù)仍然面臨著由數(shù)據(jù)庫(kù)、應(yīng)用以及終端保護(hù)不當(dāng)所引發(fā)的嚴(yán)重風(fēng)險(xiǎn)。

從多個(gè)角度來(lái)看，2013年的數(shù)據(jù)泄露趨勢(shì)已經(jīng)得到有效扼制，這對(duì)于安全行業(yè)來(lái)說(shuō)當(dāng)然是個(gè)好消息。不同于過(guò)去四到五年，今年的記錄當(dāng)中不再充斥著大 型數(shù)據(jù)庫(kù)泄露所導(dǎo)致的數(shù)以千萬(wàn)計(jì)個(gè)人身份信息的外流。根據(jù)隱私權(quán)信息交流中心的調(diào)查，本年度公開(kāi)報(bào)道的泄露事故數(shù)量及記錄在案的泄露事故數(shù)量雙雙呈下降趨 勢(shì)。去年同期，得到確切統(tǒng)計(jì)的記錄泄露數(shù)量已經(jīng)達(dá)到約278萬(wàn)條，漏洞報(bào)告則為637份。而在今年，目前為止記錄在案的泄露事故約為107萬(wàn)條，漏洞報(bào)告 則為483份。這充分證明整個(gè)安全行業(yè)在合規(guī)性與安全最佳實(shí)踐方面所迎來(lái)的進(jìn)步——然而這樣的戰(zhàn)績(jī)與理想目標(biāo)相比仍然相去甚遠(yuǎn)。

在對(duì)年初至今的數(shù)字進(jìn)行比較時(shí)，我們發(fā)現(xiàn)記錄在案的泄露事故數(shù)量大幅降低了61.7%，然而報(bào)告提及的泄露事故數(shù)量則僅降低了24.2%。這表明泄 露事故仍然快速發(fā)生——只不過(guò)如今的犯罪活動(dòng)及違規(guī)事件開(kāi)始逐步擴(kuò)散而非集中于一點(diǎn)。泄露事件影響范圍更小，而且根據(jù)安全業(yè)內(nèi)人士的說(shuō)法，此類(lèi)惡意活動(dòng)的 目標(biāo)也更為廣泛?，F(xiàn)在犯罪分子開(kāi)始更多地竊取IP或者其它數(shù)字資產(chǎn)，由此引發(fā)的損失可能比客戶(hù)記錄本身更為嚴(yán)重——同時(shí)這也更加難以量化，無(wú)法提供頭條新 聞所必需的統(tǒng)計(jì)結(jié)果。

通過(guò)對(duì)今年發(fā)生的泄露事故的深入鉆研，我們發(fā)現(xiàn)安全行業(yè)明顯仍有大量工作要做。2013年的追蹤記錄證明，有價(jià)值數(shù)據(jù)庫(kù)仍然沒(méi)有受到嚴(yán)格保護(hù)與加 密、應(yīng)用程序仍然存在大量安全漏洞、用戶(hù)們則仍然能夠從敏感數(shù)據(jù)庫(kù)中下載大量信息并將其保存在缺乏保護(hù)的終端當(dāng)中。為了幫助大家更好地理解當(dāng)前安全形勢(shì)， 我們選取了幾項(xiàng)最具代表意義的實(shí)例，希望各位能夠從中吸取可資借鑒的教訓(xùn)。

當(dāng)事企業(yè): CorporateCarOnline.com


泄露統(tǒng)計(jì): 850,000份記錄被盜

事故細(xì)節(jié):作為全美最具知名度的專(zhuān)業(yè)體育、娛樂(lè)外加五百?gòu)?qiáng)企業(yè)，CorporateCarOnline.com 擁有大量用戶(hù)個(gè)人資料、信用卡號(hào)碼以及其它個(gè)人身份信息，然而由于其開(kāi)發(fā)出的全球豪車(chē)租賃SaaS數(shù)據(jù)庫(kù)解決方案將全部信息以純文本形式儲(chǔ)存，最終導(dǎo)致這 一切成為犯罪分子的囊中之物。名單中涉及不少大牌，包括湯姆·漢克斯、湯姆·達(dá)施勒以及唐納德·特朗普等。

經(jīng)驗(yàn)教訓(xùn):最重要的教訓(xùn)在于認(rèn)清這樣一個(gè)現(xiàn)實(shí)：面對(duì)極具價(jià)值的財(cái)務(wù)與社會(huì)工程信息，攻擊者們會(huì)爆發(fā)出極為可怕的 技術(shù)能量。根據(jù)KrebsOnSecurity.com網(wǎng)站的調(diào)查，目前遭遇過(guò)違規(guī)活動(dòng)的美國(guó)運(yùn)通卡當(dāng)中有四分之一為高額度甚至無(wú)限額度卡片，而且企業(yè)間 諜分子或者娛樂(lè)小報(bào)記者也希望通過(guò)這類(lèi)個(gè)人信息挖掘到有價(jià)值結(jié)論。與此同時(shí)，該公司在管理收支賬目時(shí)完全沒(méi)有考慮過(guò)信息安全性，甚至從未嘗試采取任何最基 本的加密措施。

當(dāng)事企業(yè): Adobe


泄露統(tǒng)計(jì): 約三百萬(wàn)個(gè)人身份信息、超過(guò)1.5億用戶(hù)名/密碼組合以及來(lái)自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未說(shuō)明產(chǎn)品的源代碼慘遭竊取。

事故細(xì)節(jié): 自最初的違規(guī)事件發(fā)生之后，接踵而來(lái)的更多攻擊活動(dòng)持續(xù)了一個(gè)多月之久，并最終導(dǎo)致了此次重大事故的發(fā)生。目前情況已經(jīng)明確，Adobe正在努力恢復(fù)其失竊的大量登錄憑證信息——更令人驚訝的是，連其產(chǎn)品源代碼也一并泄露。

經(jīng)驗(yàn)教訓(xùn): 通過(guò)Adobe遭遇的這一輪震驚世界的攻擊活動(dòng)，我們不僅切身感受到攻擊者在企業(yè)網(wǎng)絡(luò)中建立根據(jù)地并奪取了整套業(yè)務(wù)儲(chǔ)備控制權(quán)后所能帶來(lái)的損害，同時(shí)也應(yīng) 學(xué)會(huì)在考慮將供應(yīng)商引入軟件供應(yīng)鏈之前、考察對(duì)方在安全領(lǐng)域營(yíng)造出了怎樣的企業(yè)生態(tài)。作為此次泄露事故的后續(xù)影響，其潛在后果恐怕在很長(zhǎng)一段時(shí)間內(nèi)都無(wú)法 徹底消除。

當(dāng)事企業(yè): 美國(guó)能源部

泄露統(tǒng)計(jì): 53000位前任及現(xiàn)任能源部員工的個(gè)人身份信息遭到竊取

事故細(xì)節(jié): 攻擊者將矛頭指向了DOEInfo——該機(jī)構(gòu)利用ColdFusion所打造的、已經(jīng)棄之不用的CFO辦公室公開(kāi)訪問(wèn)系統(tǒng)。能源部官員表示，此次泄露事故只限于內(nèi)部員工的個(gè)人身份信息。

經(jīng)驗(yàn)教訓(xùn): 我們從中應(yīng)該吸取兩大教訓(xùn)。首先，安裝補(bǔ)丁過(guò)去是、現(xiàn)在是、未來(lái)也將一直是最為重要的安全任務(wù)。其次，各機(jī)構(gòu)必須通過(guò)重新審視與敏感數(shù)據(jù)庫(kù)相對(duì)接的系統(tǒng)最大程度減少攻擊面，保證只向公眾開(kāi)放必要的網(wǎng)站。

當(dāng)事企業(yè): Advocate Medical Group


泄露統(tǒng)計(jì): 四百萬(wàn)病人記錄遭到竊取

事故細(xì)節(jié): 僅僅由于犯罪分子從辦公室里偷走了四臺(tái)由該公司擁有的計(jì)算機(jī)，最終導(dǎo)致了這起四百萬(wàn)病人記錄丟失的事故——公司官方將此稱(chēng)為自2009年衛(wèi)生部強(qiáng)制要求通告安全事故以來(lái)、美國(guó)發(fā)生過(guò)的第二大醫(yī)療信息泄露案件。

經(jīng)驗(yàn)教訓(xùn): 醫(yī)療行業(yè)的數(shù)據(jù)泄露事故在2013年的違規(guī)披露名單當(dāng)中一直占據(jù)主導(dǎo)，但這一次的案件造成的影響顯然特別惡劣。僅僅由于一臺(tái)物理計(jì)算設(shè)備失竊就最終導(dǎo)致從 上世紀(jì)九十年代至今的病人記錄泄露，這充分暴露了該公司在物理安全、終端安全、加密以及數(shù)據(jù)保護(hù)等各個(gè)方面的全線(xiàn)失誤。需要強(qiáng)調(diào)的是，終端設(shè)備被盜與丟失 在醫(yī)療行業(yè)中已經(jīng)屢見(jiàn)不鮮?，F(xiàn)在這些機(jī)構(gòu)可能需要盡快思考終端設(shè)備到底能夠下載并保存多少來(lái)自中央數(shù)據(jù)庫(kù)的信息。