E安全4月16日訊 荷蘭SIM卡製造商金雅拓(Gemalto)公司公佈了最新一份安全違規水準指數調查報告, 結果顯示2017年全球失竊、丟失或洩露資料總量高達26億條, 同比增長88%。 儘管資料洩露事件數量相比2016年減少了11%, 2017年仍然成為自2013年資料洩露違規指數調查以來, 相關記錄首次突破20億條的年份。
本文源自E安全
資料以500萬條/天的速度“丟失”過去五年當中, 遭受失竊、丟失或洩露的資料記錄總量接近100億條, 記錄資料損害速度平均約 500萬條/天 。 在2017年的1765起資料洩露事件當中, 身份盜用成為最主要的資料洩露類型, 占全部資料洩露事件的69%。 而在全部違規事件當中, 惡意入侵則成為頭號網路安全威脅, 占比為72%。
過去一年當中, 醫療衛生、金融服務與零售行業企業成為安全違規活動的主要攻擊目標。 但從攻擊得手率來看, 政府與教育機構的網路風險抵禦能力明顯較弱, 占全部違規事件的22%。
根據違規指數報告收集到的資料洩露資訊, 2017年的重點性結論包括:
人為錯誤成為風險管理與安全問題中的核心:意外丟失(包括記錄處理不當)、資料庫錯誤配置以及其它意外安全問題共導致19億條記錄遭遇洩露, 同比增長580%。
身份盜用仍然在資料洩露事件當中佔據主體:身份盜用占全部資料洩露事件中的69%, 具體受到影響的記錄超過6億條, 同比增長73%。
內部威脅持續增加:惡意內部事件在數量上略有下降, 但涉及的記錄數量則增加到3000萬條, 同比增長117%。
騷擾性洩露:騷擾性攻擊所引發的記錄洩露數量同比增長560%。
違規指數報告對騷擾性洩露作出了定義, 指出此類活動的外泄資料應包含使用者姓名、居住地址以及/或者電話號碼等基本資訊。
金雅拓公司資料保護副總裁兼首席技術官傑森·哈特表示, 資料操縱或資料完整性破壞類攻擊對各組織機構而言已經成為一種未知威脅而非簡單的資料盜竊, 此類活動使得駭客能夠篡改一切內容, 例如銷售數位、智慧財產權。 本質上講, 資料完整性違規在大多數情況下往往難以確定, 這是由於在發生此類攻擊之後, 人們往往看不到由此帶來的實際影響。
本文源自E安全
資料洩露的不同類別身份盜用資料洩露類型在2017年全部事件當中占比69%。 位列第二的常規違規類型則為財務資料竊取(占比16%)。 而騷擾性資料洩露所造成的丟失、失竊以及遭到破壞的記錄數量占全部洩露資料中的61%, 同比增幅高達560%。 自2016年起, 帳戶訪問與其它幾種傳統違規類型在事件數量與影響記錄數量方面皆有所下降。
各行業資料洩露情況2017年, 發生資料洩露事件最多的行業(從大到小):
醫療衛生(27%);
金融服務(12%);
教育(11%);
政府機構(11%)。
從丟失、失竊以及受損記錄數量來看, 主要攻擊目標則分別為政府機構(18%)、金融服務(9.1%)以及技術(16%)。
資料洩露的原因分析惡意外部入侵者成為資料違規事件的主要來源, 占違規問題總量的72%, 但其所造成的洩露記錄數量則占比23%。 儘管意外丟失僅引發18%的資料違規事件, 但引發的受損記錄數量占比卻高達76%——較2016年增長580%。 惡意內部人員引發的違規事件占事件總數的9%, 但由此引發的受損或失竊記錄數量較2016年大幅增長117%。
哈特解釋稱, “企業可以通過‘設計安全方法’以緩解各類違規風險, 並從起步階段即考慮將安全協議與架構作為設計基礎。 特別是考慮到2018年歐洲通用資料保護條例(GDPR)以及澳大利亞隱私法案(簡稱APA)等新法規的正式生效。 這些法規要求企業適應新的安全思維方式,即不僅保護自有敏感
資料,同時亦需要有力保障其負責存儲或管理的客戶隱私資料。
注:本文由E安全編譯報導,轉載請注明原文地址
這些法規要求企業適應新的安全思維方式,即不僅保護自有敏感資料,同時亦需要有力保障其負責存儲或管理的客戶隱私資料。
注:本文由E安全編譯報導,轉載請注明原文地址