【51CTO.com獨(dú)家翻譯】根據(jù)Verizon公司2010年度數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR），數(shù)據(jù)泄露事件的總數(shù)在2009年里有所下降。Verizon公司負(fù)責(zé)技術(shù)和企業(yè)創(chuàng)新的副總裁Peter Tippett說(shuō)：“數(shù)據(jù)泄露事件的下降是一個(gè)良好的跡象，表明我們?cè)趯?duì)抗網(wǎng)絡(luò)犯罪方面有了一定的進(jìn)步?！辈贿^(guò)，服務(wù)器和應(yīng)用程序所導(dǎo)致的被盜記錄仍占到了98.5％，這一點(diǎn)并沒有發(fā)生改變。

2010年度數(shù)據(jù)泄露調(diào)查是Verizon與美國(guó)特情局（U.S. Secret Service，USSS）首次聯(lián)合開展的。該報(bào)告顯示，去年電子記錄的泄露涉及到了更多的內(nèi)部人士的威脅（insider threats）、更多的社會(huì)工程學(xué)和有組織犯罪。Tippett說(shuō)，“通過(guò)把美國(guó)特情局所記錄的案例次數(shù)包含在內(nèi)，使我們擴(kuò)大了對(duì)網(wǎng)絡(luò)犯罪的認(rèn)識(shí)，提高了我們阻止數(shù)據(jù)泄露的能力?！盫erizon和美國(guó)特情局（負(fù)責(zé)調(diào)查經(jīng)濟(jì)犯罪）聯(lián)合調(diào)查的數(shù)據(jù)設(shè)計(jì)到過(guò)去六年的900多起數(shù)據(jù)泄露事件，被盜的記錄超過(guò)9億條。

“在2009年導(dǎo)致數(shù)據(jù)泄露的威脅行為（threat actions）排行榜上，數(shù)據(jù)濫用位居榜首。這并不是說(shuō)黑客攻擊和惡意軟件已經(jīng)消失了，它們?nèi)苑謩e位列第二和第三，需要對(duì)95％的被盜數(shù)據(jù)負(fù)責(zé)。在一些組織試圖保護(hù)自己的信息資產(chǎn)時(shí)，證書強(qiáng)度弱或者被盜、SQL注入和數(shù)據(jù)捕獲、定制的惡意軟件等仍然困擾著人們。而社會(huì)工程學(xué)導(dǎo)致的數(shù)據(jù)泄漏事件增加了兩倍還多，物理攻擊（如盜竊、竄改和監(jiān)控則上升了好幾倍。”

威脅行為有如下幾種（包含了各自在泄露事件和被盜記錄中所占的百分比）：惡意軟件（泄露事件的38％，被盜記錄的94％）、黑客攻擊（泄露事件的40％，被盜記錄的94％）、社會(huì)工程學(xué)（泄露事件的28％，被盜記錄的3％）、數(shù)據(jù)濫用（泄露事件的48％，被盜記錄的3％）、物理攻擊（泄露事件的15％，被盜記錄的1％）、錯(cuò)誤（泄露事件的2％，小于被盜記錄的1％）和環(huán)境因素（泄露事件的0％，記錄的0％）。

2010年度報(bào)告的主要發(fā)現(xiàn)包含：

69％的數(shù)據(jù)泄露是由外部攻擊造成的，只有11％的數(shù)據(jù)泄露與商業(yè)合作伙伴有關(guān)。而49％的數(shù)據(jù)泄露則是由內(nèi)部人士造成的，這一項(xiàng)比以前的報(bào)告有所增加，主要和數(shù)據(jù)集（dataset）的擴(kuò)大以及美國(guó)特勤局所研究的案件類別有關(guān)。

權(quán)限濫用占到數(shù)據(jù)泄露的很大一份。48％的數(shù)據(jù)泄露是由于用戶惡意地濫用訪問(wèn)企業(yè)信息的權(quán)利而造成的。數(shù)據(jù)泄露的另外40％是黑客攻擊的結(jié)果，而其中28％是由于社會(huì)工程學(xué)，14％是由于物理攻擊。

與往年一樣，幾乎所有的數(shù)據(jù)都是在服務(wù)器和網(wǎng)絡(luò)應(yīng)用程序上被盜的。85％的泄露事件并不十分困難的。而高達(dá)87％的受害者在他們的日志文件里都有數(shù)據(jù)泄露的證據(jù)，但他們卻錯(cuò)過(guò)了。如果安全規(guī)則得到遵守，大多數(shù)的數(shù)據(jù)泄露都是可以避免的。只有4％的數(shù)據(jù)泄露需要困難的、昂貴的自我保護(hù)措施才能得以實(shí)現(xiàn)。在去年被盜的所有數(shù)據(jù)中，有組織犯罪占到了85％。

在受害者中，有些是需要遵守PCI-DSS標(biāo)準(zhǔn)的，但79％的受害者在數(shù)據(jù)泄露發(fā)生之前，都沒能實(shí)現(xiàn)規(guī)則遵從（compliance）。

只要有足夠的時(shí)間、資源和專注，犯罪分子就能攻破他們所選擇的任何一個(gè)組織，但他們并沒有足夠的資源攻破所有的組織。在大型的數(shù)據(jù)泄露事件里，黑客侵入受害者的網(wǎng)絡(luò)（通常通過(guò)利用一些錯(cuò)誤或漏洞）后，在受害者的系統(tǒng)上安裝惡意軟件以收集大量的數(shù)據(jù)。你得在對(duì)手控制你的電腦前阻止他們，因?yàn)榈人麄兂晒θ肭帜愕南到y(tǒng)之后再去阻止，那將會(huì)變得非常困難。在2009年，惡意軟件呈現(xiàn)大幅上升的局面。下面是Verizon公司提供的一個(gè)圖表，展示了各種惡意軟件在數(shù)據(jù)泄露中所占百分比，以及用紅色表示的被盜記錄百分比。

內(nèi)部人士作案并不是虛構(gòu)的事情。網(wǎng)絡(luò)罪犯善于煽動(dòng)，他們會(huì)勸說(shuō)那些不滿的系統(tǒng)管理員或者正處在經(jīng)濟(jì)困難中的員工出賣自己的登錄信息或者VPN。Verizon負(fù)責(zé)調(diào)查響應(yīng)的總監(jiān)Bryan Sartin說(shuō)：“內(nèi)部作案總會(huì)被抓到。”

社會(huì)工程學(xué)在數(shù)據(jù)泄露中占的比例更大（28％，而在2008年只有12％）。社會(huì)工程學(xué)運(yùn)用了欺騙、操縱、恐嚇等來(lái)利用人為因素、或者信息資產(chǎn)的用戶。引誘和賄賂發(fā)生的頻率往往比其他類型的社會(huì)工程學(xué)更高。美國(guó)特勤局表示，這些通常是有組織犯罪的慣用伎倆，他們會(huì)招募甚至在目標(biāo)組織的內(nèi)部安置一個(gè)內(nèi)線，以盜用或者侵吞貨幣資產(chǎn)和數(shù)據(jù)，事后內(nèi)線會(huì)分到一部分好處。社會(huì)工程學(xué)瞄準(zhǔn)的一些小目標(biāo)如零售店和酒店的出納員，而大一點(diǎn)的目標(biāo)則更容易涉及銀行職員以及其他類似的人員。在2009年所發(fā)現(xiàn)其他一些常見的社會(huì)工程學(xué)類型還包括網(wǎng)絡(luò)釣魚和假托技術(shù)(Pretexting)。

2010年的研究再次表明，當(dāng)簡(jiǎn)單的保護(hù)行動(dòng)被勤勉的、連續(xù)的完成時(shí)，就能獲得巨大的好處。

#p#

向企業(yè)推薦的保護(hù)行動(dòng)包括：

限制和監(jiān)督特權(quán)用戶。美國(guó)特勤局的數(shù)據(jù)顯示，內(nèi)部人士導(dǎo)致的數(shù)據(jù)泄露比以往任何時(shí)候都要多。內(nèi)部人士，尤其是具有高特權(quán)的那類人，可能很難對(duì)其進(jìn)行監(jiān)督。最好的策略是信任他們，但在他們加入公司之前必須通過(guò)嚴(yán)格的審查，限制他們的用戶權(quán)限，以及采用職責(zé)分離策略。特權(quán)使用應(yīng)詳細(xì)記錄和并為管理層生成詳細(xì)的行為報(bào)告。

注意“小的”政策違規(guī)。研究發(fā)現(xiàn)，看似很小的政策違規(guī)和嚴(yán)重?cái)?shù)據(jù)濫用之間存在著一定的聯(lián)系。這意味著，組織必須有所提防，并對(duì)各項(xiàng)政策的所有違規(guī)行為進(jìn)行充分的響應(yīng)。根據(jù)案件的數(shù)據(jù)，用戶系統(tǒng)上存在的非法內(nèi)容或其他不適當(dāng)?shù)男袨樵谖磥?lái)將成為數(shù)據(jù)泄露的一個(gè)合理指標(biāo)。積極尋找這些指標(biāo)可能會(huì)更為有效。

采取措施以阻止證書被盜。讓系統(tǒng)遠(yuǎn)離可以進(jìn)行證書捕獲的惡意軟件是需要首先進(jìn)行的事情?？梢钥紤]在合適的時(shí)候進(jìn)行雙因素（two-factor）驗(yàn)證。如果允許的話，還可以采用使用時(shí)間（time-of-use）規(guī)則、IP黑名單，以及限制行政溝通（administrative connections）。

監(jiān)控和過(guò)濾對(duì)外流量（Outbound Traffic）。在許多數(shù)據(jù)泄露事件的某些時(shí)間點(diǎn)上，一些東（數(shù)據(jù)、通信、連接）通過(guò)組織的網(wǎng)絡(luò)向外傳輸，如果傳輸被阻止，就可能打破鏈路進(jìn)而阻止數(shù)據(jù)泄露的發(fā)生。通過(guò)監(jiān)測(cè)、了解和控制對(duì)外流量，組織可以大大減輕惡意活動(dòng)帶來(lái)的危害。

改變事件監(jiān)測(cè)與日志分析的方法。第三方的欺詐檢測(cè)仍然是讓受害者了解自身處境的最常見方法，但幾乎所有受害者的日志里面都有數(shù)據(jù)泄露的證據(jù)。弄清楚哪里出了問(wèn)題，并做出必要的改動(dòng)，并不會(huì)占用你很多的時(shí)間。組織應(yīng)擠出時(shí)間以更加徹底地檢查批處理的數(shù)據(jù)，并進(jìn)行日志分析。確保有足夠的人、足夠的工具和完善的流程可以發(fā)現(xiàn)并響應(yīng)異常。

共享事件信息。一個(gè)組織可以自我保護(hù)的能力大小，在于其獲得資料的多少。Verizon認(rèn)為，在同網(wǎng)絡(luò)犯罪對(duì)抗的時(shí)候，信息的可用度和分享十分關(guān)鍵。我們贊賞在這方面有所貢獻(xiàn)的所有組織，Verizon的VERIS架構(gòu)也是一個(gè)類似的數(shù)據(jù)共享計(jì)劃（data-sharing programs）。

至于說(shuō)日志，Verizon的Bryan Sartin表示，網(wǎng)絡(luò)管理員應(yīng)該檢查他們的日志以確定是否發(fā)生了數(shù)據(jù)泄露，這一點(diǎn)非常重要。因?yàn)榫W(wǎng)絡(luò)管理員往往并不需要大海撈針，只要能看見大海就可以了。“我們不斷發(fā)現(xiàn)，近90％的日志是可用的，但是通過(guò)日志分析有所發(fā)現(xiàn)的幾率卻低于5％。有三大征兆值得我們警覺：1）日志數(shù)據(jù)異常增長(zhǎng)；2 ）日志中行（lines）的長(zhǎng)度異常；3）日志數(shù)據(jù)的缺乏（或異常減少）。在一次數(shù)據(jù)泄露事件發(fā)生之后，我們看到日志的條目增加了500％。而在黑客關(guān)閉日志記錄之后，我們?cè)趲讉€(gè)月內(nèi)根本發(fā)現(xiàn)不了日志。我們發(fā)現(xiàn)，SQL注入攻擊和其他攻擊在日志中所留下的行（lines）要比標(biāo)準(zhǔn)活動(dòng)留下的長(zhǎng)很多。不必大海撈針，因?yàn)榇蠛８菀装l(fā)現(xiàn)?！?/P>

如果想查看完整的“2010年度數(shù)據(jù)泄露調(diào)查報(bào)告”，您可以點(diǎn)擊鏈接http://www.verizonbusiness.com/resources/reports/rp_2010-data-breach-rep...（文中圖片由Verizon 2010 DBIR提供）。

【編輯推薦】

1. Black Hat和Defcon黑客大會(huì)的五大看點(diǎn)
2. 八月的Defcon大賽將考驗(yàn)黑客的社會(huì)工程能力  
3. 第一安全規(guī)則：假設(shè)你被黑了
4. 2010年CSO狀態(tài)報(bào)告出爐：在充滿艱難的道路上前行