移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

从2013年四大年夜数据泄漏事务中接收的教训

时间:2013-11-29 18:51来源:TuZhiJiaMi企业信息安全专家 点击:
泄漏变乱统计数字正在慢慢降落,但数据仍然面对着由数据库、利用和终端呵护不当所激发的严重风险。 从多个角度来看,2013年的数据泄漏趋势已获得有效扼制,这对安然行业来讲当然是个好
Tags数据泄露(45)数据安全(840)SaaS(47)  

  泄漏变乱统计数字正在慢慢降落,但数据仍然面对着由数据库、利用和终端呵护不当所激发的严重风险。

  从多个角度来看,2013年的数据泄漏趋势已获得有效扼制,这对安然行业来讲当然是个好动静。不合于过往四到五年,本年的记实傍边不再充满着大年夜型数据库泄漏而至使的数以千万计小我身份信息的外流。按照隐私权信息交换中间的查询拜访,本年度公开报导的泄漏变乱数量及记其实案的泄漏变乱数量双双呈降落趋势。往年同期,获得切当统计的记实泄漏数量已达到约278万条,缝隙陈述则为637份。而在本年,今朝为止记其实案的泄漏变乱约为107万条,缝隙陈述则为483份。这充分证实全部安然行业在合规性与安然最好实践方面所迎来的进步——但是如许的战绩与抱负方针比拟仍然相往甚远。

  在对年初至今的数字进行比较时,我们发现记其实案的泄漏变乱数量大年夜幅降落了61.7%,但是陈述说起的泄漏变乱数量则仅降落了24.2%。这表白泄漏变乱仍然快速产生——只不外此刻的犯法勾当及背规事务开端慢慢分散而非集中于一点。泄漏事务影响范围更小,并且按照安然业浑家士的说法,此类歹意勾当的方针也更加遍及。此刻犯法分子开端更多地盗取IP或其它数字资产,由此激发的损掉可能比客户记实本身更加严重——同时这也加倍难以量化,没法供给头条新闻所必需的统计成果。

  经由过程对本年产生的泄漏变乱的深进研究,我们发现安然行业较着仍有大年夜量工作要做。2013年的追踪记实证实,有价值数据库仍然没有遭到严格呵护与加密、利用法度仍然存在大年夜量安然缝隙、用户们则仍然可以或许从敏感数据库中下载大年夜量信息并将其保留在贫乏呵护的终端傍边。为了帮忙大年夜家更好地舆解当前安然情势,我们拔取了几项最具代表意义的实例,希看各位可以或许从中接收可资借鉴的教训。

  当事企业: CorporateCarOnline.com?

  泄漏统计: 850,000份记实被盗

  变乱细节:作为全美最具驰名度的专业体育、文娱外加五百强企业,CorporateCarOnline.com具有大年夜量用户小我资料、诺言卡号码和其它小我身份信息,但是因为其开辟出的全球豪车租赁SaaS数据库解决方案将全数信息以纯文本情势储存,最终导致这一切成为犯法分子的囊中之物。名单中触及良多大年夜牌,包含汤姆·汉克斯、汤姆·达施勒和唐纳德·特朗普等。

  经验教训:最首要的教训在于认清如许一个实际:面对极具价值的财务与社会工程信息,报复打击者们会爆发出极其可骇的手艺能量。按照KrebsOnSecurity.com网站的查询拜访,今朝遭受过背规勾当的美国运通卡傍边有四分之一为高额度乃至无限额度卡片,并且企业间谍分子或文娱小报记者也希看经由过程这类小我信息发掘到有价值结论。与此同时,该公司在治理出入账目时完全没有考虑过信息安然性,乃至从未测验测验采纳任何最根基的加密办法。

  当事企业: Adobe?

  泄漏统计:约三百万小我身份信息、超越1.5亿用户名/暗码组合和来自Adobe Acrobat、ColdFusion、ColdFusion Builder外加其它未申明产品的源代码惨遭盗取。

  变乱细节:自最初的背规事务产生以后,接踵而来的更多报复打击勾当延续了一个多月之久,并最终导致了此次重大年夜变乱的产生。今朝环境已明白,Adobe正在尽力恢复其掉窃的大年夜量登录凭证信息——更令人诧异的是,连其产品源代码也一并泄漏。

  经验教训: 经由过程Adobe遭受的这一轮震动世界的报复打击勾当,我们不但切身感触感染到报复打击者在企业收集中成立按照地并篡夺了整套营业储蓄节制权后所能带来的侵害,同时也应学会在考虑将供给商引进软件供给链之前、考查对方在安然范畴营建出了如何的企业生态。作为此次泄漏变乱的后续影响,其暗藏后果生怕在很长一段时候内都没法完全消弭。

  当事企业: 美国能源部

  泄漏统计: 53000位前任及现任能源部员工的小我身份信息遭到盗取

  变乱细节: 报复打击者将矛头指向了DOEInfo——该机构操纵ColdFusion所打造的、已弃之不消的CFO办公室公开拜候系统。能源部官员暗示,此次泄漏变乱只限于内部员工的小我身份信息。

  经验教训: 我们从中应当接收两大年夜教训。起首,安装补丁过往是、此刻是、将来也将一向是最为首要的安然任务。其次,各机构必需通太从头核阅与敏感数据库相对接的系统最大年夜程度削减报复打击面,包管只向公家开放需要的网站。

  当事企业: Advocate Medical Group?

  泄漏统计:四百万病人记实遭到盗取

  变乱细节:仅仅因为犯法分子从办公室里偷走了四台由该公司具有的计较机,最终导致了这起四百万病人记实丢掉的变乱——公司官方将此称为自2009年卫生部强迫要求布告安然变乱以来、美国产生过的第二大年夜医疗信息泄漏案件。

  经验教训: 医疗行业的数据泄漏变乱在2013年的背规透露名单傍边一向据有主导,但这一次的案件酿成的影响明显出格卑劣。仅仅因为一台物理计较设备掉窃就最终导致从上世纪九十年代至今的病人记实泄漏,这充分透露了该公司在物理安然、终端安然、加密和数据呵护等各个方面的全线掉误。需要夸大年夜的是,终端设备被盗与丢掉在医疗行业中已不足为奇。此刻这些机构可能需要尽快思虑终端设备到底可以或许下载并保留多少来自中间数据库的信息。

------分隔线----------------------------

推荐内容