大規模數據泄露輪番上演過半手機用戶無意識“裸奔”？

本刊記者 | 李璐

用戶姓名、身份證號碼、銀行卡卡號、賬號密碼……從上月的攜程用戶支付信息泄露，到近日的本年度最嚴重的全球互聯網安全協議OpenSSL漏洞，數據泄露事件正不斷上演。在當下業界不斷關注網絡安全的同時，其實在去年，大規模數據泄露便已露出苗頭。

根據賽門鐵克最新《互聯網安全威脅報告》顯示，去年一年全球被泄露的個人身份信息達到5.52億條，千萬級以上的規模泄露事件達到八次以上，泄露數據的數量是2012年的4倍，而這還只是在見諸報端的情況下所統計的。在賽門鐵克大中華區總裁連智浩看來，這僅僅是冰山一角，已發生而未曝光的大規模數據泄露將比人們想象的嚴重，而2013年也開始揭開了“大規模數據泄露”的序幕。

不是所有泄露都來自黑客攻擊

根據報告顯示，在2013年數據泄露的主要原因中，有34%來自于黑客攻擊，有29%來自于意外泄露，27%來自于電腦、硬盤失竊和丟失。可見，實際上有超過一半的數據泄露并非源于黑客攻擊，而是由于電腦、硬盤失竊和丟失以及意外的數據泄露所造成。

同時報告也表明，雖然有58%的數據泄露事件出現在醫療、教育和公共管理等對安全敏感度并不十分高的行業，但在2013年所泄露的總數據量中，77%卻來自零售、電腦軟件和金融行業，因為這些行業數據價值更高，也是襲擊者的主要目標。

攻擊更針對性、更有預謀

在賽門鐵克中國區安全產品總監卜憲錄看來，一次大規模數據泄露造成的損失可能相當于50次小型攻擊，而現如今攻擊者除了詭計多端之外，“讓人驚訝的是他們已變得更有耐心，蓄意等待收益最大化的時候出手”。

他向《通信世界》舉例介紹到，以前垃圾郵件或刺探郵件常常是隨機大量發送，而現在情況轉變至攻擊者會縮小目標范圍，對主題和收件人進行明顯的精心挑選，圍繞一個目標有針對性，并在時間上有關聯性的采取行動。如選擇與其他郵件有至少3或4項相關內容（主題、發件人地址、IP地址等），選擇在同一天或分為數天寄出。“攻擊者越來越低調、有耐心，但越來越有針對性、組織性和計劃性，而大部分人們的防范意識還未提升至相應高度，這也導致了攻擊變得越容易得逞。”同時卜憲錄指出，“攻擊者在得逞后日益大膽，沒有什么比成功更能孕育成功，對網絡罪犯來講尤其如此”。

例如，潛在的大額放款日就很可能誘發大規模的網絡攻擊，而在他看來無論什么規模的企業都應當重新審視、思考并在可能的情況下重新部署安全防御系統。根據報告統計，在2013年針對性網絡攻擊數量明顯增多，較2012年增長了91%。

移動設備=危險?

目前移動設備越來越普遍，手機惡意軟件也在數年孕育后日益成熟，同時越來越多的人選擇將工作和個人信息都存儲在移動設備里，然而智能手機用戶風險意識的缺乏，使得移動設備正逐漸成為存在安全威脅的重要領域，并有越演越烈的趨勢。

在賽門鐵克2013年對各個移動平臺（iOS、Android、Windows、Symbian）遭遇惡意代碼襲擊的統計中，Android依然是惡意軟件制造者的主要選擇，占到了96%。并且，惡意軟件開發者主要進行已有軟件的升級，因此新型惡意軟件的出現速度放緩。在2012年，每個種類下不同變種的平均數量為38，而到2013年增加到57個。

另外卜憲錄向記者表示，根據諾頓調查顯示，有38%的智能手機用戶在過去12個月遭遇過網絡威脅，同時有50%的用戶未采取基本預防措施，如設置密碼、安裝安全性軟件或對移動設備里的文件進行備份。

他向記者列舉了PC端和移動端的數據對比：在PC端，約90%用戶會刪除來自未知發件人的可疑郵件，而在移動終端上只有56%用戶采取行動；在PC上，72%的用戶會至少安裝一個免費的基礎防病毒軟件，而移動終端比例只有33%；有78%的PC用戶避免在網絡上存儲敏感文件，而移動用戶比例只有48%。

“基于移動互聯網的風險與威脅在未來會越來越多，雖然它現在造成的破壞性從單獨分類統計來看并不是特別顯著，但這將是一個必然的趨勢。”卜憲錄說道。

建議

——對于企業組織

了解企業數據：以“信息”為核心部署安全防護技術，而非僅僅考慮以設備或數據中心等基礎設施為核心的保護，了解敏感數據的存儲位置及流向，以確定最佳的安全策略和流程。

重視員工教育：為員工提供信息安全指導，內容包括公司安全政策，以及針對個人設備和企業設備中敏感數據的保護措施。

部署強大的安全防御系統：加強安全基礎設施的建設，部署包括數據泄露防護、網絡安全、端點安全、加密、驗證和信譽技術在內的必要安全防護解決方案。

——對于消費者

成為安全達人：密碼是開啟一切的鑰匙，可以使用密碼管理軟件為您所登陸的每一個站點創建安全等級更高的密碼，并及時將個人設備（包括智能手機）中的安全軟件更新至最新版本。

時刻保持警惕：檢查您的銀行卡和信用卡賬單是否存在異常情況，謹慎處理來路不明的意外郵件，謹記“天上掉下的餡餅”往往都是陷阱。

了解商家：對于那些要求您提供銀行或個人信息的零售商或在線服務，最好在分享您的信息之前詳細閱讀其相關政策。如果必須與商家分享你的個人信息，一個最佳安全實踐是，直接訪問其官方網站，而非點擊郵件中的鏈接。