機構調查指針對性攻擊及有組織罪行顯著上升
據通訊及IT方案供應商Verizon Business公佈的「2009資料外洩調查報告」顯示,2008年的電子檔案外洩事故比過去四年的總數更多,主要針對金融服務業,並明顯涉及有組織罪行。
第二年度調查報告是根據Verizon Business調查個案所分析的資料,當中包括90宗證實資料外洩事故之二億八千五百萬檔案。報告顯示,2008年當中一些嚴重網路罪行之受害者為大企業。93%的外洩記錄為金融業,當中更有90%涉及被執法機構認定有份參與有組織的犯罪活動的不法分子。
Verizon Business 調查專家指出,一如該公司第一份涵蓋2004年至2007年合共二億三千萬外洩檔案的調查報告,企業若遵循基本的安全指引,近九成的資料外洩事件是可以避免的,大多數調查個案顯示企業根本不需要採用複雜或昂貴的預防性措施。
2009年資料外洩調查報告的結論是,相比資源貧乏,錯誤和疏忽對安全措施構成更大的威脅。最新調查報告的結論與第一份報告相近,雖然高度精密的攻擊僅是資料外洩個案的17%,但卻佔外洩記錄總數的95%,可見有動機的駭客對目標資料瞭如指掌。
Verizon Business安全解決方案研究及情報副總裁Peter Tippett博士指出:「2008年的機密資料外洩個案急劇上升,反映企業應提高安全意識。這份報告一再警示良好的資訊安全措施和積極主動的策略,對現今的商業運作是極為重要的,特別是經濟危機可能會觸發更多犯罪活動。」
今年調查報告的結論不僅進一步闡釋去年的報告,亦提供不少全新的見解,包括:
• 大部份調查的資料外洩事件是由外在因素引起,74%的資料外洩事件是由外在因素引起,當中有32%由商業夥伴引致,僅20%是由內部人員造成,調查結果可能與廣泛認同的看法相反。
• 大部份資料外洩是由多個事件同時出現所造成,而非單一活動所致64%的資料外洩事件中的駭客採用混合式攻擊方法。大部份成功竊取資料的駭客,利用受害企業機構錯誤造成的漏洞入侵網路,然後在系統內安裝惡意軟體收集資料。
• 有69%的資料外洩事件是由第三方發現對大多數企業機構而言,不論安全漏洞是源自技術或流程,最大的絆腳石是在資料外洩發生時,未能配備即時偵測的能力。過去五年,很少受害企業機構能自行察覺資料外洩。
• 幾乎所有2008年的資料外洩檔案都源自網路資產,雖然桌面電腦、行動裝置及隨身媒體等的安全情況備受關注,99%的外洩檔案都是透過伺服器及應用軟體竊取資料。
• 約有20%的2008年檔案涉及逾一次的資料外洩事件某些單一個案有多個不同地點被分別入侵攻擊,值得注意的是,當中有半數資料外洩事件包含多個相互關聯的事故,並往往是由同一個人造成的。
• 遵循PCI標準是最關鍵的,令人驚訝的是,高達81%須遵循支付卡行業資料安全標準(Payment Card Industry Data Security Standard,簡稱PCI-DSS)的受影響機構,在資料外洩發生前被發現不符合規定。
2009 年網路犯罪情況
隨著網路犯罪市場不斷轉化,攻擊者的目標、技術及類型亦相應改變。現時,竊取個人識別碼 (PIN) 資料及相關的信用和記帳戶口,可帶來龐大的經濟利益。2008 年,Verizon Business 見證了攻擊PIN 資料的檔案呈爆炸性增長。
這些針對PIN 為目標的攻擊,對消費者的影響遠超於一般偽冒消費者信用卡簽名之攻擊。調查人員發現,PIN 欺詐的手法通常是直接從消費者的支票、儲蓄或證券帳戶盜取現金,使消費者更難證明有關交易是偽冒的。
由於PIN 資料能盜取更高的金額,因而誘發更多層出不窮的攻擊手法。不法之徒會重新設計攻擊流程,及開發如記憶體刮屑惡意軟體 (Memory-scraping Malware) 等新工具,以竊取寶貴的資料。
根據由外在因素引起資料外洩來源地域分佈,不法分子活躍於東歐、東亞及北美等地。事實上,2009年的調查報告顯示,82%由外在因素引起之攻擊來自以上地區。
與調查專員所得的結論一樣,Tippett 表示:「東歐是聲名狼藉的有組織犯罪分子天堂,當地的不法之徒在2008年主力策動了多宗資料外洩攻擊。」
他指出:「我們有大量證據顯示,來自東歐的有組織罪行都是經周詳計劃的。」但他補充:「另一方面,在執法機構的努力下,2008 年有至少15 宗個案 (仍在計算中) 能成功拘捕疑犯。」
金融服務業的個案升幅為各行業之冠
2008 年調查的資料外洩檔案與2004 年至2007 年的相同,均涉及不同的行業。雖然零售業仍然是最慣常的目標行業,佔調查總個案的三分一,但金融服務業錄得最大升幅,增幅至30%。不過更重要的是,金融業在二億八千五百萬宗檔案中佔超過9 成。
金融業的資料外洩檔案升幅,反映網路罪行活動的最新趨勢,特別是不法之徒主力竊取PIN 資料並在黑市市場出售。Tippett 表示:「2008年,不法分子視金融服務公司為主要目標,不惜代價、計劃周詳地發動高度精密攻擊,使之成為囊中物。」
根據第一份調查報告,飲食業為第二個受到最多攻擊的行業,但在2008年則下跌至第三位,所佔的比率從20%下降至14%。
2008 年,Verizon Business 調查應變小組在美國以外地區,處理的檔案上升至總個案的逾三分一。除了在美國各地需要進行廣泛調查的資料外洩事件外,很多資料外洩檔案均以加拿大和歐洲的企業機構為目標,而巴西、印尼、菲律賓、日本及澳洲的檔案亦持續增加。
預料駭客將繼續在國際間尋找更容易攻擊的目標,故此新興經濟體系的消費者資料將受到更大的威脅。
Tippett 表示:「我們的工作將會變得更艱巨,隨著全球資訊量的不斷增長,資料浸透至每一角落,雖然大多數的攻擊力仍然有限,但不法之徒正不斷依據現有的防護策略,創造更多竊取有價值資料之方法。」
2009年的調查報告再次顯示,只要持之以恆,簡單的行動亦可取得莫大的效益。根據2004年至2008年期間,近600宗資料外洩事件逾五億宗資料外洩檔案的調查結果,Verizon Business RISK 團隊建議:
• 更改預設憑證
2008年有更多不法之徒透過預設憑證竊取企業資產,數目遠超於其他單一手法。因此,企業必須定期更改用戶名稱和密碼,並確保第三方供應商亦採取同樣措施。
• 避免共用憑證
企業除了要更改預設憑證,亦應確保其密碼是獨一無二的,並不會與其他用戶或不同系統共用,特別是經第三方管理的資產。
• 檢視使用者帳戶
根據Verizon Business 多年經驗,企業機構應定期檢視用戶帳戶,並依照正式程序,確認活躍的帳戶是有效的、必要的和經適當裝配的,以及擁有恰如其分的特權。
• 採用應用測試及程式碼檢查
半數涉及駭客的調查檔案為SQL 注入攻擊、跨網址程式編程 (Cross-site Scripting)、認證繞路,以及利用Session變量 (Exploitation of Session Variables),可見即時網路應用測試是更重要。
• 覆蓋全面的修補程式
所有利用系統漏洞和惡意軟體竊取資料資料的攻擊手法,都在6個月或以前出現,可見持續地安裝全面的修補程式比迅速安裝修補程式更有效。
• 確保人力資源部門採用有效的解僱程序
今年有多宗內部人員引致的外洩個案,便是利用新近被解僱員工之憑證破解保安防線。企業應確保採取正式及全面的員工解僱程序,以徹底關閉用戶帳戶及取消所有存取權限。
• 啟動應用日誌及監控
駭客攻擊現正從電腦運算結構提升至應用層面。企業應制訂一套標準的日誌檢視策略,除網路、操作系統及防火牆的日誌,更要檢視遙距存取服務、網路應用、資料庫及其他關鍵應用的資料。
• 定義「可疑」和「異常」活動 (然後追尋源頭)
越來越多具針對性、高精密度的攻擊以儲存大量資料的企業機構為目標。企業機構應作好準備,防範和偵查這些不惜代價、資金充裕、熟練及具針對性的攻擊。
Tippett 補充:「這份報告明確指出,資料保護的關鍵不在於保安防禦措施如何巧妙或精密,而是從資料監控計劃到實行都必須從最根本處著手。」
