由於不同行業面對的保安挑戰各異,所謂「通用」的方案實在是難以奏效的,因此企業應重新評估其資訊安全策略。這是Verizon Business剛公佈的企業資料外洩調查補充分析之主要結論。
這項最新的研究,是以今年六月發表的「2008 資料外洩調查報告」為基礎。該研究歷時四年,分析了大量企業資料外洩個案,涵蓋超過500 項取證分析調查及二億三千筆記錄,當中包括歷年來五個最嚴重企業資料外洩事件的其中三個案例。
在這個補充分析報告中,Verizon Business 保安專家採用了原始數據,以概覽有關攻擊金融服務、高科技、零售及飲食這四大行業的手法之異同。來自這四個研究組別的數據足以進行獨立的數據分析。
Verizon Business 保安解決方案研究及情報副總裁Peter Tippett 博士表示:「這份補充報告就企業資料外洩事件提供更深入的剖析,良好的保安措施不會如模子般千篇一律。最重要的是企業必須了解資料外洩可引致的嚴重後果,才會採取主動的防護措施。我們期望透過更具針對性的分析,協助世界各地的企業了解資料外洩,讓他們可妥善保護數據資料及公司聲譽。」
以下是按垂直市場劃分的調查結果,包括:
金融服務
* 對金融服務業來說,來自企業內部的風險較大,而其他在分析之列的行業中,合作夥伴則是主要的風險來源。
* 針對金融服務業的攻擊以混合方式為主,當中以欺騙和濫用最普遍。
* 平均來說,攻擊時間比較長,手法亦比較精密和複雜。雖然金融服務機構通常較其他公司更快發現資料外洩事故,但往往也要在數星期後才察覺。
* 相對其他行業,金融機構有較高的資產意識,甚少發生不明或丟失系統、數據、連接及許可權相關的外洩事件。
高科技服務
* 高科技服務業的情況是非常複雜的。相比其他行業,失誤是高科技行業發生資料外洩事件的主因,而黑客的攻擊手法亦相當高明。雖然高科技機構想必都是精於科技的,但仍難以經常追蹤資訊資產及系統配置。
* 不懷好意的企業內部人士是一大難題。內部人士濫用獲准許使用的資源或特權,作未經授權的用途之比率在高科技行業特別高。事實上,高科技企業的文化比較獨特,員工需經常存取許多系統,使情況更難以控制。
* 黑客的入侵影響深遠。高科技企業一般都能為基本系統和應用配置提供更佳的防護,使黑客只能利用系統安全漏洞發動攻擊。然而,在更新修補程式時,高科技企業往往未能採用一致和全面的部署方式。
* 攻擊Web 應用是最常見的入侵方法。此外,涉及知識產權的資料外洩事件之百分比,在高科技行業也比較高。
零售
* 零售業佔整體個案分析的最大部分。
* 很多攻擊都會從遙距存取連接入手,但Web 應用也經常成為入侵目標,針對無線網絡的攻擊亦越來越多,明顯高於其他行業。
* 簡單的攻擊十分普遍,但亦有不少精密攻擊入侵零售店。
* 零售業高度依賴第三方發現資料外洩事件。一般情況下,發現事故的速度遠較飲食業快,但較金融及高科技行業為慢。
* 整體來說,攻擊零售業的大多是乘虛而入,以竊取大量數據,進行欺詐。
飲食業
* 大多數資料外洩事件都是由外在因素所引致,罪犯利用企業合作夥伴信賴的遙距存取連接,入侵網上信用咭資料庫。
* 這些攻擊依賴不足的保安配置,而非應用程序或軟件的安全漏洞,它們的執行速度甚快,手法通常是同出一轍的。
* 很多攻擊都利用銷售點系統的漏洞,罪犯會向所有與食品和飲料相關的連鎖機構,發動更多攻擊,並散播惡意軟件。
* 由於餐廳食肆往往需要相當長的時間,才能發現資料外洩,因此每次總是由第三方首先察覺。
Tippett 補充:「這項報告明確指出,資料保護的關鍵,不是安全防禦措施如何巧妙或精密,而是從資料監控、由計劃到實行都必須從最根本處著手。」
業者調查報告指企業須度身訂造保安策略
