2014年有近10亿条记录被盗

可悲的是,大多数记录都可以追溯到少数事件

在2014年的前9个月中,在确认了1,922起事件之后,犯罪分子设法窃取了9.04亿条记录。 2014年报告的许多事件都是创纪录的,其中包括二十起事件,每起事件都危害了超过一百万条记录。

回顾过去,可以肯定地说,犯罪分子今年大获成功。但是他们的成功会导致任何可行的改变吗?

许多专家都认为,2014年的安全梦some将带来一些变化,但2015年将不会是数据安全的乌托邦-记录仍将受到威胁,犯罪分子仍将目标锁定在低谷。

如果有的话,2014年将成为大多数安全计划的转折点,因为高管们开始看到首先保护数据的价值。

根据基于风险的安全性提供给CSO Online的数据,在今年前9个月暴露的记录中,近85%是由于黑客入侵(外部影响)所致,占报告事件的74%。

因此,今年的安全问题在保护供应链和为员工和供应商提供意识培训方面,给组织学习了宝贵的一课。从网络钓鱼到薄弱的第三方访问,犯罪分子相对容易地走进了后门,从前线走了出来。

“当今的企业迷宫般地依赖于外部服务提供商和供应商。这使攻击面变得复杂,反过来又使防御能力薄弱。我们的基础设施越复杂,防御者就越难理解并理解其全部内容。弱点”,RedSeal首席技术官Mike Lloyd博士评论道。

今年学到的另一个教训集中在将一个人的所有鸡蛋放在一个篮子里。如前所述,2014年报告的20起事件分别暴露了100万条或更多记录,但其中三起导致总计4.89亿条记录的泄露。

Malwarebytes Labs的恶意软件情报负责人Adam Kujawa表示,摩根大通(JPMorgan Chase)漏洞是如何通过分段减少事件造成的损害的完美示例。

“攻击者能够窃取数百万个客户的个人信息,例如姓名,电子邮件,地址等。但是,他们无法窃取实际的财务数据。这类数据被隐藏在另一层安全保护中,而该安全保护显然是另一层安全保护。攻击者无法到达。”库贾瓦说。

“如果所有组织都采用类似的做法,那么无论违反了什么,后果都将大大减少。”

但是,劳埃德(Lloyd)博士补充说,尽管数十年来人们一直将细分视为一个好主意,但这始终是“不可或缺的”。

“如今,它正迅速转移到当务之急–审计人员寻找它,监管机构要求它,而客户期望它。成本不再是限制因素–董事会愿意花钱避免错误的新闻报道。限制因素是复杂性–您无法细分无法映射的内容,太多组织实际上已经失去了其业务所基于的基础架构的蓝图。”

到目前为止,2014年最常见的记录类型是密码,其次是用户名,电子邮件地址和PII(名称,地址,SSN,DOB,电话号码等)。当涉及病历和财务(信用卡)时,数量要低得多(每次不到10%),但比往年要大。

犯罪分子开始更倾向于使用PII而非财务信息,因为它更容易出售和利用。简而言之,由于反欺诈的发展,银行使得使用被盗信用卡信息变得更加困难。

HyTrust副总裁Michele Borovac指出,虽然取消信用卡相对容易,但是如果被盗,则更难追踪并找回您的身份。

博洛瓦克说:“攻击者只要拥有一些个人信息,就可以将该数据用于新的信用卡应用程序,在线帐户访问以及许多其他有害但有利可图的活动。”

对于2014年的数据泄露事件,有很多示例可供研究,但是有些案例比其他案例更为突出。回顾过去,今年韩国发生了两起重大事件。其中一个是由于恶意内部人员而发生的,另一个是由于外部影响而发生的。

第一次事件发生在一月份;韩国信用局的一名工作人员盗用了1.04亿张信用卡和2000万条包含PII(名称,税号等)的记录。据报道,内部人员滥用了他们的访问权限,并将记录复制到外部驱动器中,目的是出售它们。

第二件事发生在八月。来自中国的黑客以及其他十几个人, 泄露了2.2亿条记录 通过针对各种游戏和在线赌博促销,铃声店面和电影票务的网站注册来定位。大规模地,这一事件影响了2700万15-65岁的人,约占该国人口的70%。

在五月, eBay表示,攻击者破坏了工作人员的凭据 并访问了用户数据库。结果,该事件影响了1.45亿人。虽然没有任何财务信息受到损害,但攻击者能够(至少)查看PII,包括姓名,电子邮件地址,家庭住址,出生日期和电话号码。密码也有风险,但是密码被加盐和散列。出于谨慎,eBay要求所有用户立即更改其密码,并警告他们防止网络钓鱼诈骗。

仅这三起事件,就暴露了超过4亿条记录。这个数字不包括在家得宝,摩根大通,迈克尔斯,内曼·马库斯,奥兰治,美国运通或社区卫生系统的事件。

劳埃德博士说:“大数据导致大盗窃。” “网络罪犯对风险与报酬一窍不通–如果我们收集大量数据,他们愿意付出更多努力来获取数据。”

HyTrust的Borovac同意:

“我们看到如此大规模的违规行为的主要原因是数据和应用程序变得越来越集中。随着组织对数据中心进行整合和虚拟化,参与进来的人变得更容易获得一切。”

合并在今年的一些安全事件中起着重要作用,因为它在创收业务计划中也起着重要作用。尽管2014年是数据泄露的创纪录年份,但对于大多数组织而言,安全性仍然是事后的固定附加手段。

“十年来,安全专业人员一直都知道,安全性和所有业务实践一样,最终都是由投资回报率决定的。除非公司感到由于安全方面的考虑而失去客户,否则没有很好的商业理由来解决这些问题。他们会做销售或任何其他创收业务的基础架构,同样受到关注。” Neohapsis的安全顾问Carl Vincent说。

但是,也许所有的一切并没有丢失。同样,2014年可能是大多数安全计划的转折点。如果是这样,文森特解释说,情况可能会开始好转。

“随着大规模违规行为的曝光,我们现在有可能看到一个时代的开始,即消费者在选择使用服务之前评估公司的安全状况。如果那时候到了,也许是一个时代认真对待信息安全也在我们身上。”

版权© 2014 IDG通讯,Inc.