首页 > 资讯 > 安全资讯 >

中美IT安全对比:数据窃贼两地作案

2007-10-09

今年企业用户已在信息安全产品上耗资数十亿美元。企业对操作系统进行了漏洞修补和补丁升级,努力增强计算机用户对身份偷窃威胁的安全意识,但即便是这样,大多数机构仍然不觉得今年比去年更安全。   《InformationWeek》研究部和埃森

今年企业用户已在信息安全产品上耗资数十亿美元。企业对操作系统进行了漏洞修补和补丁升级,努力增强计算机用户对身份偷窃威胁的安全意识,但即便是这样,大多数机构仍然不觉得今年比去年更安全。

  《InformationWeek》研究部和埃森哲咨询公司(Accenture,下称埃森哲)合作进行的第十年度“全球信息安全调查”显示,美国1,101位受访者中的三分之二和中国1,991位受访者中的89%觉得和前一年相比,今年受到攻击的可能性依然没有降低,甚至危机感还有升级的趋势。

  危机的起因是人们日益认识到,安全技术已变得过于复杂。对几乎一半的美国受访者来说,首要的安全挑战就是“安全管理的复杂度”。所谓“深度防卫”(Defense-In-Depth)只是意味着“尽管拥有一堆重复的技术,但你却没法以一种直接有效的方式处理安全问题”,埃森哲的安全应用全球管理总监阿拉斯泰尔·麦克威尔森(Alastair MacWillson)指出。“这就像你不得不给大门加了20把锁,原因是无法确定其中哪一把是真正有效的。”

  我们的结论显示,受访者的担心甚至还不够,特别是针对公司和客户资料的丢失与偷窃问题。仅三分之一的美国受访公司和少于一半的中国公司把“预防泄密”作为最大的安全挑战。只有四分之一的美国受访者把未经授权的员工对文件或数据的访问,或外部人员做的客户数据盗窃列为最需要重视的3项安全隐患。除此以外,包含公司数据的手机设备的丢失和偷窃,以及知识产权的失窃,是更为缺乏关注的安全问题。公司对这些安全隐患还普遍缺乏认识,但现实中已有大量令人十分尴尬的报道——在过去一年半里除了零售企业TJX公司、美国退伍军人事务部(Department of Veterans Affairs)和美国乔治亚州社区卫生部(Community Health Department)都发生过数据丢失事件,当然,此外还有更多《InformationWeek》报道过的前车之鉴。

  实际上,在过去一年里,最受重视的安全隐患是病毒和蠕虫(65%的美国受访者和75%的中国受访者)、间谍软件、恶意软件、以及垃圾邮件(中美两国都是40%)。

  看错了方向?

  那是不是我们的安全专家把注意力投错了地方呢?美国国土安全局(Homeland Security)的国家网络安全办公室(National Cyber Security Division)的杰瑞·迪克逊(Jerry Dixon)同意这个观点。

  “你需要知道你的数据都存放在哪里,以及谁有权访问它们。”迪克逊表示。“这些决定了数据库中的数据完整性,而这些数据是开展业务的基础。”

  当被问到安全专家需要注意什么的时候,IT服务供应商BT Counterpane公司的首席技术官(CTO)布鲁斯·施奈尔(Bruce Schneier)感慨道:“第一是非法行为、第二是非法行为、第三还是非法行为,然后才是合规。”

  看起来安全专家确实没抓到重点,他们倾向于选择自己熟悉的安全问题来应对,而不是针对现在日益猖獗的,从客户数据和知识产权盗窃上获利的行为。然而,认真审视我们的调查结果,也显示机构正在觉醒,开始意识到客户信息和知识产权很容易受到数据盗贼的攻击。

  在调查中,对70%的美国受访者来说,今年更易受到攻击的首要原因是日益复杂,手段高明的攻击,包括SQL注入攻击。这是一种针对网站提交的数据请求进行攻击的技术,SQL注入的目的只有一个:通过访问网站应用从数据库里偷取信息。

  紧随其后的3个原因是:攻击公司网络的途径增多(包括无线接入点);攻击数量的增加;攻击者更多地出于恶意目的(如数据偷窃、数据毁坏、勒索等)。我们的调查显示,尽管网络攻击的主要后果常常是网络瘫痪,但受访者认为攻击的主要目的与其说是令网络瘫痪,还不如说为盗窃财产(如客户或企业数据)。只有13%的美国受访者认为他们最重视的3类攻击包括DOS(Denial of Service,拒绝服务攻击)和其他损害网络的攻击。这个数字比去年的26%大大降低。而在中国,仅有比该比例略高的受访者担心DOS攻击。

  某些安全专家也许过于乐观或是无知。僵尸网络(Botnets)可以远程控制IT资源(编者注:例如个人电脑),用于发动攻击和窃取信息(参见《逃离僵尸网络》)。尽管目前还只有10%的美国受访者和13%的中国受访者把他列入最主要的3类攻击方式之一,这种安全威胁在去年的调查中已经上榜。对此安全意识的不足也许是因为公司通常没有意识到他们受到僵尸网络的感染,而这也正是僵尸网络控制者所希望的。

  同样,病毒、蠕虫和钓鱼欺骗是美国受访者最看重的3类安全漏洞。身份盗窃位列其中的第七位。但这不代表可以忽视身份盗窃的威胁。身份盗窃和欺诈对发生过数据泄露的公司来说就是最糟糕的噩梦,而还没有发生这类事故未必意味着安全措施足够,也许仅仅是运气问题。TJX公司就非常不走运,该公司IT系统中的457万客户记录几年前遭到偷窃,直到今年早些时候才在美国佛罗里达州被发现。这些信息被用来制作伪造的信用卡,并在几个沃尔玛商场欺诈消费了几百万美元。去年数据泄密的一个典型的案例就是退伍军人事务部的数据失窃案,该机构的一台笔记本电脑在一位员工的家里失窃,其上有2,700万条记录。但到目前为止,还没有发现任何身份盗窃和欺诈活动与这起安全事故相关。

  另一个数据安全日益获得重视的标志是:美国受访者衡量安全投资回报时最看重的是可以削减多少与安全问题相关的工作时间(43%的受访者),第二优先考虑的是这些安全措施能否更好地保护客户记录(35%的受访者),排在第三位的是能减少的安全漏洞数量(33%)。

  也许整个调查里最令人震惊的是,将近四分之一的美国受访者根本不评估他们的安全投资回报。

幸运儿

  就像前文所述,网络攻击最突出的影响是导致网络瘫痪,紧随其后的是业务应用包括电子邮件不能正常使用。在网络攻击影响列表里排第三位的是保密信息被侵犯,有四分之一的美国受访者和41%的中国受访者认同。排名第四位有18%的美国公司和21%的中国公司认为是“轻度”的经济损失。相比之下,仅仅破点小财的企业可算是幸运儿了。

  由于安全失误导致的经济损失其实在短期内是难以估算的,特别是包含有数据失窃的事故。实际上,受访者中最高比例的人,35%的美国公司和31%的中国公司承认他们无法得知因数据失窃造成的损失总值有多大。

  但长期来看,令人痛苦的安全损失会日益显露出来。据报道,到今年4月28日TJX在第三季度因计算机入侵而承受的损失高达2千万美元。而佛罗里达州的沃尔玛商场也损失了将近8百万美元的交易。

  深藏不露的恶意黑客和网络盗贼要对过去一年来的多宗大规模数据失窃案负责,而安全专家们的主要精力都用于应对下一波的攻击上了。多数受访者认为过去一年里数据失窃和公司间谍案的罪魁祸首是计算机黑客。但同样引人注目的是,非法用户导致的数据失窃从2006年的28%上升到2007年的34%。

  理查德·马里奥(Rich Marreel)是美国内布拉斯加州林肯市BryanLGH医疗中心的首席信息官(CIO)。他最关注的安全问题是病人数据的保护,以免因恶意黑客或员工有意无意的非法使用导致数据被侵犯。马里奥表示:“我们一直担心员工和其他外部人员共享授权验证信息,或通过笔记本电脑和记忆棒从机构带走信息。”解决方案就是:同时加强对员工的教育和提升安全技术,包括加密技术的应用。

  马里奥认为,不认真管理用户访问权限或要求用户保护好自己的登陆帐号和密码信息,公司就等于引入了“潜藏的威胁”。马里奥指出,在医院“许多人把登陆帐号和密码写下来带着到处走,甚至把信息存在他们的个人电脑里。”这些情况我们以前还见得少吗?

  中国因素

  美国和中国受访者在许多问题上的回应是相似的,但在许多方面也存有差异。例如,两国的首要攻击方式都是针对已知的操作系统漏洞——美国公司占43%而中国公司占了压倒性的三分之二。对第二大攻击方式--已知应用漏洞,也同样存在比例上的差异,41%的中国受访者承认受到这种方式的入侵,而对比之下美国的比例少于四分之一。这可能是因为中国盗版软件的使用比较猖獗而导致,埃森哲的麦克威尔森分析指出,“因为这样他们就没法升级更新补丁了。”

  受访者反馈的其他攻击方法包括在电子邮件附件中包含虚假内容(26%和25%),攻击未知的操作系统漏洞(两国分别为24%和31%的比例)。然而这些入侵,还不是唯一需要担心的问题。804位美国受访者承认在过去一年里发生过数据泄密和商业间谍活动,18%认为这是非法用户的问题,而16%怀疑是合法用户和员工所致。

  与2006年25%的公司发生过数据泄露相比,该数字今年有所下降。这真让人意外,因为员工仍然是安全链上最薄弱的环节。加里·敏(Gary Min)欺诈自己的前雇主杜邦化学公司(DuPont),企图把公司价值4亿美元的商业机密卖给杜邦的竞争对手,被公司及时发现并向美国联邦调查局(FBI)举报。就在众人眼皮底下,加里·敏可以堂而皇之地访问到杜邦的电子数据图书馆(EDL)服务器上超大容量的文档摘要和pdf文件全文。该服务器是杜邦公司存放保密和专有信息的主要数据库之一。加里·敏从这台EDL上下载了22,000份摘要并访问过16,706份文档——在事发的时候他能访问到的文件数量比仅低他一个访问等级的人竟高出15倍之多。他最后认罪并面临10年的牢狱和25万美元的罚款和赔偿。

  除了纯粹的欺诈行为,员工也可能无法保护存放在公司IT资产(主要指笔记本电脑)上的数据。从员工的车辆和家中被窃的笔记本和移动设备数量惊人。上个月一台保存有超过65,000份记录,包含美国俄亥俄州政府所有员工名字和社会保险号信息的计算机备份存储设备就在一位州政府实习生的车里被盗了。在一年多前失窃的一台笔记本电脑保存有hotels.com公司的243,000份用户数据,包含姓名、地址、信用卡和借记卡信息。被窃地点是在安永会计师事务所(Ernst & Young)一位员工的车里。“这些大多数都是因为人为过失或糟糕的业务流程所导致的。”麦克林风险伙伴公司(MacLean Risk Partners)的首席执行官(CEO)、前美

相关文章
最新文章
热点推荐