駭客攻擊與人為疏失並列企業資料外洩主因

全球安全、儲存與系統管理解決方案領導廠商賽門鐵克(Nasdaq: SYMC)最新網路安全報告顯示,「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因,其中,「內部人員疏失」和「資料遺失」等內部人為因素與「駭客攻擊」等外部攻擊的比例相當。這突顯了資訊安全防護是一項全面性的管理,須包含主機安全防護、資料加密、資料外洩防護、日誌管理,以至全面的裝置管理和資安政策教育,都要面面俱到。

新版個資法已於10月1日正式生效,但仍有許多企業不了解施行細則的意義,或是對資訊安全防護措施是否完備充滿疑惑。今天賽門鐵克提供資料安全防護教戰守則,從法律面探討新版個資法為企業帶來的挑戰,並針對尚未著手因應個資法施行的企業,將資料外洩的威脅分成一般員工、企業間諜、外部駭客等三個層面一一剖析,再從資料安全、個資盤點、設備安全及資料稽核四個方向,為資安防護準備提出最迅速有效的管理方式。

資安防護是全面性的安全管理,抵禦入侵與內部防禦同等重要
調查顯示,自2012年1月到8月期間的資料外洩案件數來看,大約有四成(40.6%)是駭客攻擊的結果,近幾年駭客猖獗,這樣的結論毫不令人意外。然而,另一個引人注目的發現是「內部人為疏失」造成的資料外洩案件也佔了四成多(48.2%)的比例,包含了內部人員疏失(21.4%)、資料遺失遭竊(18.8%)及蓄意偷取資料(8%)。究其真實狀況,包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩,以及資訊安全教育的不足等等。這結論反映了資訊安全防護是一項全面性的管理,抵禦入侵與內部防禦同等重要。

擁有高敏感個資的產業最易成為駭客目標
根據去年(2011年)的調查結果,每10筆遭外洩的資料就有8筆是來自資訊科技及電腦軟體產業;但今年的調查結果顯示(如圖2),資料外洩數量的前兩名已被零售業(40%)及電信業者(15%)取代。

圖2: 2012年1月至8月期間外洩資料數量分布示意圖(依產業區分)

然而,如從資料外洩事件的次數的角度檢視,卻無法反映外洩資料規模與資料外洩事件的頻率有正比關係。例如,下圖中醫療產業遭外洩的資料數量僅占總外洩資料筆數的2.7%,但該產業的資料外洩事件數量卻不成比例-若以資料外洩次數來看,醫療產業發生資料外洩案件最為頻繁,佔事件總數的34.1%。醫療紀錄屬於高度敏感資料,這個例子說明,頻繁的攻擊次數雖未造成大量的資料外洩,卻讓較少量的高敏感個資曝光,正好說明了資料外洩的數量無法正確反映外洩資料的敏感性。

企業應提防小而準的資料外洩事件
總的來說,資料外洩事件數量雖無太大的改變(2011年每月平均16.5次,2012年下降到14次),然而,資料外洩事件的平均資料外洩筆數卻大幅減半:去年(2011)5月至12月間單次資料外洩事件導致的資料外洩筆數平均超過131萬筆,而今年卻大幅降低至約64萬筆。究其原因,可能由於2011年的大型惡意網路攻擊影響,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準較有價值的資料儲存處出手。這顯示了若要遏止資料外洩,企業採取的措施還不夠。

關於賽門鐵克網路安全情報機構(Symantec Intelligence)
賽門鐵克網路安全情報機構是一個具公信力的資料分析機構,提供最新的資安事件、趨勢及數據分析報告。賽門鐵克雲端安全情報機構(Symantec.cloud Intelligence)則透過各種資料來源,包括賽門鐵克全球安全情報網絡(Symantec Global Intelligence Network)、Symantec Probe Network (一個有五百萬個誘騙帳號的系統)、Symantec.cloud以及數個賽門鐵克安全技術機構,來提供全球資安威脅的各種資訊。 Skeptic™是一款賽門鐵克雲端(Symantec.cloud)的專利技術,使用預示分析法來偵測新的或高複雜度的攻擊威脅,採用Skeptic™這項專利技術的企業機構超過55,000個,客戶遍佈中小企業及全球500大,計有超過1,100萬名終端使用者受惠於這項技術而免於安全威脅。

關於賽門鐵克
賽門鐵克公司是全球領先的安全、儲存與系統管理解決方案供應商,協助消費者與企業組織保護與管理他們由資訊所駕馭的世界。賽門鐵克的軟體及服務對於愈趨多樣化的風險提供了更多元、更全面及更有效率的防護,讓用戶對不論是在使用中或是被儲存的資訊皆能具有信心。若需瞭解更多相關資訊,歡迎瀏覽賽門鐵克公司網頁: http://www.symantec.com