金雅拓数据泄露水平指数显示,保护不当的云端数据库和内部威胁是企业面临的增长最快的安全风险
数字安全领域的全球领导者金雅拓日前发布了其数据泄露水平指数(Breach Level Index)的最新调查结果:2017年全球有26亿条数据记录被盗、丢失或外泄,比2016年增加88%。尽管数据泄露事件的发生率下降了11%,但2017年是自2013年该指数开始追踪数据泄露事件以来,公开披露的泄露事件中泄露的数据记录超过20亿条的第一年。
过去五年有近100亿条记录丢失、被盗或外泄,平均每天泄露的记录达5百万条。在2017年的1,765起数据泄露事件中,身份盗用是主要的数据泄露类型,占所有数据泄露的69%。在所有泄露事件中,恶意外部攻击仍是去年的头号网络安全威胁,占比为72%。医疗保健、金融服务和零售行业的公司是去年数据泄露的主要目标。但政府和教育机构在2017年也没能幸免于网络风险,它们占所有泄露事件的22%。
数据泄露水平指数*是跟踪和分析数据泄露事件、泄露数据的类型及其访问、丢失或被盗方式的一个全球数据库。根据数据泄露水平指数收集的数据泄露报告,2017年的主要发现包括:
人为错误是一个重大的风险管理和安全问题:意外丢失(包括数据处置不当、数据库配置错误和其他意外安全问题)导致19亿条记录外泄,相比2016年泄露的记录数量猛增580%。
身份盗用仍然是数据泄露的第一大类型:身份盗用占所有数据泄露事件的69%。超过6亿条记录受到影响,比2016年增加73%。
内部威胁正在增加:恶意内部事件数量略有下降,但被盗记录数量增至3000万,比2016年增加117%。
骚扰类泄露:骚扰类攻击造成的泄露数量比2016年增加了560%。数据泄露水平指数对骚扰类数据泄露的定义是,泄露的数据包含姓名、地址和/或电话号码等基本信息。这类泄露的更大的后果经常无法知晓,因为黑客会利用这些数据策划其他攻击。
金雅拓副总裁兼数据保护首席技术官Jason Hart表示:“相对于简单的数据盗窃,数据操纵或数据完整性攻击对于组织而言也许是一种未知性更大的威胁,因为它让黑客可以修改从销售数字到知识产权在内的任何数据。在本质上,数据完整性攻击往往难以识别,在很多情况下,当此类攻击发生后,我们还看不到真正的影响。如果数据的保密性或隐私性被泄露,组织必须备有控制措施,比如加密、密钥管理和用户访问管理,以确保数据的完整性不会被篡改,并且仍然可以被信任。无论出现任何对于被操控的担心,这些控制措施都应就地保护数据,并在被盗时立即使其无效。”
按类型分类的数据泄露
身份盗用是数据泄露的主要类型,占2017年所有泄露事件的69%,泄露数据量占26%。第二种最常见的泄露类型是获取财务数据(16%)。骚扰类数据泄露量增加最多(560%),所造成的数据丢失、被盗或泄露的数量占所有泄露数据的61%。账户访问和既存类型泄露事件的发生次数和记录数量相比2016年均有所下降。
按行业分类的数据泄露
2017年,发生数据泄露事件最多的行业分别是医疗保健(27%)、金融服务(12%)、教育(11%)和政府(11%)。就丢失、被盗或泄露的记录数量而言,受到最多针对性攻击的部门是政府(18%)、金融服务(9.1%)和技术行业(16%)。
按来源分类的数据泄露
恶意外部攻击是数据泄露的主要原因,占泄露事件的72%,但数据量仅占所有泄露数据的23%。尽管意外丢失只导致了18%的数据泄露事件,但它占所有泄露数据量的76%,与2016年相比增加580%。恶意内部人员导致的泄露事件占事件总数的9%,但造成的泄露或被盗记录数量比2016年大幅增加(117%)。
金雅拓副总裁兼数据保护首席技术官Jason Hart表示:“企业可以通过‘安全始于设计’的方法,在一开始就使用安全协议和体系结构,以降低数据泄露风险。随着2018年新的政府法规,如欧洲《通用数据保护条例》(GDPR)和澳大利亚《隐私法案》(APA)的生效,这将会变得尤为重要。这些法规要求公司适应面向安全的新思维,不仅要保护他们的敏感数据,还要保护他们存储或管理的客户数据的隐私。”
*数据泄露水平指数*是一个全球数据库,用于跟踪数据泄露并根据多个维度来衡量其严重程度,包括泄露记录的数量、数据类型、泄露来源、数据使用方式以及数据是否被加密。通过为每次泄露赋予一个严重程度分数,数据泄露水平指数提供一个泄露比较列表,以区分不太严重的数据泄露与真正有影响的数据泄露(分数1-10)。
扫一扫或点击进入“上海奥航智能科技有限公司”官网:www.aohsmart.com 扫一扫或点击进入“中国移动安全信息网”:cn-mobi.com
免责声明:本文仅代表作者个人观点,与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。