本刊記者 | 李璐

用戶姓名、身份證號碼、銀行卡卡號、賬號密碼……從上月的攜程用戶支付信息泄露，到近日的本年度最嚴重的全球互聯(lián)網(wǎng)安全協(xié)議OpenSSL漏洞，數(shù)據(jù)泄露事件正不斷上演。在當下業(yè)界不斷關(guān)注網(wǎng)絡(luò)安全的同時，其實在去年，大規(guī)模數(shù)據(jù)泄露便已露出苗頭。

根據(jù)賽門鐵克最新《互聯(lián)網(wǎng)安全威脅報告》顯示，去年一年全球被泄露的個人身份信息達到5.52億條，千萬級以上的規(guī)模泄露事件達到八次以上，泄露數(shù)據(jù)的數(shù)量是2012年的4倍，而這還只是在見諸報端的情況下所統(tǒng)計的。在賽門鐵克大中華區(qū)總裁連智浩看來，這僅僅是冰山一角，已發(fā)生而未曝光的大規(guī)模數(shù)據(jù)泄露將比人們想象的嚴重，而2013年也開始揭開了“大規(guī)模數(shù)據(jù)泄露”的序幕。

不是所有泄露都來自黑客攻擊

根據(jù)報告顯示，在2013年數(shù)據(jù)泄露的主要原因中，有34%來自于黑客攻擊，有29%來自于意外泄露，27%來自于電腦、硬盤失竊和丟失?？梢姡瑢嶋H上有超過一半的數(shù)據(jù)泄露并非源于黑客攻擊，而是由于電腦、硬盤失竊和丟失以及意外的數(shù)據(jù)泄露所造成。

同時報告也表明，雖然有58%的數(shù)據(jù)泄露事件出現(xiàn)在醫(yī)療、教育和公共管理等對安全敏感度并不十分高的行業(yè)，但在2013年所泄露的總數(shù)據(jù)量中，77%卻來自零售、電腦軟件和金融行業(yè)，因為這些行業(yè)數(shù)據(jù)價值更高，也是襲擊者的主要目標。

攻擊更針對性、更有預(yù)謀

在賽門鐵克中國區(qū)安全產(chǎn)品總監(jiān)卜憲錄看來，一次大規(guī)模數(shù)據(jù)泄露造成的損失可能相當于50次小型攻擊，而現(xiàn)如今攻擊者除了詭計多端之外，“讓人驚訝的是他們已變得更有耐心，蓄意等待收益最大化的時候出手”。

他向《通信世界》舉例介紹到，以前垃圾郵件或刺探郵件常常是隨機大量發(fā)送，而現(xiàn)在情況轉(zhuǎn)變至攻擊者會縮小目標范圍，對主題和收件人進行明顯的精心挑選，圍繞一個目標有針對性，并在時間上有關(guān)聯(lián)性的采取行動。如選擇與其他郵件有至少3或4項相關(guān)內(nèi)容（主題、發(fā)件人地址、IP地址等），選擇在同一天或分為數(shù)天寄出?！肮粽咴絹碓降驼{(diào)、有耐心，但越來越有針對性、組織性和計劃性，而大部分人們的防范意識還未提升至相應(yīng)高度，這也導致了攻擊變得越容易得逞?！蓖瑫r卜憲錄指出，“攻擊者在得逞后日益大膽，沒有什么比成功更能孕育成功，對網(wǎng)絡(luò)罪犯來講尤其如此”。

例如，潛在的大額放款日就很可能誘發(fā)大規(guī)模的網(wǎng)絡(luò)攻擊，而在他看來無論什么規(guī)模的企業(yè)都應(yīng)當重新審視、思考并在可能的情況下重新部署安全防御系統(tǒng)。根據(jù)報告統(tǒng)計，在2013年針對性網(wǎng)絡(luò)攻擊數(shù)量明顯增多，較2012年增長了91%。

移動設(shè)備=危險?

目前移動設(shè)備越來越普遍，手機惡意軟件也在數(shù)年孕育后日益成熟，同時越來越多的人選擇將工作和個人信息都存儲在移動設(shè)備里，然而智能手機用戶風險意識的缺乏，使得移動設(shè)備正逐漸成為存在安全威脅的重要領(lǐng)域，并有越演越烈的趨勢。

在賽門鐵克2013年對各個移動平臺（iOS、Android、Windows、Symbian）遭遇惡意代碼襲擊的統(tǒng)計中，Android依然是惡意軟件制造者的主要選擇，占到了96%。并且，惡意軟件開發(fā)者主要進行已有軟件的升級，因此新型惡意軟件的出現(xiàn)速度放緩。在2012年，每個種類下不同變種的平均數(shù)量為38，而到2013年增加到57個。

另外卜憲錄向記者表示，根據(jù)諾頓調(diào)查顯示，有38%的智能手機用戶在過去12個月遭遇過網(wǎng)絡(luò)威脅，同時有50%的用戶未采取基本預(yù)防措施，如設(shè)置密碼、安裝安全性軟件或?qū)σ苿釉O(shè)備里的文件進行備份。

他向記者列舉了PC端和移動端的數(shù)據(jù)對比：在PC端，約90%用戶會刪除來自未知發(fā)件人的可疑郵件，而在移動終端上只有56%用戶采取行動；在PC上，72%的用戶會至少安裝一個免費的基礎(chǔ)防病毒軟件，而移動終端比例只有33%；有78%的PC用戶避免在網(wǎng)絡(luò)上存儲敏感文件，而移動用戶比例只有48%。

“基于移動互聯(lián)網(wǎng)的風險與威脅在未來會越來越多，雖然它現(xiàn)在造成的破壞性從單獨分類統(tǒng)計來看并不是特別顯著，但這將是一個必然的趨勢。”卜憲錄說道。

建議

——對于企業(yè)組織

了解企業(yè)數(shù)據(jù)：以“信息”為核心部署安全防護技術(shù)，而非僅僅考慮以設(shè)備或數(shù)據(jù)中心等基礎(chǔ)設(shè)施為核心的保護，了解敏感數(shù)據(jù)的存儲位置及流向，以確定最佳的安全策略和流程。

重視員工教育：為員工提供信息安全指導，內(nèi)容包括公司安全政策，以及針對個人設(shè)備和企業(yè)設(shè)備中敏感數(shù)據(jù)的保護措施。

部署強大的安全防御系統(tǒng)：加強安全基礎(chǔ)設(shè)施的建設(shè)，部署包括數(shù)據(jù)泄露防護、網(wǎng)絡(luò)安全、端點安全、加密、驗證和信譽技術(shù)在內(nèi)的必要安全防護解決方案。

——對于消費者

成為安全達人：密碼是開啟一切的鑰匙，可以使用密碼管理軟件為您所登陸的每一個站點創(chuàng)建安全等級更高的密碼，并及時將個人設(shè)備（包括智能手機）中的安全軟件更新至最新版本。

時刻保持警惕：檢查您的銀行卡和信用卡賬單是否存在異常情況，謹慎處理來路不明的意外郵件，謹記“天上掉下的餡餅”往往都是陷阱。

了解商家：對于那些要求您提供銀行或個人信息的零售商或在線服務(wù)，最好在分享您的信息之前詳細閱讀其相關(guān)政策。如果必須與商家分享你的個人信息，一個最佳安全實踐是，直接訪問其官方網(wǎng)站，而非點擊郵件中的鏈接。