去年底Sony索尼影業高層的e-mail信件內容外洩,讓許多電影計畫搶先曝光,Sony集團股價在5天內跌破1成,公司市值縮水新臺幣600億元,經FBI初步調查,這起攻擊事件很有可能是先由內部前員工,加上外部攻擊所致,大家也發現索尼影業的資安團隊只有11名成員,而且根據員工的爆料,索尼影業並沒有真正的資安投資,例如,最基本的檔案保護,沒有進行加密,甚至也沒有做到密碼保護,也難怪如此容易就讓駭客得逞。其實不只索尼影業,可能大部分的企業對於資料安全,都只抱持著「求有」的心態,但這樣的觀念,一旦發生資料外洩的情事,造成的損失往往難以估計,最怕的就是連動公司股價應聲下滑。
Verizon每年都會針對資料外洩的議題,提出「資料外洩調查報告」 ,今年的報告調查了將近80,000起事件 ,並進行的詳細的分析,當中發現最常遭受感染的企業和上個年度幾乎一樣,尤其是前三名完全沒有變動,依然是公共業、資訊業、和金融服務業,這80,000起事件中,其中有2,122起是已經確定的資料外洩事件,報告也揭露了幾個趨勢。
網路惡意攻擊者一樣愛老花招
我們以為網路攻擊的花招百出,但大家中標的方式往往是傳統的「網路釣魚」,Verizon就發現有 23% 的收件者現在正在開啟網路釣魚訊息,另有 11% 正在打開附件。而情況只會每下愈況, 平均來說,網路釣魚活動只需要 82 秒就可以收到第一次點擊,網路攻擊比你想的還要容易。而常見的網路攻擊模式有九種:
- 從銷售點入侵(例如:POS機,點餐機器就是POS機的一種)
- 犯罪軟體
- 網路間諜活動
- 內部人員與特權濫用
- Web應用程式
- 實體的竊盜與遺失
- 卡片測錄
- 其他錯誤(例如:不小心把機密資料寄給企業外部人士)
- 阻斷式網路攻擊(如:殭屍網路)
這九種攻擊的型態是去年Verizon歸納出來的,而今年96%的資料外洩還是以這幾種模式進行,只能說即使老馬變不出新把戲,企業上當的比率還是很高,而且同一份研究也發現,大約6成的事件中,攻擊者只要幾分鐘的時間就可以癱瘓企業的系統,但企業往往要花更多的時間才會發現有網路攻擊,發現資料外洩的機率比攻擊花上的時間還要低,這樣的情況不得不令人擔憂。
資料外洩成本取決於外洩的資料類型
那麼這些資料外洩會造成多大的企業損失?Verzion就分析將近 200 筆發生資料外洩的保險索賠,如果單記每一筆記錄的平均成本,平均是0.58美元。以此為標準,再經由模型計算過,每 100 筆遺失記錄的預估外洩成本會達到 25,445 美元 (每筆記錄 254 美元),增加到 1 億筆遺失記錄時,則會增加到將近 900 萬美元 (每筆記錄 0.09 美元)。 實際的外洩成本當然不只取決於遺失記錄的數量,更關鍵的是遺失資料的類型,從信用卡資料到醫療記錄等,愈機密、愈個人化的資料,外洩所造成的損失往往就愈高。
新型網路潛在危險仍有
有的企業可能會擔心員工使用無線裝置,或是企業內部物聯網可能會讓資料外洩,不過Verizon發現去年只有0.03%的無線裝置受到威脅,但並不代表未來不會成為攻擊目標,如果企業擔心資料外洩安全,還是可以及早準備,因應的方傳送應該以加密和匿名形式進行,最後要記得將資料區隔開。
Verizon完整產業報告、全面的「健檢」服務
這樣看下來,可能很多企業主都會開始擔心企業的內部資料安全,但又不知道要從哪裡開始著手,也不確定自己的產業目前的頭號威脅是什麼,可以先透過索取雲端產業報告書、瞭解趨勢,不管你是金融服務業,幫助客人操作金融產品;還是擁有連鎖商店的零售業,目前最操的醫療照顧業,傳統製造與汽車業,到運輸、科技、旅遊觀光,甚至如我們網站的媒體業,Verizon都有產業報告書可供你檢閱。
大概瞭解產業、企業可能面對的風險後,接著再申請網路及安全性檢測,Verizon會對企業內部做全面的「健檢」,從安全、網路、雲端、通訊、到行動力,都有相對應的解決方案,幫助你的企業建立最完整的資料安全機制。