粉絲團
賽門鐵克報告突顯資安防護需由內而外的全面管理
賽門鐵克最新網路安全報告顯示,「駭客攻擊」、「內部人員疏失」和「資料遺失」是企業資料外洩的主要原因,其中,「內部人員疏失」和「資料遺失」等內部人為因素與「駭客攻擊」等外部攻擊的比例相當。這突顯了資訊安全防護是一項全面性的管理,須包含主機安全防護、資料加密、資料外洩防護、日誌管理,以至全面的裝置管理和資安政策教育,都要面面俱到。
新版個資法已於 10 月 1 日正式生效,但仍有許多企業不了解施行細則的意義,或是對資訊安全防護措施是否完備充滿疑惑。今天賽門鐵克提供資料安全防護教戰守則,從法律面探討新版個資法為企業帶來的挑戰,並針對尚未著手因應個資法施行的企業,將資料外洩的威脅分成一般員工、企業間諜、外部駭客等三個層面一一剖析,再從資料安全、個資盤點、設備安全及資料稽核四個方向,為資安防護準備提出最迅速有效的管理方式。
資安防護是全面性的安全管理,抵禦入侵與內部防禦同等重要
調查顯示,自 2012 年 1 月到 8 月期間的資料外洩案件數來看,大約有四成( 40.6 %)是駭客攻擊的結果,近幾年駭客猖獗,這樣的結論毫不令人意外。然而,另一個引人注目的發現是「內部人為疏失」造成的資料外洩案件也佔了四成多( 48.2 %)的比例,包含了內部人員疏失( 21.4 %)、資料遺失遭竊( 18.8 %)及蓄意偷取資料( 8 %)。究其真實狀況,包括行動裝置遺失、經由外接儲存裝置造成的資料外洩、企業內部間諜、因訪客與廠商造成的資料外洩,以及資訊安全教育的不足等等。這結論反映了資訊安全防護是一項全面性的管理,抵禦入侵與內部防禦同等重要。
擁有高敏感個資的產業最易成為駭客目標
根據去年( 2011 年)的調查結果,每 10 筆遭外洩的資料就有 8 筆是來自資訊科技及電腦軟體產業;但今年的調查結果顯示(如圖 2 ),資料外洩數量的前兩名已被零售業( 40 %)及電信業者( 15 %)取代。
然而,如從資料外洩事件的次數的角度檢視,卻無法反映外洩資料規模與資料外洩事件的頻率有正比關係。例如,下圖中醫療產業遭外洩的資料數量僅占總外洩資料筆數的 2.7 %,但該產業的資料外洩事件數量卻不成比例-若以資料外洩次數來看,醫療產業發生資料外洩案件最為頻繁,佔事件總數的 34.1 %。醫療紀錄屬於高度敏感資料,這個例子說明,頻繁的攻擊次數雖未造成大量的資料外洩,卻讓較少量的高敏感個資曝光,正好說明了資料外洩的數量無法正確反映外洩資料的敏感性。
企業應提防小而準的資料外洩事件
總的來說,資料外洩事件數量雖無太大的改變( 2011 年每月平均 16.5 次, 2012 年下降到 14 次),然而,資料外洩事件的平均資料外洩筆數卻大幅減半:去年( 2011 ) 5 月至 12 月間單次資料外洩事件導致的資料外洩筆數平均超過 131 萬筆,而今年卻大幅降低至約 64 萬筆。究其原因,可能由於 2011 年的大型惡意網路攻擊影響,讓越來越多的大型企業開始重視客戶紀錄資料庫的保護,但也有可能是因為駭客不再只是鎖定大型企業,轉而瞄準較有價值的資料儲存處出手。這顯示了若要遏止資料外洩,企業採取的措施還不夠。
賽門鐵克網路安全情報機構( Symantec Intelligence )
賽門鐵克網路安全情報機構是一個具公信力的資料分析機構,提供最新的資安事件、趨勢及數據分析報告。賽門鐵克雲端安全情報機構( Symantec.cloud Intelligence )則透過各種資料來源,包括賽門鐵克全球安全情報網絡( Symantec Global Intelligence Network )、 Symantec Probe Network (一個有五百萬個誘騙帳號的系統)、 Symantec.cloud 以及數個賽門鐵克安全技術機構,來提供全球資安威脅的各種資訊。 Skeptic ™是一款賽門鐵克雲端( Symantec.cloud )的專利技術,使用預示分析法來偵測新的或高複雜度的攻擊威脅,採用 Skeptic ™這項專利技術的企業機構超過 55,000 個,客戶遍佈中小企業及全球 500 大,計有超過 1,100 萬名終端使用者受惠於這項技術而免於安全威脅。
