Verizon近日發(fā)布了《2013年度數據泄露調查報告》 （DBIR）。Verizon在報告中指出2013年是“零售業(yè)數據泄露年”，而對該年的綜合評估顯示2013年對支付卡系統的大規模攻擊正在取代地緣政治攻擊成為數據泄露事件的主角。Verizon的報告內容主要針對企業(yè)用戶(hù)，但是也為個(gè)人用戶(hù)給出了新安全形勢下的個(gè)人信息安全防護建議。

Verizon在報告中指出，調查采樣的10萬(wàn)次數據泄露安全事件中，92%的攻擊手段都屬于以下九大攻擊手段范疇：

1. 人為失誤，例如把郵件發(fā)給了錯誤的人

2.犯罪軟件（各種以控制系統為目的的惡意軟件）

3. 內部人員/權限濫用

4.物理失竊/丟失

5.Web應用攻擊

6.DoS拒絕服務(wù)攻擊

7.網(wǎng)絡(luò )間諜

8.PoS入侵

9.支付卡信息竊取

報告通過(guò)分析過(guò)去10年的海量安全數據，發(fā)現大多數企業(yè)的安全管理和防護都無(wú)法跟上網(wǎng)絡(luò )犯罪的腳步，入侵企業(yè)只需要數分鐘或數小時(shí)，而企業(yè)發(fā)現和識別攻擊則需要數周甚至數月；通過(guò)基于大數據分析的安全風(fēng)險管理，企業(yè)將能更有有效地對抗網(wǎng)絡(luò )犯罪。

以下是DBIR報告的關(guān)鍵發(fā)現：

*網(wǎng)絡(luò )間諜大增，2014年第一季度比2013年同比暴增三倍。此類(lèi)攻擊最為復雜，往往糅合多種攻擊手段。  來(lái)自東歐的網(wǎng)絡(luò )間諜活動(dòng)顯著(zhù)增長(cháng)，占比超過(guò)20%，僅次于中國。

*報告首次分析了拒絕服務(wù)攻擊，指出DDoS攻擊過(guò)去三年都保持強勢增長(cháng)。

*使用失竊賬戶(hù)密碼依然是非法獲取信息的最主要途徑。三分之二的數據泄露都與漏洞或失竊密碼有關(guān),這進(jìn)一步凸顯了兩步認證的必要性。

*零售業(yè)的PoS攻擊持續下滑，情形與2011年類(lèi)似。

*雖然外部攻擊一軟超過(guò)內部攻擊，但是內部攻擊有抬頭趨勢，尤其是與知識產(chǎn)權有關(guān)的內部攻擊。報告指  出85%的內部攻擊使用了企業(yè)局域網(wǎng)，22%都利用了物理訪(fǎng)問(wèn)的機會(huì )。