犯罪分子紧盯行业关键数据 网络安全防御从何做起?

Posted 2021-05-27 中科天齐软件原生安全

Verizon发布的数据泄露调查报告(DBIR)，2020年漏洞数量创下历史新高，而且85%的数据泄露事件都是人为错误导致的。在今年的报告中，Verizon分析了来自世界88个国家及地区的79,635起事件，涉及11个行业的数据泄漏情况。报告揭示了全球新冠病毒大流行期间最常见的网络攻击形式(钓鱼、DoS、勒索软件等)及其如何影响国际安全格局。

85%的数据泄露事件都是人为错误导致

在远程办公的网络情况下，网络钓鱼的违规行为比去年增加11%，占比达36%，勒索软件也比前一年增加6%，同时Web应用程序的攻击占比未39%。

数据还显示，61% 的网络安全漏洞涉及凭证数据，95%的组织遭受凭证填充攻击，在一年时间经历637至33亿次恶意登录尝试。同以往一样，安全意识薄弱人为疏忽仍然是对安全的最大威胁。85% 的违规行为涉及人为因素，超过80%的违规行为是由外部各方发现的。

Verizon Business首席执行官Tami Erwin称，疫情让企业加速上云，这使得网络攻击者开始利用这些漏洞，同时由于对数字基础架构的依赖性增加，此类攻击对业务的潜在威胁愈加明显。

网络攻击损失不等

数据显示，大多数攻击事件——42%的BEC商务邮件攻击、76%的计算机数据泄漏(CDB)和90%的勒索软件攻击，并未造成财务损失。

不同行业数据泄露重点不一

尽管同样面临数据泄漏的危险，但不同行业之间也存在明显差异。在金融和保险行业中，被泄露的数据中有 83% 是个人数据;而在专业、科学和技术服务中，只有 49% 是个人数据。医疗保健行业中，最主要的困扰还是围绕在电子或纸质文件的错误交付方面(占比 36%)。零售业依旧是经济犯罪分子的重要目标之一，犯罪分子寄希望于利用钓鱼软件和欺诈短信来进行资金转移。

防范网络安全任重道远

多种数据表明，缺乏安全意识、违规操作是数据泄露主要原因;个人敏感数据仍是泄露的主要内容;勒索攻击会持续影响着关键行业。近年来，信息泄露或数据泄露屡见不鲜。前几天，印度航空遭黑客攻击，450万客户信息被泄露;上个月，拥有超7亿注册用户的职场社交平台LinkedIn遭遇大规模数据泄露，数据被公然放在黑客论坛进行售卖。

统计显示，当前全球有将近三万个未受保护的数据库，而中国就有一万两千多个未受保护的数据库，远大于位居第二的美国和位居第三的德国。这说明我国在强化数据信息保护维护网络安全上任重道远。

如何做好网络安全建设?

一、加强安全意识培训

加强安全意识培训并强化内部安全管理，可以有效提升自身防护能力。首先，应对系统中出现的漏洞要及时打好补丁减少来自漏洞的威胁，其次在公共区域谨慎连接无线网络，必要时进行数据加密。最后，要定期进行网络安全培训，增强自身数据保护意识，快速甄别钓鱼软件。

二、做好技术保护策略

对敏感数据要及时加密和备份，无论在存储情况下还是进行数据传输。同时建立整体安全管理体系，数据防泄漏系统、邮件加解密系统、垃圾邮件过滤系统、数据备份等系统。软件安全是网络安全的基础防线，针对系统漏洞，通过静态代码检测扫描代码缺陷，及时修正问题提升代码质量与规范，降低软件中已知/未知漏洞的安全威胁，从而有效提升应对网络安全风险的抵御能力。