ZD至頂網安全頻道 04月14日 編譯:賽門鐵克最新的《網際網路安全威脅報告》總結了2015年網絡安全的方方面面,報告認為網絡罪犯正在走向公司化,這并不是指其攻擊行為,而是指他們像一個企業一樣力求建立最佳實踐以及開展各種業務活動。
由此而導緻的其他活動也同樣令人不安的。在2015年裡,零日攻擊大增54倍(有史以來最高)。惡意軟體新變種達4.3億之多。
其他可具體衡量的各種結果令人生畏,包括有史以來最大的資料洩露,1.91億個登記的美國選民記錄由于資料庫未能正确配置遭洩露。2015裡,還發生了創紀錄的九大洩漏(最低1000萬記錄),4.29億個身份被盜,密碼勒索軟體攻擊增長了35%,其他人們熟知的騙局死灰複燃,包括上升了200%的虛假技術支援詐騙。
但賽門鐵克的研究人員考量的并不隻是黑客的行為。他們還注意到被黑客攻陷的公司并不總是對事件作出準确的報告。
賽門鐵克安全響應總監Kevin Haley在釋出報告結果時表示,“越來越多的公司在被黑客攻陷後,選擇不公開關鍵細節,這是一個令人不安的趨勢。透明度對于安全來說十分關鍵。如果不能掌握受攻擊的全部影響,要評估其風險、提高以後的安全态勢以防止未來的攻擊就會有難度。”
賽門鐵克的研究人員給使用者的警戒是,要擯棄壞習慣,比如共享密碼。研究表明,共享密碼的使用者中超過三分之一的人會共享他們的銀行密碼。
但在最多被洩露資料的前10中, 密碼處于底部。與2014年比較,2015年的密碼洩露已下降至11%,而2014年該資料為13%(密碼洩漏排第9)。賽門鐵克研究人員重複了密碼選擇法的建議,他們呼籲,密碼的長度至少8-10個字元,含字母和數字混合,使用者應停止使用過去用過的密碼,每90天換一次密碼。
賽門鐵克研究人員呼籲雲服務有效管理資料和控制通路,最好使用雙因素身份驗證。然而,報告也提到,在2015年的網絡攻擊裡,有些攻擊用到複雜的社交工程以繞過通過移動裝置短信服務發送代碼的雙因素身份驗證。
網絡攻擊中收集的最常見資料是真實名字,78%的資料洩露事件是真實名字被竊取。30%至40%的資料洩露涉及到家庭位址、出生日期、政府身份證、醫療記錄和财務資訊,而10%至20%是電子郵件位址、電話号碼、保險資訊和使用者名/密碼。
賽門鐵克研究人員在報告裡提到,坊間關于攻擊物聯網(IoT)類可行性攻擊實驗和物聯網攻擊有增長趨勢。該問題的成因通常是在實作身份驗證和加密(或是缺乏加密)時使用了的不适當的設計,包括遠端接管汽車、無鑰匙進入系統改裝、智能家居裝置、醫療裝置、智能電視和嵌入式裝置。
賽門鐵克的研究人員為企業提供了如下最佳實踐:
教育使用者安全使用社會媒體。
鼓勵使用者在網站或應用程式中盡可能采用兩步驗證。
確定使用者用的電子郵件帳戶密碼、應用程式密碼和登入密碼是各不相同的,特别是在與工作相關的網站和服務裡要這樣做。
提醒使用者要根據常識作出判斷。
鼓勵員工在碰到任何可疑的事情時提高警惕。
原文釋出時間為:2016-04-14
本文作者:李超
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。
![【圖解HTTP】——確定Web安全的HTTPSHTTPS小結[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)