扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
ZD至顶网安全频道 04月14日 编译:赛门铁克最新的《互联网安全威胁报告》总结了2015年网络安全的方方面面,报告认为网络罪犯正在走向公司化,这并不是指其攻击行为,而是指他们像一个企业一样力求建立最佳实践以及开展各种业务活动。
由此而导致的其他活动也同样令人不安的。在2015年里,零日攻击大增54倍(有史以来最高)。恶意软件新变种达4.3亿之多。
其他可具体衡量的各种结果令人生畏,包括有史以来最大的数据泄露,1.91亿个登记的美国选民记录由于数据库未能正确配置遭泄露。2015里,还发生了创纪录的九大泄漏(最低1000万记录),4.29亿个身份被盗,密码勒索软件攻击增长了35%,其他人们熟知的骗局死灰复燃,包括上升了200%的虚假技术支持诈骗。
但赛门铁克的研究人员考量的并不只是黑客的行为。他们还注意到被黑客攻陷的公司并不总是对事件作出准确的报告。
赛门铁克安全响应总监Kevin Haley在发布报告结果时表示,“越来越多的公司在被黑客攻陷后,选择不公开关键细节,这是一个令人不安的趋势。透明度对于安全来说十分关键。如果不能掌握受攻击的全部影响,要评估其风险、提高以后的安全态势以防止未来的攻击就会有难度。”
赛门铁克的研究人员给用户的警戒是,要摈弃坏习惯,比如共享密码。研究表明,共享密码的用户中超过三分之一的人会共享他们的银行密码。
但在最多被泄露数据的前10中, 密码处于底部。与2014年比较,2015年的密码泄露已下降至11%,而2014年该数据为13%(密码泄漏排第9)。赛门铁克研究人员重复了密码选择法的建议,他们呼吁,密码的长度至少8-10个字符,含字母和数字混合,用户应停止使用过去用过的密码,每90天换一次密码。
赛门铁克研究人员呼吁云服务有效管理数据和控制访问,最好使用双因素身份验证。然而,报告也提到,在2015年的网络攻击里,有些攻击用到复杂的社交工程以绕过通过移动设备短信服务发送代码的双因素身份验证。
网络攻击中收集的最常见数据是真实名字,78%的数据泄露事件是真实名字被窃取。30%至40%的数据泄露涉及到家庭地址、出生日期、政府身份证、医疗记录和财务信息,而10%至20%是电子邮件地址、电话号码、保险信息和用户名/密码。
赛门铁克研究人员在报告里提到,坊间关于攻击物联网(IoT)类可行性攻击实验和物联网攻击有增长趋势。该问题的成因通常是在实现身份验证和加密(或是缺乏加密)时使用了的不适当的设计,包括远程接管汽车、无钥匙进入系统改装、智能家居设备、医疗设备、智能电视和嵌入式设备。
赛门铁克的研究人员为企业提供了如下最佳实践:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者