赛门铁克称过去的2013年为大规模数据泄露之年,“2013年超过5.52亿条身份信息被泄露”,赛门铁克最新发布的第十九期《互联网安全威胁报告》揭示的数据显示,泄露数据的数量是2012年的4倍。
值得一提的是,2012年至2013年间,大规模数据泄露事件从1起增至8起,每次泄露的的身份信息都超过千万。赛门铁克中国区安全产品总监卜宪录说,“这也许只是冰山一角,真实泄露的数据次数和规模比这个还大。”
如此庞大的数据泄露意味着,黑客不仅知道他们的邮箱地址,还可能知道他们的家庭住址、电话号码、身份证号,甚至是信用卡号和银行帐号。
此外,报告中还指出,2013年针对性的网络攻击活动增多,恶意软件不断升级,移动设备和风险并存爆发,网络漏洞助长网络攻击,未来针对物联网的威胁开始明显。
安全漏洞导致的身份泄露增长了493%,勒索软件攻击在2013年增长了500%,并且更加恶劣,新版本的勒索软件会将用户文件加密作为勒索筹码。赛门铁克发现的新漏洞增加了28%,发现的新零日漏洞增加了64%,针对性的目标性攻击在2013年增加了91%,攻击者利用鱼叉钓鱼和受感染的合法网站,无声无息地锁定受害者。
赛门铁克发现,针对性的攻击精心策划的特性更加明显。以往此种攻击的邮件往往是刺探性的或大量的随机发送。“现在黑客会根据不同的时间段,向目标发一些跟随性的邮件,有至少3或4项相关的内容。围绕着一个目标,有针对性的、时间上有关联性的采取一系列的措施,使目标人很容易相信这是一个真实的事情。这样一系列的精心策划攻击使得攻击成功率在提升。”卜宪录说。
中小企业越来越成为受攻击的重点,在2013年这个趋势得到了进一步的强化。在2012年,员工2500人以下的中小企业占比50%,2013年这个比例提高到了61%。“中小型企业日益成为供应链上的一个重要环节,跟大型企业都有了业务来往,这是一个生态系统。中小型企业在防范意识和方法上需要提高。”
网络漏洞方面,2013年,零日漏洞数自2012年的14个增加到23个,“自我们开始记录以来,2013年是发现零日漏洞数最多的一年,数量超过12年和11年之和。”
卜宪录指出,“如果分析下网站漏洞,合法网站中,2012年有53%的网站是有漏洞的,到了2013年这个比例提高到了接近78%,换句话说八成的合法网站有漏洞。每8个漏洞里有1个是很严重的漏洞,这些漏洞很容易被黑客加以利用,形成比较大的损失。”
因为在这些合法网站中,漏洞的比例很高,以至于形成一个有趣的现象。在2013年恶意网站的攻击现象反而下降,因为攻击者们认为充分利用合法网站做漏洞来得更方便。所以反而在2013年新的恶意网站域名比2014年有了明显的下降。
另外,在2013年,66%的电子邮件属于垃圾邮件,尽管这是三年来最低的比例,但是通过电子邮件持续散播攻击的数量明显上升,每196封电子邮件中就有一封包含恶意软件,每392封电子邮件中就有一封是网络钓鱼攻击。2013年移动操作系统中发现的漏洞数量减少了68%,尽管如此,仍有38%的移动用户遭遇过网络犯罪。
2013年攻击不断入侵PC,赛门铁克发现,黑客还将目标瞄准了很多其他与互联网连接的设备,例如,移动设备、安全摄像头、路由器和其他设备。“万物互联,风险可以想见比以前更大。”卜宪录说,针对监控摄像头和婴儿监视器的攻击已经被证实是实实在在的发生过。还有一些比如针对电视、汽车、医疗设备的攻击,也已经有研究人员或者公司证明它们是可以被攻击的。
前段时间媒体报道冰箱开始发送垃圾短信,虽然经过赛门铁克分析是一种误读,但这种潜在威胁是存在的。卜宪录说,针对路由器的攻击也成为了对家庭内部设备攻击的发起点。此外,可穿戴设备使每个人的隐私和数据在互联网上存储,也会带来更多隐藏的风险。