Verizon近日發(fā)布了《2013年度數(shù)據(jù)泄露調(diào)查報(bào)告》 （DBIR）。Verizon在報(bào)告中指出2013年是“零售業(yè)數(shù)據(jù)泄露年”，而對(duì)該年的綜合評(píng)估顯示2013年對(duì)支付卡系統(tǒng)的大規(guī)模攻擊正在取代地緣政治攻擊成為數(shù)據(jù)泄露事件的主角。Verizon的報(bào)告內(nèi)容主要針對(duì)企業(yè)用戶，但是也為個(gè)人用戶給出了新安全形勢(shì)下的個(gè)人信息安全防護(hù)建議。

Verizon在報(bào)告中指出，調(diào)查采樣的10萬(wàn)次數(shù)據(jù)泄露安全事件中，92%的攻擊手段都屬于以下九大攻擊手段范疇：

1. 人為失誤，例如把郵件發(fā)給了錯(cuò)誤的人

2.犯罪軟件（各種以控制系統(tǒng)為目的的惡意軟件）

3. 內(nèi)部人員/權(quán)限濫用

4.物理失竊/丟失

5.Web應(yīng)用攻擊

6.DoS拒絕服務(wù)攻擊

7.網(wǎng)絡(luò)間諜

8.PoS入侵

9.支付卡信息竊取

報(bào)告通過(guò)分析過(guò)去10年的海量安全數(shù)據(jù)，發(fā)現(xiàn)大多數(shù)企業(yè)的安全管理和防護(hù)都無(wú)法跟上網(wǎng)絡(luò)犯罪的腳步，入侵企業(yè)只需要數(shù)分鐘或數(shù)小時(shí)，而企業(yè)發(fā)現(xiàn)和識(shí)別攻擊則需要數(shù)周甚至數(shù)月；通過(guò)基于大數(shù)據(jù)分析的安全風(fēng)險(xiǎn)管理，企業(yè)將能更有有效地對(duì)抗網(wǎng)絡(luò)犯罪。

以下是DBIR報(bào)告的關(guān)鍵發(fā)現(xiàn)：

*網(wǎng)絡(luò)間諜大增，2014年第一季度比2013年同比暴增三倍。此類攻擊最為復(fù)雜，往往糅合多種攻擊手段。  來(lái)自東歐的網(wǎng)絡(luò)間諜活動(dòng)顯著增長(zhǎng)，占比超過(guò)20%，僅次于中國(guó)。

*報(bào)告首次分析了拒絕服務(wù)攻擊，指出DDoS攻擊過(guò)去三年都保持強(qiáng)勢(shì)增長(zhǎng)。

*使用失竊賬戶密碼依然是非法獲取信息的最主要途徑。三分之二的數(shù)據(jù)泄露都與漏洞或失竊密碼有關(guān),這進(jìn)一步凸顯了兩步認(rèn)證的必要性。

*零售業(yè)的PoS攻擊持續(xù)下滑，情形與2011年類似。

*雖然外部攻擊一軟超過(guò)內(nèi)部攻擊，但是內(nèi)部攻擊有抬頭趨勢(shì)，尤其是與知識(shí)產(chǎn)權(quán)有關(guān)的內(nèi)部攻擊。報(bào)告指  出85%的內(nèi)部攻擊使用了企業(yè)局域網(wǎng)，22%都利用了物理訪問(wèn)的機(jī)會(huì)。