赛门铁克最新的《互联网安全威胁报告》总结了2015年网络安全的方方面面,报告认为网络罪犯正在走向公司化,这并不是指其攻击行为,而是指他们像一个企业一样力求建立最佳实践以及开展各种业务活动。
由此而导致的其他活动也同样令人不安的。在2015年里,零日攻击大增54倍(有史以来最高)。恶意软件新变种达4.3亿之多。
其他可具体衡量的各种结果令人生畏,包括有史以来最大的数据泄露,1.91亿个登记的美国选民记录由于数据库未能正确配置遭泄露。2015里,还发生了创纪录的九大泄漏(最低1000万记录),4.29亿个身份被盗,密码勒索软件攻击增长了35%,其他人们熟知的骗局死灰复燃,包括上升了200%的虚假技术支持诈骗。
但赛门铁克的研究人员考量的并不只是黑客的行为。他们还注意到被黑客攻陷的公司并不总是对事件作出准确的报告。
赛门铁克安全响应总监Kevin Haley在发布报告结果时表示,“越来越多的公司在被黑客攻陷后,选择不公开关键细节,这是一个令人不安的趋势。透明度对于安全来说十分关键。如果不能掌握受攻击的全部影响,要评估其风险、提高以后的安全态势以防止未来的攻击就会有难度。”
赛门铁克的研究人员给用户的警戒是,要摈弃坏习惯,比如共享密码。研究表明,共享密码的用户中超过三分之一的人会共享他们的银行密码。
但在最多被泄露数据的前10中,密码处于底部。与2014年比较,2015年的密码泄露已下降至11%,而2014年该数据为13%(密码泄漏排第9)。赛门铁克研究人员重复了密码选择法的建议,他们呼吁,密码的长度至少8-10个字符,含字母和数字混合,用户应停止使用过去用过的密码,每90天换一次密码。
赛门铁克研究人员呼吁云服务有效管理数据和控制访问,最好使用双因素身份验证。然而,报告也提到,在2015年的网络攻击里,有些攻击用到复杂的社交工程以绕过通过移动设备短信服务发送代码的双因素身份验证。
网络攻击中收集的最常见数据是真实名字,78%的数据泄露事件是真实名字被窃取。30%至40%的数据泄露涉及到家庭地址、出生日期、政府身份证、医疗记录和财务信息,而10%至20%是电子邮件地址、电话号码、保险信息和用户名/密码。
赛门铁克研究人员在报告里提到,坊间关于攻击物联网(IoT)类可行性攻击实验和物联网攻击有增长趋势。该问题的成因通常是在实现身份验证和加密(或是缺乏加密)时使用了的不适当的设计,包括远程接管汽车、无钥匙进入系统改装、智能家居设备、医疗设备、智能电视和嵌入式设备。
赛门铁克的研究人员为企业提供了如下最佳实践:
- 教育用户安全使用社会媒体。
- 鼓励用户在网站或应用程序中尽可能采用两步验证。
- 确保用户用的电子邮件帐户密码、应用程序密码和登录密码是各不相同的,特别是在与工作相关的网站和服务里要这样做。
- 提醒用户要根据常识作出判断。
- 鼓励员工在碰到任何可疑的事情时提高警惕。
