360CERT在此前就对数据泄漏事件进行过汇总并针对用户和企业提出了应对数据泄漏的具体措施。
详见:360CERT2017年发布的安全报告——数据泄密
2017年度安全报告——数据泄密完整版下载:
摘要
近年来,全球各地无论是政府组织还是知名企业,频繁被爆出大规模数据泄露事件,尤以信息化程度发达的国家更为严重。2017年全年有大量重大泄密的事件发生,与之前的数据相比,数据隐患并不令人乐观。2017年6月IBMSecurity和PonemonInstitute两家研究机构针对13个国家和419家公司进行调研并形成“2017年数据泄露成本调研:全球概述”报告。通过调研显示数据泄露总成本达到362万美元。
2017年10月,威瑞森电信公司(Verizon)又发布了一年一度的《2017年的数据泄露调查报告》,这份最新报告总共分析了42068个安全事件以及来自84个国家的1935个漏洞。在数据泄露原因方面,62%的数据泄露与黑客攻击有关;81%的的数据泄露涉及到撞库或弱口令。2017年12月,360CERT通过大量数据调研和成本分析,对于含有敏感信息和机密信息的记录,发现数据泄露问题变的很严重,全年数据泄露事件的平均规模上升2%,财产损失高达上亿。
2017年重大数据泄露事件
1、全球最大管理咨询公司埃森哲大量敏感数据泄露
2、德勤500万数据泄漏,竟因员工将G+公开平台当记事本(28日更新)
3、搞事情!影子经纪人响应团队正在为NSA泄露工具进行公开众筹
4、Equifax美国征信机构数据泄露
5、Uber为5700万份数据向黑客买账
6、绝密文件!100G!泄露!NSA!AmazonS3!
7、五角大楼AWSS3配置错误,意外暴露18亿公民信息
8、雅虎30亿帐号或已全部泄露,政监机构参与调查
9、南非3000多万份个人信息遭公布或包括总统和部长
10、维基解密公布CIA用于追踪泄密者的源代码
11、韩最大加密货币交易所被黑客攻击:3万客户数据泄露
12、趣店数百万学生数据泄露,称或遭内部员工报复
2017重要数据统计
1、数据泄密的流程
数据泄露的流程整个流程可以分为:拖库、洗库、撞库。
3、数据泄密的影响因素
A:成本因素。B:丢失的记录数量。C:行业客户流失。
4、数据泄密的类型
5、行业数据比重
在行业分布上,金融行业依然首当其冲,24%的数据泄露事件和金融机构有关;其次是医疗保健行业15%;再往后是销售行业15%以及公共部门12%。其中医疗行业是勒索的重灾区,真可谓“不给钱就撕票”。
6、数据泄露的主要采取的手段
导致数据泄露的主要手段分为技术手段(黑客入侵、软件漏洞、恶意木马)、非技术手段(内部人员泄密、非有意识泄密)。
7、组织出现其他数据泄露事件的可能性
组织在数据泄密整个过程中起了很大的作用,据数据统计,内部威胁占25%,75%是外部攻击导致。在外部攻击中,51%的网络攻击涉及到有组织有计划的犯罪集团。18%的外部攻击涉及国家背景。
41G密码泄露和暗网
近日,360CERT(网络安全响应中心)监测到国外reddit论坛上公开了一份长期在暗网中交易的数据文件。该数据文件包含14亿条明文的用户名和密码。这可能是迄今为止被公开的最大规模的数据泄密文件。根据对暗网中公开的泄露数据统计,360网络安全响应中心统计出100个最常见的弱密码,这些弱密码非常容易被黑客破解,快来看看你是不是正在用着弱密码吧!
原文链接:41G密码泄露和暗网
总结
从上述总结的政企数据泄密事件来看,主要的泄密风险除了黑客攻击、木马病毒、钓鱼网站等外部因素,缺乏整套行之有效的安全管理系统、内部员工泄密以及内部管理等内部因素成为引发的数据泄密事件的主要诱因。泄密领域也进一步扩大,掌握大量民众个人信息的金融行业依旧是数据泄露的“重灾区”。
个人在面对数据泄露事件时,要提高自身的安全意识并采取合理的措施来避免问题的扩大化。个人用户要根据网站,设备重要等级分级使用多个独立高强度密码,定期变更密码,及时到数据泄露的公开网站进行自查。
大安全时代,数据泄露事件并不是单一厂商的密码泄露,而是一直以来或明或暗的安全事件的总体,个人,信息安全行业,公司实体都无法置身事外,需要建立一个协同联动的机制和体系。