转载

Verizon报告称两成数据泄露皆因“杂项错误”

根据Verizon发布的2016年数据泄漏调查报告(DBIR)，最近几年各类组织泄露的数据泄漏事件增长迅速。主要原因是很多组织机构的安全措施仍然是几十年以前的了。根据Verizon报告，数据泄露的主要原因是“杂项错误”，也就是那些员工所犯的各种错误使得攻击者有机可乘。

对于那些一直关注最近美国医院所遭受的加密勒索软件的人来说，这样的发现并不意外。系统配置错误、终端用户意外发送敏感信息、用户错误点击。。。这些错误占到了2015年数据泄露时间的18%，并且对于那些没有被爆出的事件，这类原因也有可能是主要因素。

多重验证非常必要

那些“已确认”的安全事件中，63%的情况是黑客利用了弱口令、默认口令或者通过钓鱼等其他手段获得的密码。也就是说，如果网站使用除用户名密码之外的其他验证方式，2015年超过半数的数据泄露事件就不会发生了。

从检测泄露的速度来看，攻击者现在显然已经超过了“保护者”，而且更多情况下公司只有在别人告知后才发现数据泄漏。根据Verizon的报告，82%的情况下黑客开始尝试攻击几分钟系统就被攻陷了，只有3%的数据泄漏是立即发现的，大部分情况下都是几周后才发现的，25%不到是在“少于几天内”发现。

对于泄露的内部检测实际上越来越糟了，绝大部分的数据泄漏都是由外人发现的——其中包括执法部门、信用卡公司的欺诈检测部门和其他第三方部门。

当黑客使用恶意软件或者入侵来进入别人的系统，零日漏洞起到的作用很小。大部分涉及漏洞利用的泄露事件利用的是已知的漏洞，并且85%的漏洞利用攻击使用到了10个漏洞（尽管有人质疑这个漏洞列表）。

根据Kenna安全提供的数据，Adobe Flash和Acrobat的漏洞是被攻击者最快利用的漏洞，大部分的exp在漏洞披露几天或者几周之后就出现了。微软的漏洞利用就会慢一些，苹果的exp大约公告150天会发布，而Mozilla则要200天。

出现这样情况的原因之一是经济方面的原因，相比苹果和Mozilla，对Adobe和微软展开攻击范围会更广。厂商即使发布补丁会大幅减少用户遭受攻击的可能。

*参考来源： Ars ，FB小编Sphinx编译，文章有修改，转载请注明来自Freebuf黑客与极客（FreeBuf.COM）

原文 http://www.freebuf.com/articles/database/103093.html

正文到此结束

所属分类：编程技术

本文标签： 苹果数据 db 黑客软件 tab UI 数据泄露 2015 编译配置组织文章安全 HTML http 医院时间 src 网站漏洞 sphinx 美国微软
版权声明： 本文为互联网转载文章，出处已在文章中说明(部分除外)。如果侵权，请联系本站长删除，谢谢。
本文海报： 生成海报一生成海报二

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。