中美IT 安全对比：数据窃贼两地作案

病毒和蠕虫不再是最让人烦恼的安全问题，原本潜在水面之下的数据窃贼也开始兴风作浪。
《信息周刊》网络版     Larry Greenemeier,InformationWeek
发表时间：2007-9-14

---

例如在调查中，对70%的美国受访者来说，觉得今年更易受到攻击的首要原因是日益复杂，手段高明的攻击，包括SQL注入攻击。这是一种针对网站提交的数据请求进行攻击的技术，SQL注入的目的只有一个：通过访问网站应用从数据库里偷取信息。

============  图  =================
为什么您所在公司的IT系统比一年前更易受到安全攻击？

70%   安全威胁的手段更高明，比如SQL注入漏洞
58%   攻击公司网络的途径更多，包括无线攻击
49%   攻击的数量增加
36%   更多恶意企图（比如身份盗窃、数据破坏、敲诈勒索等）

数据来源：《InformationWeek》与埃森哲咨询公司合作进行的2007年“全球信息安全调查”。全球3,092位商业科技和安全专业人士参与调查。该数据来自认为今年会更易受攻击的720位美国受访者。
============  图  =================

紧随其后的3个原因是：攻击公司网络的途径增多（包括无线接入点）；攻击数量的增加；攻击者更多地出于恶意目的（如数据偷窃、数据毁坏、勒索等）。我们的调查显示，尽管网络攻击的主要后果常常是网络瘫痪，但受访者认为攻击的主要目的与其说是令网络瘫痪，还不如说为盗窃财产（如客户或企业数据）。只有13%的美国受访者认为他们最重视的3类攻击包括DOS（Denial of Service，拒绝服务攻击）和其他损害网络的攻击。这个数字比去年的26%大大降低。而在中国，仅有比该比例略高的受访者担心DOS攻击。

某些安全专家也许过于乐观或是无知。僵尸网络（Botnets）可以远程控制IT资源（编者注：例如个人电脑），用于发动攻击和窃取信息（参见
《逃离僵尸网络》）。尽管目前还只有10%的美国受访者和13%的中国受访者把他列入最主要的3类攻击方式之一，这种安全威胁在去年的调查中已经上榜。对此安全意识的不足也许是因为公司通常没有意识到他们受到僵尸网络的感染，而这也正是僵尸网络控制者所希望的。

同样地，病毒、蠕虫和钓鱼欺骗是美国受访者最看重的3类安全漏洞。身份盗窃位列其中的第七位。但这不代表可以忽视身份盗窃的威胁。身份盗窃和欺诈对发生过数据泄露的公司来说就是最糟糕的噩梦，而还没有发生这类事故未必意味着安全措施足够，也许仅仅不过是运气问题。TJX公司就非常不走运，该公司IT系统中的457万客户记录几年前遭到偷窃，直到今年早些时候才在美国佛罗里达州被发现。这些信息被用来制作伪造的信用卡，并在几个沃尔玛商场欺诈消费了几百万美元。去年数据泄密的一个典型的案例就是退伍军人事务部的数据失窃案，该机构的一台笔记本电脑在一位员工的家里失窃，其上有2,700万条记录，但到目前为止，还没有发现任何身份盗窃和欺诈活动与这起安全事故相关。

另一个数据安全日益获得重视的标志是：美国受访者衡量安全投资回报时最看重的是可以削减多少与安全问题相关的工作时间（43%的受访者），第二优先考虑的是这些安全措施能否更好地保护客户记录（35%的受访者），排在第三位的是能减少的安全漏洞数量（33%）。
也许整个调查里最令人震惊的是，将近四分之一的美国受访者根本不评估他们的安全投资回报。