本周，我們不談Struts2補丁漏洞的繞過問題，無論度娘還是谷歌，類似的文章不要太多。我們從更廣泛的角度談?wù)剶?shù)據(jù)泄漏這個老話題。你知道嗎，黑闊對POS系統(tǒng)的入侵，51%是秒入。而防護一方，85%的響應(yīng)時間以周來計算。這還叫什么防護?

[[112321]]

Verizon 2014 Data Breach Investigations Report

也許是Target和Michaels距離我們很遠的緣故，國內(nèi)真正關(guān)注和研究上述兩家公司在去年底和今年初發(fā)生的數(shù)據(jù)泄漏事件的資料并不多。然而，事實上這兩個公司發(fā)生的用戶信息泄露事件是非常嚴(yán)重的。Target用戶支付卡信息泄露涉及4000萬個卡和1.1億的用戶，而且這些卡信息還是在購物旺季丟失的，因此其價值不可估量。Michaels是美國第一大工藝品銷售連鎖商店，在美國和加拿大有超過1100家連鎖店。Michaels的用戶信息泄露規(guī)模到底有多大還沒有一個明確的結(jié)論。入侵很可能是來自跨國黑客組織。這和Target的事件很相像。在Target和Michaels數(shù)據(jù)泄漏事件發(fā)生的同時，另一家美國著名奢侈品商店——Neiman Marcus也發(fā)生了用戶信息泄露事件，據(jù)稱，受影響的用戶達到110萬。

在本周，美國運營商Verizon發(fā)布了“2014 Data Breach Investigations Report ”(以下簡稱DBIR)。作為美國最大的本地電話和無線通信運營商和市值已超過谷歌的巨無霸，其年度數(shù)據(jù)泄露調(diào)查報告在數(shù)據(jù)安全領(lǐng)域具有很重要的參考價值。

首先，看看DBIR的貢獻者列表就已經(jīng)非常震驚了：

毫無疑問，這是一個幾乎完美的全集：包括安全機構(gòu)在內(nèi)的政府部門，金融機構(gòu)、通信運營商、大型企業(yè)、安全研究機構(gòu)、安全公司、商業(yè)咨詢公司。

從數(shù)據(jù)的來源看，DBIR這份報告更是貨真價實。報告收集的數(shù)據(jù)跨度長達10年，有來自全球的50家企業(yè)為報告提供數(shù)據(jù)資料。報告對1367起已確定的與數(shù)據(jù)泄露相關(guān)事件、63437起攻擊事件進行了分析，事件涉及95個國家。

這份長達60頁的年度報告中最有價值的內(nèi)容，毫無疑問，是Verizon在分析重大的數(shù)據(jù)泄漏和攻擊事件后，根據(jù)攻擊模式把數(shù)據(jù)泄露威脅劃分為9大類：分別是：

- PoS系統(tǒng)入侵(POINT-OF-SALE (POS) INTRUSIONS)
- Web應(yīng)用攻擊(WEB APP ATTACKS)
- 內(nèi)部人員/權(quán)限濫用(INSIDER AND PRIVILEGE MISUSE)
- 物理偷竊/丟失(PHYSICAL THEFT AND LOSS)
- 各種失誤(MISCELLANEOUS ERRORS)
- 犯罪軟件(CRIMEWARE)
- 支付卡信息竊取(PAYMENT CARD SKIMMERS)
- 網(wǎng)絡(luò)間諜(CYBER-ESPIONAGE)
- 拒絕服務(wù)攻擊(DENIAL OF SERVICE ATTACKS)

DBIR中對上述威脅分析的角度也是非常豐富的，包括內(nèi)外部因素、攻擊動機、攻擊頻率、被攻擊的資產(chǎn)、數(shù)據(jù)類型等方面。下面列舉了部分分析和結(jié)論數(shù)據(jù)。

內(nèi)外部因素

攻擊動機

攻擊事件分布頻率

被攻擊資產(chǎn)變化

在報告中，對于上述每一項威脅分類還有具體的分析和闡述，以POS系統(tǒng)入侵為例，下面列舉了主要的分析數(shù)據(jù)：

排名前10的攻擊方式

入侵手段

攻防時間窗

這里特別要說一下攻擊時間窗這個數(shù)據(jù)。從DBIR的分析來看，攻擊與防護的對抗，單純從時間這個角度來看，防護一方幾乎是完敗。對POS系統(tǒng)的入侵，51%是秒入(主要原因是密碼丟失或弱口令)，而防護一方，85%的響應(yīng)時間以周來計算。按照DBIR的解釋，當(dāng)攻擊一方在各個渠道公布或銷售獲取到的數(shù)據(jù)后，防護一方才意識到自己的數(shù)據(jù)被盜了。

總之，這是一份非常NB的報告。這是一份不可不讀的報告。

2014 Data Breach Investigations Report報告的下載鏈接：http://pan.baidu.com/s/1eQ7TNXo (無需注冊，直接下載)

其他

[希拉里批評斯諾登幫了恐怖分子的忙]希拉里在康涅狄格州大學(xué)(University of Connecticut )回答媒體的問題時，批評了斯諾登的泄密行為。她認(rèn)為斯諾登本可以在暴露NSA的眾多問題后獲得很好的幫助，而不是跑到XX和俄羅期去。更為嚴(yán)重的是，斯諾登泄露的很多絕密信息幫助了恐怖組織。因此，希拉里稱，就這樣一個人竟然獲得了俄羅斯的難民保護真是不可思議。

[[112322]]

[NIST最終放棄了“NSA后門”]在微軟工程師Dan Shumow 和Niels Ferguson在2007年曝光 Dual_EC_DRBG 算法存在問題的8年后，NIST(National Institute of Standards and Technology，隸屬美國商務(wù)部)終于下定決心把Dual_EC_DRBG 從隨機數(shù)生成算法中拿掉。這個算法在去年斯諾登曝光美國NSA與RSA存在1千萬美元的桌下交易后，引起了整個安全行業(yè)的震驚和憤怒。為什么NIST決定放棄Dual_EC_DRBG花了這么多年。。。誰知道呢?