根據跨國資安公司Gemalto最新統計,2015年,光是資料外洩事件,全球已知的就高達1,673起,累計7億多筆資料外洩,平均每天至少發生4起。
從去年2、3月兩大醫療保險業者Anthem和Premera,就有近億人受害。年中美國政府也發生有史以來最大規模的資料外洩事件,美國人事管理局外洩了420萬筆公務員資料以及2千萬筆民眾個資,不只從事機密工作的情報員身分曝光,連無法更換的指紋資料都外洩了110萬筆。美國國稅局也因身分驗證機制遭矇騙,不只遺失33萬多名美國民眾稅務資料,還遭詐領退稅款高達15億元臺幣。
個資外洩事件也動輒變成跨國災情,去年底玩具商VTech外洩的420萬筆孩童個資甚至包括照片,影響就超過14國。知名連鎖飯店希爾頓飯店POS遭植入惡意程式,旗下全球98國4,500家飯店顧客恐遭盜走信用卡資料。
搜尋技術的演進,也讓資安防護稍有不慎就會釀災,一名資安研究員,上網就能找到內有1.9億美國選民資料的資料庫,連開發資安產品的業者,也是推出Mac筆電知名優化工具MacKeeper的母公司,只因不小心設錯了MongoDB資料庫的配置,不知情下開放了網路存取權限,網路搜尋引擎就從中找到了1,300萬名用戶的帳密資料。
資安公司出事不只一起,年中發生的義大利間諜軟體開發商Hacking Team遭駭而外洩的400GB機敏資料,成了駭客人人想要的數位軍火庫,內有多項未公開的多款軟體漏洞,逼得微軟、Adobe等業者連忙修補,餘波蕩漾至今未熄,到今年初都還因此而發現了新漏洞得修補。
動輒影響上億裝置、數萬企業系統的軟體漏洞屢屢可見,尤其開源軟體盛行後的零時差漏洞頻傳,連甲骨文在年初都破紀錄一口氣釋出了248個安全更新,Google也有意收回Android軟體更新權,就為了更快修補漏洞。
iThome Security季刊2016春季號3/7上市 |
資安事件不只多,攻擊手法也不斷演變,APT攻擊方式層出不窮,連竊取資料的勒索軟體,也在去年轉而變成加密勒索,還出現了用JavaScript開發的勒索軟體,可以在多種平臺上執行,持續變種的勒索軟體造成各國多起重大災情,臺灣也有不少中小企業受駭,甚至付了贖金也救不回資料,最近更有一家洛杉磯醫院,HIS系統遭加密勒索軟體綁架而停擺,醫師整個禮拜都只能用人工手寫病歷,沒有系統可用。
資安事件幾乎達到天天發生的頻率,對資安事件、技術、趨勢等情報的掌握卻是越來越龐大的挑戰。但是對於忙碌的IT人而言,別說跟上每天發生的資安事件,光是周周回顧都不是一件容易的事。
也因此,我們從今年3月開始,將過去每年例行發行的iThome資安專刊,轉型為iThome Security季刊。重點集結了每一季最新資安情報、全球關鍵資安事件剖析、新興資安威脅的因應對策、安全防護新品動向等,讓IT人員一次掌握。與其遇事彌補,倒不如主動掌握關鍵決策資訊,更能採取合適的預防措施和聰明對策。