2008年泄露的電子記錄總量比去年四年的總和還要多，而且其中大部分(90%)的泄露都是可以通過持續(xù)實施基本的防護性控制避免的。

    Verizon在發(fā)布的《2009年Verizon業(yè)務數(shù)據(jù)泄露調(diào)查報告》中指出，2008年發(fā)生的已經(jīng)確定的90起數(shù)據(jù)泄露事件涉及2.85億份記錄，而在2004年到2007年之間發(fā)生的數(shù)據(jù)泄露事件總共涉及2.3億份記錄。

    Verizon調(diào)查的數(shù)據(jù)泄露事件中有大約1/3已經(jīng)公開，預計今年年底還會有更多事件被公開。

    調(diào)查發(fā)現(xiàn)：被涉及的記錄中有91%的記錄與犯罪組織團伙有關(guān)；有目的的病毒攻擊翻了一番；受到攻擊最多的板塊是默認證書和SQL注入。

    Verizon業(yè)務安全解決方案部門研究副總裁PeterTuppett表示，這份報告向人們敲響了警鐘：企業(yè)業(yè)務需要更完善的安全和防護措施，尤其是當前的經(jīng)濟危機很可能引發(fā)更頻繁的犯罪活動。

不過也有一個好消息，針對個人數(shù)據(jù)的市場已經(jīng)瓦解。

    報告指出：“最近幾年磁帶數(shù)據(jù)的大量泄露已經(jīng)泛濫了整個信息黑市，這種市場飽和已經(jīng)導致磁帶信息變得一文不值。甚至出售被盜戲弄卡數(shù)據(jù)的價格已經(jīng)從2007年年中的每份記錄10～16美元銳減到現(xiàn)在每份記錄0.5美元。”

    壞消息是，網(wǎng)絡犯罪開始轉(zhuǎn)向盜取和銀行賬戶信息有關(guān)的個人身份數(shù)字，罪犯可以利用這些數(shù)字盜走受害人賬戶上的現(xiàn)金。

    這就解釋了為什么2008年受牽連的2.85億份記錄中有95%都是來自于金融機構(gòu)。報告中還指出，這主要是因為2008年金融機構(gòu)發(fā)生數(shù)據(jù)泄露規(guī)模之大。

    正如Verizon之前的數(shù)據(jù)泄露報告一樣，大多數(shù)受調(diào)查的數(shù)據(jù)泄露事件都是有第三方發(fā)現(xiàn)的。這表明企業(yè)機構(gòu)需要對他們自己的數(shù)據(jù)有更好的監(jiān)管和控制。

    令人感到以外的是，99%的泄露記錄都是通過服務器和應用訪問的，而不是筆記本電腦、上網(wǎng)本、手機或者可移動存儲介質(zhì)。

    從報告中中我們可以接受到很多教訓。但最主要的一個是持續(xù)應用安全策略其實是可以防止大多數(shù)數(shù)據(jù)泄漏事件發(fā)生的。

    而且Verizon還給企業(yè)機構(gòu)提供了更具體的建議，比如更改默認證書、避免分享證書、復查用戶賬戶、應用測試和代碼復查、智能補丁管理、員工期滿終止流程、應用日志和監(jiān)控、對可以或者匿名網(wǎng)絡行為的監(jiān)控。