Почти половина всех украденных данных была PII
Личные данные и данные сотрудников — золотая жила для хакеров, которые в настоящее время, похоже, больше сосредоточены на получении типов данных, чем на любых других, показывает новое исследование, в котором говорится, что за последние 12 месяцев личные данные о сотрудниках и клиентах составили почти половину (45%) всех данных, украденных в прошлом году для кражи личных данных (opens in a new tab), и это атака второго уровня. По словам Терри Рэя, старшего вице-президента Imperva, они могут быть «чрезвычайно прибыльными, но очень трудными для выполнения».
Социальная инженерия и небезопасные базы данных
«Кредитные карты и пароли меняются сразу после взлома, но когда PII украдена, она проходит до того, как хакеры превратят ее в оружие», — добавил Рэй.
Хотя кражи исходного кода и конфиденциальных данных часто попадают в заголовки, они не так популярны, составляя 6,7% и 5,6% соответственно. Хорошей новостью является то, что в большинстве случаев этот тип утечки данных происходит с частотой 64% по сравнению с прошлогодними атаками с использованием социальной инженерии (17%) или атаками на незащищенные базы данных (15%). На сбои приложений приходится около 2% всех утечек данных, но ожидается, что этот формат будет играть более важную роль в будущем, в основном из-за роста облачных вычислений, настройки безопасности, которые требуют значительного опыта.
Для Рэя эти результаты несколько неожиданны, поскольку атаки на небезопасные базы данных и методы социальной инженерии «легко смягчить”.
«Общедоступная база данных включает в себя риск взлома, и слишком часто они неэффективны из-за неэффективности методов контроля безопасности, а скорее из-за полного использования вообще каких-либо мер безопасности”
Imperva сообщает, что существует шесть наиболее распространенных ошибок, которые приводят к утечке данных, включая отсутствие многофакторной аутентификации (MFA), ограниченный доступ ко всем хранилищам данных, плохие политики паролей, неверную настройку конфиденциальных данных, ограниченную защиту от уязвимостей и получение случайных данных ошибки.
Amazon.com 
Как стать этичным хакером (InfoSec)
Спикер: Виталий Демидович, ведущий инженер по тестированию безопасности в EPAM Systems Выступление на ...
