根据由Verizon的数据泄漏事件调查者实施的分析，黑客活动和自动化攻击是2011年绝大部分数据泄漏事件的根源。糟糕的密码管理方法使得黑客和自动化的攻击更加简单，而且许多公司无法侦测到这些入侵活动。Verizon公司的“调查响应案例评审报告”（Verizon Investigative Response Caseload Review）是该公司的“数据泄漏调查报告”（ Data Breach Investigation Report，DBIR）有史以来的第一次预告，该“调查响应案例评审报告”在今年随后待发。

该分析结果基于Verizon公司去年调查的90起数据泄漏事故，这些事故占2012年DBIR中包括的850多起事故的10%左右。Verizon公司风险智能主管Wade Baker表明，尽管在案例评审中的趋势可能会在更全面的“Verizon数据泄漏报告”中明显地反应出来，数字本身将会是不同的。

该报告详细描述了黑客活动及恶意软件是如何经常协同工作来造成数据泄漏，以及如何辨识被攻击者利用的那些常见的安全弱点。该报告表明，“高达99%的数据偷窃事件涉及到某种形式的黑客活动及恶意软件”。 Verizon公司也注意到在90起数据泄漏事件中那些瞄准单个人员的社会学手段，例如网络钓鱼，它与超过一半的事件有关。

“钓鱼攻击导致安装恶意软件，并且导致使用后门或是窃取凭证的黑客活动”，Baker说到。“一起攻击事件可能包含所有这些事情”。
Verizon团队调查的数据泄漏事件中超过一半的根源是使用脆弱的、默认密码以及凭证被窃取。在大约29%的数据泄漏事件中攻击者们利用了默认，或是可推测的凭证。有24%的数据泄露事件的发生，是因为凭证被窃取。

Baker表明利用用户的凭证已经成为见涨的趋势。

“攻击者们似乎正在寻找方法来利用我们用来认证用户的机制”，Baker说。“如果他们获得对账户的访问并且这些账户看起来刚刚登陆过，这些账户看上去像真正的用户，这就给攻击者们提供了真正的便利的条件”。

Baker谈到，一旦攻击者作为拥有凭证的用户进入系统，被攻击的可能性就会增大。

“让你看起来是合法的用户进入系统”，Baker说到。攻击者几乎获得无拘无束的访问，而不会在安全信息事件系统管理产品（SIEM）的日志中被当作可能的威胁，或是看起来不太寻常的事件被侦测到，他谈到。

另外49%的数据泄漏事件的发生是因为某些利用后门方式攻击导致的。尽管有些时候后门程序在被安装后偶尔会被黑客发现，攻击者们经常通过漏洞侦测或是钓鱼攻击来创建它。

如果尝试成功的话，后门程序给攻击者毫无阻碍地访问允许用户访问的所有数据。这也是避免被SIEM日志侦测到的另一种方法。

SIEM日志未被监控

然而，对于攻击者来说只有一个担忧的事情，就是他们盯上的公司配备有确实分析日志的IT职员。大多数拥有SIEM产品的公司是为了满足合规要求的责任，但是许多公司没有定期地监控日志。

“我是一名使用日志的粉丝”，Baker说到。“我认为许多公司保存日志……但是他们实际上没有人员来利用它们”。他说这是件很难堪的事情，因为“那是公司能提高他们发现数据泄漏事件机会的最有价值的方法之一”。

因为缺乏定期地监控SIEM系统的日志，在大约60%的数据泄漏事件中，需要数月或是数年才侦测到数据泄漏；只有大约20%在数天内被侦测到。

在2011年Verizon调查的90起数据泄漏事件中，只有5起事件是被定期监控SIEM系统日志的IT团队侦测到。三分之二是被外方侦测到——通常是某个客户收到身份欺诈的通知，或是法律部门的执法行为已经追踪到某个可疑电子罪犯或团体，Baker谈到。

在Baker看来，未来的企业安全有五个发出微弱光芒的实例希望。Verizon公司的风险团队也注意到通过日志分析侦测到的数据泄漏事件的数量，“尽管有些渺茫，但它代表着在这些案例中我们看过最高的那个”。

Baker希望这个趋势会持续下去，即使在引入移动设备到公司的环境中后。他谈到监控智能手机和平板电脑是有小差别的，因为额外的威胁是它们丢失或是被偷窃后的风险。

虽然该案例报告注意到几乎一半的数据泄漏事件涉及到入侵用户的设备，更为常见的是设备为攻击者“提供进入组织的立足之地”，而不是直接地从设备窃取数据。攻击者经常使用键盘记录软件来窃取用户的凭证，并且随后直接地访问内部的应用服务器。

对于大多数的情况，Baker预测未来移动设备上的威胁会和当前困扰工作场所的PC和便携式电脑的问题一样。

“它们变成常态只不过是时间的问题”，他说到。