次数据泄露事件 数据泄露给企业带来的成本可能是巨大的,直接成本包括法律和监管行动,间接成本包括声誉和客户损失。每位 CISO 肯定都知道这一点,因此大型企业最有可能投入大量资源和技术来帮助他们防止此类事件的发生,这并不奇怪。然而,尽管进行了这些巨额投资,我们年复一年地听到又有一起影响数百万人并造成数十亿美元损失的重大数据泄露事件。
首先,数据泄露是如何发生的?
导致数据泄露的主要弱点是企业系统的复杂性以及在整个系统生命周期中设计、维护和使用这些系统时发生的人为错误。系统越大越复杂,就越难保持其 whatsapp 号码数据 持续安全。企业越大,恶意行为者就越有可能对获取其敏感数据非常感兴趣。一个小的弱点可能会引起连锁反应——就像飞机发动机中一个稍微变形的风扇叶片可能会脱落并切断所有其他发动机,最终导致机上所有人死亡。
当今的网络安全工具全面而有效。可用的安全产品范围涵盖了企业基础设施的各个方面:云、本地服务器、网络、端点、物联网等。它们提供测试、预防、检测和响应。然而,所有这些工具都需要由人正确实施和维护,即使是安全专家也会犯错。历史上几乎所有的重大入侵事件,即使是由外国间谍组织等高级攻击者策划的,最终都是由简单的人为错误造成的。此类错误通常与安全措施不足、维护不力或落入高级社会工程学诡计有关。
以下是历史上一些最大的企业数据泄露事件及其背后的故事。
Yahoo! – 只需点击一下即可
Yahoo! 多次出现在最大数据泄露事 将线下活动转移到线上后我们学到的 5 件事 件名单上,充分表明高科技公司与其他行业的企业一样,也有可能成为数据泄露事件的受害者,甚至可能更有可能,因为有如此多的资产必须公开。2014 年 Yahoo! 数据泄露事件不仅是该公司最大的数据泄露事件,影响了多达 5 亿人,而且从技术角度来看也是最有趣的。这是因为导致数据泄露的雪崩是由一封简单的鱼叉式网络钓鱼电子邮件引发的,完美地展示了一个小小的人为错误如何使企业损失数十亿美元。
一名员工的一次错误点击让攻击者假装进入内部网络,从终端机器跳转到服务器,最终获得对用户数据库及其管理工具的访问权限。这种攻击最可怕的事实是它可能发生在任何人身上——根本无法保证组织中的每一位员工都足够小心,不会落入精心准备的社会工程攻击的陷阱。更糟糕 比特币电子邮件列表 的是,典型的终端和电子邮件安全软件(如防病毒和反网络钓鱼工具)无法抵御鱼叉式网络钓鱼攻击,这些攻击是使用自定义工具单独准备的,几乎无法检测到。
虽然有关此次攻击的公开细节范
围不足以说明良好的端点保护软件是否能够阻止此次攻击,但很有可能可以。即使受害者点击了鱼叉式网络钓鱼链接,攻击者要想访问网络,他们很可能需要先使用远程控制软件访问凭证或其他敏感信息。这正是Endpoint Protector 等数据丢失防护 (DLP)软件最有可能检测到不当访问并发出警报的地方,从而阻止攻击继续进行。
Equifax – 一些小失误导致悲剧
2017 年 Equifax 数据泄露事件影响了 1.43 亿人,这是另一个值得借鉴的有趣故事。这次数据泄露事件证明了,只需几个小小的安全漏洞加在一起,就能让熟练的攻击者将目标系统控制权扩大到几乎完全控制。如果我们能从 Equifax 事件中学到一些具体的东西,那就是不仅仅是最终用户犯了严重的安全错误——整个事件链都是安全措施失败的结果。
这次攻击很可能是由中国间谍部队策划的,起因是负责服务器软件修补的安全人员的失误。消费者投诉门户网站运行的 Web 应用服务器版本存在一个众所周知的漏洞——只需应用推荐的安全补丁即可修复该漏洞,只需一个简单的安全扫描程序即可发现该漏洞。
下一个失败是缺乏系统分段,将系统访问密码存储在简单的文本文件中。不幸的是,这种做法在许多服务器管理员中非常常见,他们错误地认为只有合法用户才能访问他们的任何服务器,因此通过将系统访问凭据存储在不安全的文件中来让他们的生活更轻松。幸运的是,使用 DLP 软件可以轻松检测到这种做法-用户访问包含敏感、易于识别的模式(例如以明文存储的用户名和密码)的文件不仅会被阻止,还会立即发出不当访问警报。
最后但同样重要的是:一旦
攻击者访问了敏感数据,他们就能够通过常规网络连接从 Equifax 系统中提取数据,持续数月,仅仅是因为其中一个内部安全工具没有更新的安全证书。总而言之,攻击的所有三个阶段都是由于训练有素的技术人员的无能而发生的,这引发了一个问题:如果我们不能相信“安全人员”能够很好地处理安全问题,我们还能相信谁?
第一资本公司——不仅仅是外国间谍
虽然前面描述的两起数据泄露事件都是由外国势力策划的,他们雇佣了训练有素、资金充足的专家团队,但令人惊讶的是,这并不是重大数据泄露事件中最常见的情况。相当多的重大泄露事件都是由业余人员造成的,或者在任何人能够利用敏感信息之前被白帽安全专家(“好人”)揭露的。例如,很长一段时间以来,安全漏洞背后最常见的机制之一是可公开访问的 Elasticsearch 数据库——任何人都可以简单地指向不安全的地址,并使用标准登录名和密码访问所有数据。
第一资本银行被黑客攻击的情况虽然不同,但 次数据泄露事件 却很常见,即一个人没有真正的恶意,却在法律的边缘徘徊,以炫耀自己的同行。佩奇·汤普森就是这种情况,她只是将敏感数据下载到她的私人电脑上,就造成了价值 2.5 亿美元的数据泄露,显然她无意在黑市上出售,而只是为了向黑客社区炫耀。
佩奇·汤普森之所以值得关注
是因为她几乎是一个教科书式的典型,因为一系列情况造成了重大伤害。首先,她是亚马逊的前员工,代表着内部威胁,而 Capital One 正在使用亚马逊的服务来存储他们的敏感数据。其次,佩奇患有精神健康问题和性别认同问题,这让她更有可能寻求同行的认可并做出错误的判断。因此,她的行为是鲁莽和情绪化的,但幸运的是,这一错误并没有让她在监狱里度过一生。
从技术角度来看,Capital One 遭受的黑客攻击与大多数其他重大黑客攻击并无不同——它是一个由多个安全漏洞和错误配置引起的多阶段过程。首先,Thompson 利用 Capital One Web 应用程序中的服务器端请求伪造漏洞,从而能够访问该 Web 应用程序背后的 Amazon 云基础设施,如果 Capital One 使用 Web 安全扫描,这一过程本可以被阻止。然后,Thompson 能够以过多权限访问某个角色,这使她能够同步 S3 存储桶,从而有效地将敏感数据下载到她的计算机上。虽然该应用程序位于 Web 应用程序防火墙后面,但该防火墙也存在错误配置,日志记录不足或权限过多,导致该过程未被发现。
第一资本银行的数据泄露事件暴露了内部威胁的危险——心怀不满的员工或前员工更有可能犯下严重错误,甚至对公司采取不当行动,从而可能成为数据泄露的第一步。它还表明,即使由像亚马逊这样的知名公司托管,云基础设施也同样可能存在安全配置错误,甚至管理访问权限也应该得到良好的控制和监控。
是否有希望防止数据泄露?
防止组织发生数据泄露的最佳方法是从他人的错误中吸取教训。仅这三起重大数据泄露事件就表明了许多典型错误,例如对安全人员的过度信任以及对某些网络安全攻击面的覆盖范围不足。即使是最知名的安全公司,也没有哪家公司提供的单一一体化安全解决方案能够覆盖您需要覆盖的所有基础。只有精心设计的安全程序才能帮助您确保没有漏洞,例如缺少 DLP 软件来保护您的端点。
因此,避免数据泄露的最佳方法是遵循零信任难题——不仅是零信任网络或零信任应用程序,还有零信任安全程序。虽然您的安全人员很可能会尽最大努力确保不会发生违规行为,但他们只是人,也会犯错。因此,监控和仔细检查他们的活动并不意味着您不够信任他们,而应该被视为一种意愿,即不仅要对您的安全,还要对您的客户和合作伙伴的安全进行正确的投资。