企业数据是怎样被泄漏的?
2020年11月3日,万豪酒店登上微博热搜,英国信息专员办公室(ICO)对其进行了1840万英镑(约1.6亿元)的罚款。原因是该酒店在2018年11月底泄漏了3亿多客人信息,细节包括姓名、邮寄地址、电话号码、电子邮件、护照号码、出生日期、性别、退房时间、预订日期和通信偏好,以及部分客人的支付卡号码和有效期。根据调查,泄漏源头的喜达屋酒店从 2014至2018年均遭受过网络攻击,直到2018年才被发现。
2020年7月,湖南某高校多名在校生爆料称个人信息遭到盗用,泄露信息主要用于烟草许可证办理、公积金提取、个人信息更改、灵活社保办理和购买房产等,涉及近2000名学生。市长热线调查反馈称,是系统数据导入出现问题,通过人工重新操作,取消错误数据进行更改解决。
上述案例仅仅是众多数据泄漏案例中的冰山一角,根据IBM《2019年全球数据泄露成本报告》显示,恶意数据泄露平均给调研中的受访企业带来 445 万美元的损失。CNCERT 在2019年全年累计发现我国重要数据泄露风险与事件 3000 余起。
我们不禁要问,数据是怎样被泄漏的?今天我们就来揭示数据泄漏的几个主要原因。
- 内部人员威胁
一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据proofpoint公司统计,43%的数据泄露是源于内部的;“堡垒最容易从内部攻破”,恶意内部人员、取得高权限账户的攻击者滥用其权限并将数据窃取出去。
常见的场景有:
-
USB移动存储设备访问不受限制,一块移动硬盘就能把企业核心机密全部带走;
-
开发测试人员权限过大,能够直接访问企业核心生产数据,并通过工具软件搬运出来;
-
对复印机、打印机、拍照设备管理不严,通过打印关键代码、复印纸质合同、对合同拍照等手段窃取企业机密。
-
高权限的领导自身安全意识不强,平时用弱密码(如“123456”)访问企业核心系统,被恶意内部人员轻易的猜到了用户名密码,进入系统,窃取高权限才能访问的机密信息。
- 攻击者的入侵
许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼,恶意软件或代码注入之类的技术渗透安全边界,并获得对敏感数据的访问权限。更甚者使用勒索病毒软件对企业重要业务数据进行加密,再索取高额解密的赎金。
常见的场景有:
-
利用企业官方网站、电子邮件系统、OA系统、财务系统、v*n等对外服务的系统漏洞,入侵企业内部网络,窃取敏感数据。现代企业日常运营离不开门户网站、ERP系统、财务系统、OA系统、电子邮件系统、代码托管库、缺陷跟踪库等的支持,而且往往为了分支机构访问方便,部署在Internet上,这就为黑客提供了较大的暴露面。
-
利用个人聊天工具、电子邮件,对安全意识不强的员工进行恶意病毒软件或木马发送,劫持这些员工的电脑作为跳板工具进入企业内网窃取数据。例如曾经知名的“熊猫烧香”病毒,就是通过聊天工具传播甚广。值得注意的是在当前移动终端风靡办公场所的情况下,手机本身就是一个风险点,手机病毒、黑产APP能够在机主不知情的情况下进行录音、摄影摄像,还可以越权获取机主照片视频指纹等隐私信息。已经有不少企业在开会期间提前在会场入口处集中存放手机,一方面是为了提高会议效率,另一方面是为了杜绝会场机密被泄漏。
-
勒索病毒,恶意加密企业重要业务数据,再索取高额解密的赎金。浙江省某医院就发生过Oracle数据库被黑客投放了勒索病毒的安全事件。
-
对于企业传输通道进行抓包窃听,对尚未采用https加密的网站能够直接窃取到重要信息的明文。
- 意外或疏忽的数据泄露
员工在公共场所丢失敏感数据;或数据访问必须通过Internet但一时没来得及做敏感数据识别管控;或由于技术陈旧(例如内部静态文件服务器)无法做精确的数据访问权限控制导致不同部门之间的数据彼此共享。
常见的场景有:
-
员工手机、笔记本电脑意外丢失。
-
公司招标网站对所有潜在供应商开放访问,但由于没来得及做敏感数据管控导致供应商能访问历史上所有的招标公告。
-
使用多年的静态文件服务器,出于访问方便的考虑,对员工不做任何限制,基层员工登陆后也能看到财务部、采购部的目录并拷贝文件出来。
本期就聊到这里,下一期将探讨数据防泄漏的策略与方案,敬请期待。