數(shù)據(jù)對于人們來說無處不在�����。盡管許多數(shù)據(jù)對其他人是無用的�����,但每個組織都擁有網(wǎng)絡(luò)攻擊者或其他競爭對手都希望獲取的關(guān)鍵數(shù)據(jù)資產(chǎn)��。
根據(jù)Risk Based Security發(fā)布的數(shù)據(jù)顯示���,僅在2019年的前九個月中,就共計發(fā)生了5,183次數(shù)據(jù)泄露����,暴露了超過79億條數(shù)據(jù)記錄。與去年同期相比�,2019年的數(shù)據(jù)泄露總數(shù)增長超過33%。近年來����,人們對網(wǎng)絡(luò)威脅的意識日益增強,并在網(wǎng)絡(luò)安全方面加大了投入����,但絕大多數(shù)組織仍然像以往一樣容易受到攻擊,組織的數(shù)據(jù)以多種方式被泄露����。
以下是我們整理了幾個2019年大規(guī)模數(shù)據(jù)泄露事件及從中學(xué)到的經(jīng)驗:
1. 收集大量數(shù)據(jù)的組織是重點攻擊目標(biāo)
示例組織:Verifications.io
攻擊時間:2019年2月
泄漏事件回顧:2019年2月,向企業(yè)組織提供電子郵件驗證服務(wù)的公司Verifications.io暴露了其Mongo數(shù)據(jù)庫����,其中包含超過8.08億條記錄�����,這些記錄可供具有網(wǎng)絡(luò)連接能力的任何人公開訪問��。據(jù)悉�,該數(shù)據(jù)庫中包含有用戶電子郵件地址���、出生日期�����、電話號碼、實際地址����、雇主信息、IP地址�����、業(yè)務(wù)信息以及其他信息��。
經(jīng)驗教訓(xùn):
收集大量數(shù)據(jù)的組織始終是攻擊者的重點目標(biāo),但是這類企業(yè)組織在公眾眼中可能并不顯眼��。Unisys首席信任官Tom Patterson表示說:“處于威脅中心的行業(yè)����,包括市場營銷、法律���、會計��、運輸?shù)阮I(lǐng)域�����,不能再因為覺得自己不起眼而忽略安全性����。來自全球的威脅行為者已經(jīng)清楚地瞄準(zhǔn)了你����,你現(xiàn)在就是他們的待宰羔羊��!
2. 第三方安全故障會造成損害
示例組織:美國醫(yī)療數(shù)據(jù)局(AMCA)
攻擊時間:泄漏事件披露于2019年5月
泄漏事件回顧:由于對數(shù)據(jù)庫的非授權(quán)訪問導(dǎo)致美國醫(yī)療數(shù)據(jù)局約200萬個人醫(yī)療數(shù)據(jù)泄露����。事件影響了LabCorp 和Quest Diagnostics等公司�。據(jù)悉�,此次泄露的數(shù)據(jù)包括用戶社會保障號碼、銀行賬戶和信用卡信息以及屬于約1190萬Quest患者和770萬LabCorp患者的醫(yī)療信息等�。據(jù)統(tǒng)計,該事件共計影響了21家醫(yī)療保健組織和至少2440萬個人����。
經(jīng)驗教訓(xùn):
AMCA事件是第三方風(fēng)險的典型例子。這提醒人們����,組織必須確保與之交互的業(yè)務(wù)合作伙伴和其他第三方遵循安全最佳實踐。無法及時解決安全問題的供應(yīng)商��,接收數(shù)據(jù)且未按需保護數(shù)據(jù)的合作伙伴及獲得企業(yè)網(wǎng)絡(luò)訪問權(quán)限�,但無法以適當(dāng)?shù)姆绞奖Wo該訪問的合作伙伴和第三方都是不可取的�����。
3. 內(nèi)部人士構(gòu)成巨大威脅
示例組織:聯(lián)邦緊急事務(wù)管理局(FEMA)
攻擊時間:泄露事件公布于2019年3月
泄漏事件回顧:由于無意間與第三方承包商共享了敏感的個人信息�����,美國聯(lián)邦緊急事務(wù)管理局(FEMA)泄露了受颶風(fēng)艾爾瑪,哈維和瑪麗亞影響的230萬幸存者的家庭住址和銀行信息���。
經(jīng)驗教訓(xùn):
并非所有違規(guī)行為都是外部參與者所為���。實際上,根據(jù)Verizon的《 2019年數(shù)據(jù)泄露調(diào)查報告》顯示�����,源于內(nèi)部人員的數(shù)據(jù)泄露比例很高��,占34%���。其中��,人為錯誤和過失通常是最大的內(nèi)部風(fēng)險��。但是特權(quán)濫用和惡意的內(nèi)部行為也是重大威脅�,如果組織的有些員工心懷不滿�,有可能從內(nèi)部竊取文件或泄露數(shù)據(jù)。首先����,組織需要確保其員工了解不應(yīng)共享或公開哪些數(shù)據(jù)����。創(chuàng)建簽名的員工手冊以指導(dǎo)員工�。另外,請確保在組織中正確識別和分層數(shù)據(jù)并相應(yīng)地對其進行保護���。
4. 其他數(shù)據(jù)泄露事件回顧
2019年2月��,深網(wǎng)視界(AI安防)泄露250萬人的人臉數(shù)據(jù):
事件回顧:據(jù)荷蘭GDI基金會安全研究員發(fā)現(xiàn)�,中國深網(wǎng)視界科技有限公司的MongoDB數(shù)據(jù)庫未做訪問限制�,直接被開放在互聯(lián)網(wǎng)上面,超過250萬人的數(shù)據(jù)可被獲取��,68萬條數(shù)據(jù)發(fā)生泄露��,數(shù)據(jù)類型包括***信息��、人臉識別圖像及圖像拍攝地點等���。
2019年9月�,國內(nèi)醫(yī)療PACS服務(wù)器泄露涉及中國近28萬條患者記錄:
事件回顧:據(jù)Securityaffairs 報道��,德國Greenbone Networks研究人員發(fā)現(xiàn)�,600 個未受保護的服務(wù)器暴露于互聯(lián)網(wǎng),其中�����,中國有 14 個未受保護的 PACS 服務(wù)器系統(tǒng)���,泄露了近28萬條數(shù)據(jù)記錄��。這些患者數(shù)據(jù)記錄非常詳細��,大多包括以下個人和醫(yī)療細節(jié):姓名�����、出生日期�����、檢查日期����、調(diào)查范圍���、成像程序的類型�、主治醫(yī)師、研究所/診所和生成的圖像數(shù)量�����。
2019年4月���,嗶哩嗶哩公司(B站)后臺源碼泄露涉及多個用戶密碼:
事件回顧:在4月22日��,據(jù)發(fā)現(xiàn)B站的后臺源碼被上傳至GitHub�����,出現(xiàn)一個名為openbilibili/go-common的代碼倉庫����,短短6小時已經(jīng)獲得6000多的Star和Fork�,代碼包含了很多配置文件、密鑰�、密碼等敏感信息。
經(jīng)驗教訓(xùn):
隨著以人工智能��、大數(shù)據(jù)和物聯(lián)網(wǎng)為代表的信息技術(shù)革命的推進��,數(shù)據(jù)的價值進一步凸顯,數(shù)據(jù)成為了企業(yè)的重要資產(chǎn)和持續(xù)創(chuàng)新的推動力�。因此��,保障數(shù)據(jù)在采集�、傳輸、利用和共享等各個環(huán)節(jié)安全的重要性不言而喻��。