2020年11月3日,万豪酒店登上微博热搜,英国信息专员办公室(ICO)对其进行了1840万英镑(约1.6亿元)的罚款。原因是该酒店在2018年11月底泄漏了3亿多客人信息,细节包括姓名、邮寄地址、电话号码、电子邮件、护照号码、出生日期、性别、退房时间、预订日期和通信偏好,以及部分客人的支付卡号码和有效期。根据调查,泄漏源头的喜达屋酒店从 2014至2018年均遭受过网络攻击,直到2018年才被发现。
内部人员威胁
一个常见的误解是数据丢失主要是由恶意攻击者造成的。但据proofpoint公司统计,43%的数据泄露是源于内部的;“堡垒最容易从内部攻破”,恶意内部人员、取得高权限账户的攻击者滥用其权限并将数据窃取出去。
常见的场景有:
USB移动存储设备访问不受限制,一块移动硬盘就能把企业核心机密全部带走;
开发测试人员权限过大,能够直接访问企业核心生产数据,并通过工具软件搬运出来;
对复印机、打印机、拍照设备管理不严,通过打印关键代码、复印纸质合同、对合同拍照等手段窃取企业机密。
高权限的领导自身安全意识不强,平时用弱密码(如“123456”)访问企业核心系统,被恶意内部人员轻易的猜到了用户名密码,进入系统,窃取高权限才能访问的机密信息。
攻击者的入侵
许多网络攻击均以敏感数据为目标。攻击者使用网络钓鱼,恶意软件或代码注入之类的技术渗透安全边界,并获得对敏感数据的访问权限。更甚者使用勒索病毒软件对企业重要业务数据进行加密,再索取高额解密的赎金。
常见的场景有:
利用企业官方网站、电子邮件系统、OA系统、财务系统、VPN等对外服务的系统漏洞,入侵企业内部网络,窃取敏感数据。现代企业日常运营离不开门户网站、ERP系统、财务系统、OA系统、电子邮件系统、代码托管库、缺陷跟踪库等的支持,而且往往为了分支机构访问方便,部署在Internet上,这就为黑客提供了较大的暴露面。
利用个人聊天工具、电子邮件,对安全意识不强的员工进行恶意病毒软件或木马发送,劫持这些员工的电脑作为跳板工具进入企业内网窃取数据。例如曾经知名的“熊猫烧香”病毒,就是通过聊天工具传播甚广。值得注意的是在当前移动终端风靡办公场所的情况下,手机本身就是一个风险点,手机病毒、黑产APP能够在机主不知情的情况下进行录音、摄影摄像,还可以越权获取机主照片视频指纹等隐私信息。已经有不少企业在开会期间提前在会场入口处集中存放手机,一方面是为了提高会议效率,另一方面是为了杜绝会场机密被泄漏。
勒索病毒,恶意加密企业重要业务数据,再索取高额解密的赎金。浙江省某医院就发生过Oracle数据库被黑客投放了勒索病毒的安全事件。
对于企业传输通道进行抓包窃听,对尚未采用https加密的网站能够直接窃取到重要信息的明文。
意外或疏忽的数据泄露
员工在公共场所丢失敏感数据;或数据访问必须通过Internet但一时没来得及做敏感数据识别管控;或由于技术陈旧(例如内部静态文件服务器)无法做精确的数据访问权限控制导致不同部门之间的数据彼此共享。
常见的场景有:
员工手机、笔记本电脑意外丢失。
公司招标网站对所有潜在供应商开放访问,但由于没来得及做敏感数据管控导致供应商能访问历史上所有的招标公告。
使用多年的静态文件服务器,出于访问方便的考虑,对员工不做任何限制,基层员工登陆后也能看到财务部、采购部的目录并拷贝文件出来。
本期就聊到这里,下一期将探讨数据防泄漏的策略与方案,敬请期待。