安全牛点评
2020年,数字空间危机四伏,灰犀牛与黑天鹅扎堆起舞,但也隐含着巨大的 “安全红利”。野蛮生长和狼性文化驱动的数字经济已经来到一个拐点,安全债、技术债、文化债到了总清算的关头,那些能够管理风险、驾驭风险,在数字化转型过程中有效保护数据和隐私,建立 “安全自信” 和 “安全生态” 的公司,将浴火重生,引领下一个十年。
近年来数据泄露和隐私事故越来越普遍,而且代价高昂。Risk Based Security 的一项研究发现,数据泄露比去年同期上升了 54% 以上。同时,IBM 的年度数据泄露成本报告发现,数据泄露的平均总成本接近 400 万美元。
毫无疑问,数据安全已成为企业、消费者和监管机构的头等大事。
12 月 20 日,全国人大法工委在记者会上宣布个人信息保护法、数据安全法将列入 2020 年立法工作计划,拉开了数据安全保卫战的序幕。
为了帮助企业为日益增长的确定性风险做好准备,以下安全牛总结了企业 2020 年可能面临的 20 种数据安全风险。
01、疏忽意外导致的数据泄露
通常,人们总是将数据泄露和隐私事故与黑客攻击联系起来,是黑客们利用隐秘的漏洞来窃取信息。但是,出乎很多人的意料,我们最大的敌人似乎不是黑客,而是人员疏忽。数据泄露事故常常是疏忽和意外造成的,例如你的员工机场上了一个假热点,不小心把含有敏感信息的邮件 CC 给了陌生人,离开时又遗失了未加密的笔记本电脑。
Shred-it 的一项研究发现,40% 的高级管理人员和小企业主表示,疏忽和意外损失是他们最近一次安全事件的主要原因。
02、过劳的IT管理员
当今的威胁形势可能令人筋疲力尽,尤其是负责保护公司最重要数据的 IT 管理员。
黑客只需要正确一次就足以突破企业的防线,造成严重损失,而 IT 管理员则必须全力抵抗持续不断的攻击,不容有失,压力之大可想而知。这可能就是为什么近 2/3 的网络安全专家已考虑辞职或完全离开该行业的原因。
这种流失以及员工过度劳累不可避免产生效率下降和失误,使公司容易受到数据安全或隐私事故的影响。
03、员工监守自盗
在大多数情况下,员工和数据是公司最宝贵的资产,但个别员工,也会对企业的数据资产产生想法。
现任和前任雇员盗窃公司数据的情况非常普遍,国内的案例暂且不表,国外的典型是加拿大信用合作社Desjardins ,2019年6月,一名前员工偷走了Desjardins近300万客户的个人数据,这成为该国历史上最大的数据灾难之一。
04、供应链“漏风”
卡巴斯基在 2019 年发布的《 IT安全经济学》报告(安全牛网站下载地址)显示,大企业和中小型企业涉及第三方供应商(服务和产品)的数据泄露事件发生率分别为 43% 和 38%。根据 One Identity 的调查,大多数组织 (94%) 授予第三方访问其网络的权限,而 72% 的组织授予特权访问权限。但是,只有 22% 的人确信第三方没有访问未授权信息,而 18% 的人报告说由于第三方的访问造成了违规。
卡巴斯基的研究表明,75% 的中小企业和 79% 的大企业都在强迫第三方供应商签署安全策略协议,在第三方对违规行为负责时,是否有协议的赔偿结果会有很大不同。在已制定政策的企业中,有 71% 的企业表示已获得补偿,而没有第三方政策的企业中只有22%的企业获得了补偿。
05、危险的个人通讯
数字通信是我们日常生活中无处不在的一部分,对于努力保护客户隐私的公司而言,数字通信的漏洞和风险无处不在(包括微信、QQ 等社交通讯和个人网盘等文件分享和协作工具)。
最令人恐惧的是,大量员工使用个人设备或个人帐户来传送敏感的客户信息。
例如,在医疗行业,近 30% 的医疗团队成员承认使用个人设备来传送私人患者的详细信息。
06、网络钓鱼飙升
微软的一项分析发现,网络钓鱼诈骗今年增长了 250%。而且,这些技术正在变得越来越复杂,这使它们既难以识别,成功率不断提升。被钓鱼邮件突破的单个员工就可能会泄露大量公司数据。
07、鱼叉式钓鱼防不胜防
网络钓鱼活动令人讨厌,但鱼叉式网络钓鱼活动却令人恐惧。这种特定的网络钓鱼攻击使用以前被盗的数据来炮制格外逼真的电子邮件,难以阻止和防御。在安全牛之前报道的,仍在进行中的 “江南工业风” APT 攻击活动中,攻击者使用的鱼叉式钓鱼邮件附有看上去非常专业的工厂设计报价单和图纸,已经有大量韩国化工企业和部分中国企业中招。
08、数据盗窃勒索赎金
过去几年最知名的数据泄露 “撕票” 事件莫过于索尼影业数据泄露事件,这种惨烈的结果是很多企业不愿再看到的。如今黑客有很多方法可以从被盗数据中获利。尽管 “暗网” 提供了广阔的销售渠道,但越来越多的网络犯罪分子不是在网上出售数据,而是开始直接向 “失主” 收取赎金。
09、勒索软件赎金
勒索软件攻击已经获得了新的生命,比去年同期增长了 500%,对企业、政府机构和其他组织构成了严重的数据安全风险。
与数据盗窃不同,勒索软件(以前)并不会拿走数据,而是就地加密锁死用户数据,直到用户缴纳赎金。勒索软件面前 “人人平等”,无论是大型行业企业还是中小企业甚至政府执法机构,一旦中招,恢复数据最有效的措施往往就是乖乖交钱。
2019 年,勒索软件相关的数据恢复成本增加了一倍以上,2020 年,带有数据泄漏机制的勒索软件将给企业带来更加高昂的数据恢复成本。数天前,加拿大最大的医疗实验室测试服务提供商 LifeLabs 发生大规模的数据泄露事故,近 1500 万加拿大人的个人和医疗信息被泄露。LifeLabs 发出安全公告承认已经向攻击者缴纳赎金。专家认为攻击者采用了勒索软件+数据泄漏的双重手法,大大提高了赎金的 “征收” 力度。
10、员工被贿赂成为内鬼
在过去的几年中,多家知名企业的员工因收受贿赂泄露企业数据。
在 2018 年,亚马逊调查了几名员工在贿赂计划中的角色,这些贿赂泄漏了大量公司数据。最近,有消息显示,有 AT&T 员工受贿并在公司网络上植入恶意软件,从而深入了解 AT&T 的内部工作原理。
可以肯定的是,贿赂员工是网络犯罪常态化的常用手段,也是公司迫切需要解决的漏洞。
11、过于宽松的员工数据访问权限
员工不分级别不受限制地访问公司或客户数据是一柄双刃剑,企业应当在提高业务效率的同时最大程度地减少滥用或滥用机会。但是,太多的公司为员工分配了过于宽松的数据访问权限,极大地增加了将来出现安全或隐私问题的可能性。此外,企业的特权账户权限过大且缺乏有效监管也是企业安全目前面临的重大问题。
12、员工买卖数据
员工泄露公司数据的原因有很多,但是最明显的动机之一就是赚钱。Deep Secure 的一项研究发现,有 45% 的员工会考虑将公司数据出售给外部人员,而且,令人难以置信的是,这些信息经常被低价兜售。
研究发现,英国员工中有 15% 的人会以 1,260 美元的价格出售信息,而 10% 的人以 315 美元的价格出售数据。
对于这些不良员工来说,这些数据可能很便宜,但对于公司而言,可能意味着高昂的代价。
13、员工的无聊行为
令人难以置信的是,接近四分之一的数据泄露事件仅仅是因为 “好玩”。根据 Verizon 的 “数据泄露调查报告”,令人惊讶一个事实是,近 24% 的数据泄露事件是由于员工的无聊所致。该报告发现,“纯粹的乐趣” 是网络安全或侵犯隐私事件的主要原因之一。
它印证了企业员工数据安全意识的极度淡漠,这种态度在许多组织中普遍存在,从整体上讲,这种威胁将持续到明年。
14、员工窃取数据用于个人职业发展
数量惊人的员工愿意窃取公司数据以在就业市场上获得优势。例如,苹果公司秘密汽车项目的两名前苹果员工在窃取了与该项目有关的 2000 多个文件后,被控盗窃数据。无论员工是在掠夺知识产权、客户数据还是其他有价值的信息,都可以在竞争激烈的就业市场中脱颖而出,这给 2020 年运营的公司带来了数据安全风险。
15、中小企业严重低估网络安全的优先级
新闻报道上看到的往往都是大公司的数据泄漏事故,但事实是中小型企业最容易受到网络攻击,而不幸的是,中小企业高管往往最不可能优先考虑网络安全计划。Keep Security 进行的一项研究发现,有 66% 的中小型企业不相信会造成数据泄露,这与 Ponemon Institute 的证据相反,后者发现 67% 的中小型企业在去年遭受了严重攻击。
16、数据泄露只是网络欺诈的“第一滴血”
通常,数据泄露或侵犯隐私只是越来越多的网络犯罪中的 “第一滴血”。Risk Based Security 的一份报告发现,电子邮件地址和密码是在线数据中最受欢迎的,在所有数据泄露事件中有 70% 包含电子邮件地址。邮件信息可以部署在其他更 “精妙” 的网络攻击中,成为安全事件连锁反应的导火索。
17、高管离职
组织的创始人和高级管理层往往能够不受限制地访问公司数据,这不是问题,但当他们决定离开公司或被迫退出时,他们的 “不爽” 就会成为一个大问题。
特权账户的有效管理能够大大降低数据丢失和隐私问题的发生几率。
18、简单得要命的密码
谷歌的一项研究发现,互联网上使用的所有登录凭证中有 1.5% 容易受到凭证填充攻击,这些攻击会遍历以前被盗的账户信息,从而进一步损害公司的 IT 基础架构。
有趣的是,员工在得知信息泄露风险后依然不愿更改或改进这些密码。不能贯彻实施最佳密码管理实践,会使企业在现在和未来一年面临巨大风险。
19、声誉攻击
很多时候,黑客攻击仅仅是为了捞取在圈子里炫耀的资本。7 月,信用卡公司 Capital One 遭受了一次漏洞的破坏,遭受了泄露 1 亿条记录的数据泄露。但攻击者的目的却不是为了钱,这名黑客一直在寻求提升自己在各种社区吹牛的资本。
对于某些黑客人而言,数据盗窃的目的与数据本身价值无关,而是与他们自己的恶名声有关,这对于努力保护客户数字隐私的企业来说是一个挠头的问题。
20、放弃治疗
当今危险的数字环境威胁防不胜防。安全和隐私事件的频发打击了很多企业的信心,太多公司选择听天由命,而不是抓住机会加强防御能力。
消极抵抗、甚至放弃抵抗可能是所有漏洞中最严重的漏洞。企业没有采取任何行动,而不是控制可控因素,解决风险问题并实施确保整体数据安全性的安全策略。
Risk Based Security 研究报告地址:
https://www.riskbasedsecurity.com/2019/08/15/2019-on-track-for-another-worst-year-on-record/
IBM 的年度数据泄露成本报告地址:
https://www.ibm.com/security/data-breach
相关阅读