信息化觀察網(wǎng)

近年來(lái)數(shù)據(jù)泄露和隱私事故越來(lái)越普遍，而且代價(jià)高昂。Risk Based Security的一項(xiàng)研究發(fā)現(xiàn)，數(shù)據(jù)泄露比去年同期上升了54％以上。同時(shí)，IBM的年度數(shù)據(jù)泄露成本報(bào)告發(fā)現(xiàn)，數(shù)據(jù)泄露的平均總成本接近400萬(wàn)美元。

毫無(wú)疑問(wèn)，數(shù)據(jù)安全已成為企業(yè)、消費(fèi)者和監(jiān)管機(jī)構(gòu)的頭等大事。

12月20日，全國(guó)人大法工委在記者會(huì)上宣布個(gè)人信息保護(hù)法、數(shù)據(jù)安全法將列入2020年立法工作計(jì)劃，拉開(kāi)了數(shù)據(jù)安全保衛(wèi)戰(zhàn)的序幕。

為了幫助企業(yè)為日益增長(zhǎng)的確定性風(fēng)險(xiǎn)做好準(zhǔn)備，以下安全?？偨Y(jié)了企業(yè)2020年可能面臨的20種數(shù)據(jù)安全風(fēng)險(xiǎn)。

01、疏忽意外導(dǎo)致的數(shù)據(jù)泄露

通常，人們總是將數(shù)據(jù)泄露和隱私事故與黑客攻擊聯(lián)系起來(lái)，是黑客們利用隱秘的漏洞來(lái)竊取信息。但是，出乎很多人的意料，我們最大的敵人似乎不是黑客，而是人員疏忽。數(shù)據(jù)泄露事故常常是疏忽和意外造成的，例如你的員工機(jī)場(chǎng)上了一個(gè)假熱點(diǎn)，不小心把含有敏感信息的郵件CC給了陌生人，離開(kāi)時(shí)又遺失了未加密的筆記本電腦。

Shred-it的一項(xiàng)研究發(fā)現(xiàn)，40％的高級(jí)管理人員和小企業(yè)主表示，疏忽和意外損失是他們最近一次安全事件的主要原因。

02、過(guò)勞的IT管理員

當(dāng)今的威脅形勢(shì)可能令人筋疲力盡，尤其是負(fù)責(zé)保護(hù)公司最重要數(shù)據(jù)的IT管理員。

黑客只需要正確一次就足以突破企業(yè)的防線(xiàn)，造成嚴(yán)重?fù)p失，而IT管理員則必須全力抵抗持續(xù)不斷的攻擊，不容有失，壓力之大可想而知。這可能就是為什么近2/3的網(wǎng)絡(luò)安全專(zhuān)家已考慮辭職或完全離開(kāi)該行業(yè)的原因。

這種流失以及員工過(guò)度勞累不可避免產(chǎn)生效率下降和失誤，使公司容易受到數(shù)據(jù)安全或隱私事故的影響。

03、員工監(jiān)守自盜

在大多數(shù)情況下，員工和數(shù)據(jù)是公司最寶貴的資產(chǎn)，但個(gè)別員工，也會(huì)對(duì)企業(yè)的數(shù)據(jù)資產(chǎn)產(chǎn)生想法。

現(xiàn)任和前任雇員盜竊公司數(shù)據(jù)的情況非常普遍，國(guó)內(nèi)的案例暫且不表，國(guó)外的典型是加拿大信用合作社Desjardins，2019年6月，一名前員工偷走了Desjardins近300萬(wàn)客戶(hù)的個(gè)人數(shù)據(jù)，這成為該國(guó)歷史上最大的數(shù)據(jù)災(zāi)難之一。

04、供應(yīng)鏈“漏風(fēng)”

卡巴斯基在2019年發(fā)布的《IT安全經(jīng)濟(jì)學(xué)》報(bào)告（安全牛網(wǎng)站下載地址）顯示，大企業(yè)和中小型企業(yè)涉及第三方供應(yīng)商（服務(wù)和產(chǎn)品）的數(shù)據(jù)泄露事件發(fā)生率分別為43％和38％。根據(jù)One Identity的調(diào)查，大多數(shù)組織(94％)授予第三方訪(fǎng)問(wèn)其網(wǎng)絡(luò)的權(quán)限，而72％的組織授予特權(quán)訪(fǎng)問(wèn)權(quán)限。但是，只有22％的人確信第三方?jīng)]有訪(fǎng)問(wèn)未授權(quán)信息，而18％的人報(bào)告說(shuō)由于第三方的訪(fǎng)問(wèn)造成了違規(guī)。

卡巴斯基的研究表明，75%的中小企業(yè)和79%的大企業(yè)都在強(qiáng)迫第三方供應(yīng)商簽署安全策略協(xié)議，在第三方對(duì)違規(guī)行為負(fù)責(zé)時(shí)，是否有協(xié)議的賠償結(jié)果會(huì)有很大不同。在已制定政策的企業(yè)中，有71％的企業(yè)表示已獲得補(bǔ)償，而沒(méi)有第三方政策的企業(yè)中只有22％的企業(yè)獲得了補(bǔ)償。

05、危險(xiǎn)的個(gè)人通訊

數(shù)字通信是我們?nèi)粘Ｉ钪袩o(wú)處不在的一部分，對(duì)于努力保護(hù)客戶(hù)隱私的公司而言，數(shù)字通信的漏洞和風(fēng)險(xiǎn)無(wú)處不在（包括微信、QQ等社交通訊和個(gè)人網(wǎng)盤(pán)等文件分享和協(xié)作工具）。

最令人恐懼的是，大量員工使用個(gè)人設(shè)備或個(gè)人帳戶(hù)來(lái)傳送敏感的客戶(hù)信息。

例如，在醫(yī)療行業(yè)，近30％的醫(yī)療團(tuán)隊(duì)成員承認(rèn)使用個(gè)人設(shè)備來(lái)傳送私人患者的詳細(xì)信息。

06、網(wǎng)絡(luò)釣魚(yú)飆升

微軟的一項(xiàng)分析發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚(yú)詐騙今年增長(zhǎng)了250％。而且，這些技術(shù)正在變得越來(lái)越復(fù)雜，這使它們既難以識(shí)別，成功率不斷提升。被釣魚(yú)郵件突破的單個(gè)員工就可能會(huì)泄露大量公司數(shù)據(jù)。

07、魚(yú)叉式釣魚(yú)防不勝防

網(wǎng)絡(luò)釣魚(yú)活動(dòng)令人討厭，但魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)活動(dòng)卻令人恐懼。這種特定的網(wǎng)絡(luò)釣魚(yú)攻擊使用以前被盜的數(shù)據(jù)來(lái)炮制格外逼真的電子郵件，難以阻止和防御。在安全牛之前報(bào)道的，仍在進(jìn)行中的“江南工業(yè)風(fēng)”APT攻擊活動(dòng)中，攻擊者使用的魚(yú)叉式釣魚(yú)郵件附有看上去非常專(zhuān)業(yè)的工廠設(shè)計(jì)報(bào)價(jià)單和圖紙，已經(jīng)有大量韓國(guó)化工企業(yè)和部分中國(guó)企業(yè)中招。

08、數(shù)據(jù)盜竊勒索贖金

過(guò)去幾年最知名的數(shù)據(jù)泄露“撕票”事件莫過(guò)于索尼影業(yè)數(shù)據(jù)泄露事件，這種慘烈的結(jié)果是很多企業(yè)不愿再看到的。如今黑客有很多方法可以從被盜數(shù)據(jù)中獲利。盡管“暗網(wǎng)”提供了廣闊的銷(xiāo)售渠道，但越來(lái)越多的網(wǎng)絡(luò)犯罪分子不是在網(wǎng)上出售數(shù)據(jù)，而是開(kāi)始直接向“失主”收取贖金。

09、勒索軟件贖金

勒索軟件攻擊已經(jīng)獲得了新的生命，比去年同期增長(zhǎng)了500％，對(duì)企業(yè)、政府機(jī)構(gòu)和其他組織構(gòu)成了嚴(yán)重的數(shù)據(jù)安全風(fēng)險(xiǎn)。

與數(shù)據(jù)盜竊不同，勒索軟件（以前）并不會(huì)拿走數(shù)據(jù)，而是就地加密鎖死用戶(hù)數(shù)據(jù)，直到用戶(hù)繳納贖金。勒索軟件面前“人人平等”，無(wú)論是大型行業(yè)企業(yè)還是中小企業(yè)甚至政府執(zhí)法機(jī)構(gòu)，一旦中招，恢復(fù)數(shù)據(jù)最有效的措施往往就是乖乖交錢(qián)。

2019年，勒索軟件相關(guān)的數(shù)據(jù)恢復(fù)成本增加了一倍以上，2020年，帶有數(shù)據(jù)泄漏機(jī)制的勒索軟件將給企業(yè)帶來(lái)更加高昂的數(shù)據(jù)恢復(fù)成本。數(shù)天前，加拿大最大的醫(yī)療實(shí)驗(yàn)室測(cè)試服務(wù)提供商LifeLabs發(fā)生大規(guī)模的數(shù)據(jù)泄露事故，近1500萬(wàn)加拿大人的個(gè)人和醫(yī)療信息被泄露。LifeLabs發(fā)出安全公告承認(rèn)已經(jīng)向攻擊者繳納贖金。專(zhuān)家認(rèn)為攻擊者采用了勒索軟件+數(shù)據(jù)泄漏的雙重手法，大大提高了贖金的“征收”力度。

10、員工被賄賂成為內(nèi)鬼

在過(guò)去的幾年中，多家知名企業(yè)的員工因收受賄賂泄露企業(yè)數(shù)據(jù)。

在2018年，亞馬遜調(diào)查了幾名員工在賄賂計(jì)劃中的角色，這些賄賂泄漏了大量公司數(shù)據(jù)。最近，有消息顯示，有AT＆T員工受賄并在公司網(wǎng)絡(luò)上植入惡意軟件，從而深入了解AT＆T的內(nèi)部工作原理。

可以肯定的是，賄賂員工是網(wǎng)絡(luò)犯罪常態(tài)化的常用手段，也是公司迫切需要解決的漏洞。

11、過(guò)于寬松的員工數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限

員工不分級(jí)別不受限制地訪(fǎng)問(wèn)公司或客戶(hù)數(shù)據(jù)是一柄雙刃劍，企業(yè)應(yīng)當(dāng)在提高業(yè)務(wù)效率的同時(shí)最大程度地減少濫用或?yàn)E用機(jī)會(huì)。但是，太多的公司為員工分配了過(guò)于寬松的數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限，極大地增加了將來(lái)出現(xiàn)安全或隱私問(wèn)題的可能性。此外，企業(yè)的特權(quán)賬戶(hù)權(quán)限過(guò)大且缺乏有效監(jiān)管也是企業(yè)安全目前面臨的重大問(wèn)題。

12、員工買(mǎi)賣(mài)數(shù)據(jù)

員工泄露公司數(shù)據(jù)的原因有很多，但是最明顯的動(dòng)機(jī)之一就是賺錢(qián)。Deep Secure的一項(xiàng)研究發(fā)現(xiàn)，有45％的員工會(huì)考慮將公司數(shù)據(jù)出售給外部人員，而且，令人難以置信的是，這些信息經(jīng)常被低價(jià)兜售。

研究發(fā)現(xiàn)，英國(guó)員工中有15％的人會(huì)以1,260美元的價(jià)格出售信息，而10％的人以315美元的價(jià)格出售數(shù)據(jù)。

對(duì)于這些不良員工來(lái)說(shuō)，這些數(shù)據(jù)可能很便宜，但對(duì)于公司而言，可能意味著高昂的代價(jià)。

13、員工的無(wú)聊行為

令人難以置信的是，接近四分之一的數(shù)據(jù)泄露事件僅僅是因?yàn)?ldquo;好玩”。根據(jù)Verizon的“數(shù)據(jù)泄露調(diào)查報(bào)告”，令人驚訝一個(gè)事實(shí)是，近24%的數(shù)據(jù)泄露事件是由于員工的無(wú)聊所致。該報(bào)告發(fā)現(xiàn)，“純粹的樂(lè)趣”是網(wǎng)絡(luò)安全或侵犯隱私事件的主要原因之一。

它印證了企業(yè)員工數(shù)據(jù)安全意識(shí)的極度淡漠，這種態(tài)度在許多組織中普遍存在，從整體上講，這種威脅將持續(xù)到明年。

14、員工竊取數(shù)據(jù)用于個(gè)人職業(yè)發(fā)展

數(shù)量驚人的員工愿意竊取公司數(shù)據(jù)以在就業(yè)市場(chǎng)上獲得優(yōu)勢(shì)。例如，蘋(píng)果公司秘密汽車(chē)項(xiàng)目的兩名前蘋(píng)果員工在竊取了與該項(xiàng)目有關(guān)的2000多個(gè)文件后，被控盜竊數(shù)據(jù)。無(wú)論員工是在掠奪知識(shí)產(chǎn)權(quán)、客戶(hù)數(shù)據(jù)還是其他有價(jià)值的信息，都可以在競(jìng)爭(zhēng)激烈的就業(yè)市場(chǎng)中脫穎而出，這給2020年運(yùn)營(yíng)的公司帶來(lái)了數(shù)據(jù)安全風(fēng)險(xiǎn)。

15、中小企業(yè)嚴(yán)重低估網(wǎng)絡(luò)安全的優(yōu)先級(jí)

新聞報(bào)道上看到的往往都是大公司的數(shù)據(jù)泄漏事故，但事實(shí)是中小型企業(yè)最容易受到網(wǎng)絡(luò)攻擊，而不幸的是，中小企業(yè)高管往往最不可能優(yōu)先考慮網(wǎng)絡(luò)安全計(jì)劃。Keep Security進(jìn)行的一項(xiàng)研究發(fā)現(xiàn)，有66％的中小型企業(yè)不相信會(huì)造成數(shù)據(jù)泄露，這與Ponemon Institute的證據(jù)相反，后者發(fā)現(xiàn)67％的中小型企業(yè)在去年遭受了嚴(yán)重攻擊。

16、數(shù)據(jù)泄露只是網(wǎng)絡(luò)欺詐的“第一滴血”

通常，數(shù)據(jù)泄露或侵犯隱私只是越來(lái)越多的網(wǎng)絡(luò)犯罪中的“第一滴血”。Risk Based Security的一份報(bào)告發(fā)現(xiàn)，電子郵件地址和密碼是在線(xiàn)數(shù)據(jù)中最受歡迎的，在所有數(shù)據(jù)泄露事件中有70％包含電子郵件地址。郵件信息可以部署在其他更“精妙”的網(wǎng)絡(luò)攻擊中，成為安全事件連鎖反應(yīng)的導(dǎo)火索。

17、高管離職

組織的創(chuàng)始人和高級(jí)管理層往往能夠不受限制地訪(fǎng)問(wèn)公司數(shù)據(jù)，這不是問(wèn)題，但當(dāng)他們決定離開(kāi)公司或被迫退出時(shí)，他們的“不爽”就會(huì)成為一個(gè)大問(wèn)題。

特權(quán)賬戶(hù)的有效管理能夠大大降低數(shù)據(jù)丟失和隱私問(wèn)題的發(fā)生幾率。

18、簡(jiǎn)單得要命的密碼

谷歌的一項(xiàng)研究發(fā)現(xiàn)，互聯(lián)網(wǎng)上使用的所有登錄憑證中有1.5％容易受到憑證填充攻擊，這些攻擊會(huì)遍歷以前被盜的賬戶(hù)信息，從而進(jìn)一步損害公司的IT基礎(chǔ)架構(gòu)。

有趣的是，員工在得知信息泄露風(fēng)險(xiǎn)后依然不愿更改或改進(jìn)這些密碼。不能貫徹實(shí)施最佳密碼管理實(shí)踐，會(huì)使企業(yè)在現(xiàn)在和未來(lái)一年面臨巨大風(fēng)險(xiǎn)。

19、聲譽(yù)攻擊

很多時(shí)候，黑客攻擊僅僅是為了撈取在圈子里炫耀的資本。7月，信用卡公司Capital One遭受了一次漏洞的破壞，遭受了泄露1億條記錄的數(shù)據(jù)泄露。但攻擊者的目的卻不是為了錢(qián)，這名黑客一直在尋求提升自己在各種社區(qū)吹牛的資本。

對(duì)于某些黑客人而言，數(shù)據(jù)盜竊的目的與數(shù)據(jù)本身價(jià)值無(wú)關(guān)，而是與他們自己的惡名聲有關(guān)，這對(duì)于努力保護(hù)客戶(hù)數(shù)字隱私的企業(yè)來(lái)說(shuō)是一個(gè)撓頭的問(wèn)題。

20、放棄治療

當(dāng)今危險(xiǎn)的數(shù)字環(huán)境威脅防不勝防。安全和隱私事件的頻發(fā)打擊了很多企業(yè)的信心，太多公司選擇聽(tīng)天由命，而不是抓住機(jī)會(huì)加強(qiáng)防御能力。

消極抵抗、甚至放棄抵抗可能是所有漏洞中最嚴(yán)重的漏洞。企業(yè)沒(méi)有采取任何行動(dòng)，而不是控制可控因素，解決風(fēng)險(xiǎn)問(wèn)題并實(shí)施確保整體數(shù)據(jù)安全性的安全策略。