2020年企業面臨的20大數據安全風險
責編:gltian |2019-12-26 13:47:492020年,數字空間危機四伏,灰犀牛與黑天鵝扎堆起舞,但也隱含著巨大的 “安全紅利”。野蠻生長和狼性文化驅動的數字經濟已經來到一個拐點,安全債、技術債、文化債到了總清算的關頭,那些能夠管理風險、駕馭風險,在數字化轉型過程中有效保護數據和隱私,建立 “安全自信” 和 “安全生態” 的公司,將浴火重生,引領下一個十年。
近年來數據泄露和隱私事故越來越普遍,而且代價高昂。Risk Based Security 的一項研究發現,數據泄露比去年同期上升了 54% 以上。同時,IBM 的年度數據泄露成本報告發現,數據泄露的平均總成本接近 400 萬美元。
毫無疑問,數據安全已成為企業、消費者和監管機構的頭等大事。
12 月 20 日,全國人大法工委在記者會上宣布個人信息保護法、數據安全法將列入 2020 年立法工作計劃,拉開了數據安全保衛戰的序幕。
為了幫助企業為日益增長的確定性風險做好準備,以下安全牛總結了企業 2020 年可能面臨的 20 種數據安全風險。
01、疏忽意外導致的數據泄露
通常,人們總是將數據泄露和隱私事故與黑客攻擊聯系起來,是黑客們利用隱秘的漏洞來竊取信息。但是,出乎很多人的意料,我們最大的敵人似乎不是黑客,而是人員疏忽。數據泄露事故常常是疏忽和意外造成的,例如你的員工機場上了一個假熱點,不小心把含有敏感信息的郵件 CC 給了陌生人,離開時又遺失了未加密的筆記本電腦。
Shred-it 的一項研究發現,40% 的高級管理人員和小企業主表示,疏忽和意外損失是他們最近一次安全事件的主要原因。
02、過勞的IT管理員
當今的威脅形勢可能令人筋疲力盡,尤其是負責保護公司最重要數據的 IT 管理員。
黑客只需要正確一次就足以突破企業的防線,造成嚴重損失,而 IT 管理員則必須全力抵抗持續不斷的攻擊,不容有失,壓力之大可想而知。這可能就是為什么近 2/3 的網絡安全專家已考慮辭職或完全離開該行業的原因。
這種流失以及員工過度勞累不可避免產生效率下降和失誤,使公司容易受到數據安全或隱私事故的影響。
03、員工監守自盜
在大多數情況下,員工和數據是公司最寶貴的資產,但個別員工,也會對企業的數據資產產生想法。
現任和前任雇員盜竊公司數據的情況非常普遍,國內的案例暫且不表,國外的典型是加拿大信用合作社Desjardins ,2019年6月,一名前員工偷走了Desjardins近300萬客戶的個人數據,這成為該國歷史上最大的數據災難之一。
04、供應鏈“漏風”
卡巴斯基在 2019 年發布的《 IT安全經濟學》報告(安全牛網站下載地址)顯示,大企業和中小型企業涉及第三方供應商(服務和產品)的數據泄露事件發生率分別為 43% 和 38%。根據 One Identity 的調查,大多數組織 (94%) 授予第三方訪問其網絡的權限,而 72% 的組織授予特權訪問權限。但是,只有 22% 的人確信第三方沒有訪問未授權信息,而 18% 的人報告說由于第三方的訪問造成了違規。
卡巴斯基的研究表明,75% 的中小企業和 79% 的大企業都在強迫第三方供應商簽署安全策略協議,在第三方對違規行為負責時,是否有協議的賠償結果會有很大不同。在已制定政策的企業中,有 71% 的企業表示已獲得補償,而沒有第三方政策的企業中只有22%的企業獲得了補償。
05、危險的個人通訊
數字通信是我們日常生活中無處不在的一部分,對于努力保護客戶隱私的公司而言,數字通信的漏洞和風險無處不在(包括微信、QQ 等社交通訊和個人網盤等文件分享和協作工具)。
最令人恐懼的是,大量員工使用個人設備或個人帳戶來傳送敏感的客戶信息。
例如,在醫療行業,近 30% 的醫療團隊成員承認使用個人設備來傳送私人患者的詳細信息。
06、網絡釣魚飆升
微軟的一項分析發現,網絡釣魚詐騙今年增長了 250%。而且,這些技術正在變得越來越復雜,這使它們既難以識別,成功率不斷提升。被釣魚郵件突破的單個員工就可能會泄露大量公司數據。
07、魚叉式釣魚防不勝防
網絡釣魚活動令人討厭,但魚叉式網絡釣魚活動卻令人恐懼。這種特定的網絡釣魚攻擊使用以前被盜的數據來炮制格外逼真的電子郵件,難以阻止和防御。在安全牛之前報道的,仍在進行中的 “江南工業風” APT 攻擊活動中,攻擊者使用的魚叉式釣魚郵件附有看上去非常專業的工廠設計報價單和圖紙,已經有大量韓國化工企業和部分中國企業中招。
08、數據盜竊勒索贖金
過去幾年最知名的數據泄露 “撕票” 事件莫過于索尼影業數據泄露事件,這種慘烈的結果是很多企業不愿再看到的。如今黑客有很多方法可以從被盜數據中獲利。盡管 “暗網” 提供了廣闊的銷售渠道,但越來越多的網絡犯罪分子不是在網上出售數據,而是開始直接向 “失主” 收取贖金。
09、勒索軟件贖金
勒索軟件攻擊已經獲得了新的生命,比去年同期增長了 500%,對企業、政府機構和其他組織構成了嚴重的數據安全風險。
與數據盜竊不同,勒索軟件(以前)并不會拿走數據,而是就地加密鎖死用戶數據,直到用戶繳納贖金。勒索軟件面前 “人人平等”,無論是大型行業企業還是中小企業甚至政府執法機構,一旦中招,恢復數據最有效的措施往往就是乖乖交錢。
2019 年,勒索軟件相關的數據恢復成本增加了一倍以上,2020 年,帶有數據泄漏機制的勒索軟件將給企業帶來更加高昂的數據恢復成本。數天前,加拿大最大的醫療實驗室測試服務提供商 LifeLabs 發生大規模的數據泄露事故,近 1500 萬加拿大人的個人和醫療信息被泄露。LifeLabs 發出安全公告承認已經向攻擊者繳納贖金。專家認為攻擊者采用了勒索軟件+數據泄漏的雙重手法,大大提高了贖金的 “征收” 力度。
10、員工被賄賂成為內鬼
在過去的幾年中,多家知名企業的員工因收受賄賂泄露企業數據。
在 2018 年,亞馬遜調查了幾名員工在賄賂計劃中的角色,這些賄賂泄漏了大量公司數據。最近,有消息顯示,有 AT&T 員工受賄并在公司網絡上植入惡意軟件,從而深入了解 AT&T 的內部工作原理。
可以肯定的是,賄賂員工是網絡犯罪常態化的常用手段,也是公司迫切需要解決的漏洞。
11、過于寬松的員工數據訪問權限
員工不分級別不受限制地訪問公司或客戶數據是一柄雙刃劍,企業應當在提高業務效率的同時最大程度地減少濫用或濫用機會。但是,太多的公司為員工分配了過于寬松的數據訪問權限,極大地增加了將來出現安全或隱私問題的可能性。此外,企業的特權賬戶權限過大且缺乏有效監管也是企業安全目前面臨的重大問題。
12、員工買賣數據
員工泄露公司數據的原因有很多,但是最明顯的動機之一就是賺錢。Deep Secure 的一項研究發現,有 45% 的員工會考慮將公司數據出售給外部人員,而且,令人難以置信的是,這些信息經常被低價兜售。
研究發現,英國員工中有 15% 的人會以 1,260 美元的價格出售信息,而 10% 的人以 315 美元的價格出售數據。
對于這些不良員工來說,這些數據可能很便宜,但對于公司而言,可能意味著高昂的代價。
13、員工的無聊行為
令人難以置信的是,接近四分之一的數據泄露事件僅僅是因為 “好玩”。根據 Verizon 的 “數據泄露調查報告”,令人驚訝一個事實是,近 24% 的數據泄露事件是由于員工的無聊所致。該報告發現,“純粹的樂趣” 是網絡安全或侵犯隱私事件的主要原因之一。
它印證了企業員工數據安全意識的極度淡漠,這種態度在許多組織中普遍存在,從整體上講,這種威脅將持續到明年。
14、員工竊取數據用于個人職業發展
數量驚人的員工愿意竊取公司數據以在就業市場上獲得優勢。例如,蘋果公司秘密汽車項目的兩名前蘋果員工在竊取了與該項目有關的 2000 多個文件后,被控盜竊數據。無論員工是在掠奪知識產權、客戶數據還是其他有價值的信息,都可以在競爭激烈的就業市場中脫穎而出,這給 2020 年運營的公司帶來了數據安全風險。
15、中小企業嚴重低估網絡安全的優先級
新聞報道上看到的往往都是大公司的數據泄漏事故,但事實是中小型企業最容易受到網絡攻擊,而不幸的是,中小企業高管往往最不可能優先考慮網絡安全計劃。Keep Security 進行的一項研究發現,有 66% 的中小型企業不相信會造成數據泄露,這與 Ponemon Institute 的證據相反,后者發現 67% 的中小型企業在去年遭受了嚴重攻擊。
16、數據泄露只是網絡欺詐的“第一滴血”
通常,數據泄露或侵犯隱私只是越來越多的網絡犯罪中的 “第一滴血”。Risk Based Security 的一份報告發現,電子郵件地址和密碼是在線數據中最受歡迎的,在所有數據泄露事件中有 70% 包含電子郵件地址。郵件信息可以部署在其他更 “精妙” 的網絡攻擊中,成為安全事件連鎖反應的導火索。
17、高管離職
組織的創始人和高級管理層往往能夠不受限制地訪問公司數據,這不是問題,但當他們決定離開公司或被迫退出時,他們的 “不爽” 就會成為一個大問題。
特權賬戶的有效管理能夠大大降低數據丟失和隱私問題的發生幾率。
18、簡單得要命的密碼
谷歌的一項研究發現,互聯網上使用的所有登錄憑證中有 1.5% 容易受到憑證填充攻擊,這些攻擊會遍歷以前被盜的賬戶信息,從而進一步損害公司的 IT 基礎架構。
有趣的是,員工在得知信息泄露風險后依然不愿更改或改進這些密碼。不能貫徹實施最佳密碼管理實踐,會使企業在現在和未來一年面臨巨大風險。
19、聲譽攻擊
很多時候,黑客攻擊僅僅是為了撈取在圈子里炫耀的資本。7 月,信用卡公司 Capital One 遭受了一次漏洞的破壞,遭受了泄露 1 億條記錄的數據泄露。但攻擊者的目的卻不是為了錢,這名黑客一直在尋求提升自己在各種社區吹牛的資本。
對于某些黑客人而言,數據盜竊的目的與數據本身價值無關,而是與他們自己的惡名聲有關,這對于努力保護客戶數字隱私的企業來說是一個撓頭的問題。
20、放棄治療
當今危險的數字環境威脅防不勝防。安全和隱私事件的頻發打擊了很多企業的信心,太多公司選擇聽天由命,而不是抓住機會加強防御能力。
消極抵抗、甚至放棄抵抗可能是所有漏洞中最嚴重的漏洞。企業沒有采取任何行動,而不是控制可控因素,解決風險問題并實施確保整體數據安全性的安全策略。
Risk Based Security 研究報告地址:
https://www.riskbasedsecurity.com/2019/08/15/2019-on-track-for-another-worst-year-on-record/
IBM 的年度數據泄露成本報告地址: