更新日期:2024 年 5 月 24 日
撰稿人:Matthew Kosinski
数据泄露是指未经授权方访问敏感数据或机密信息的任何安全事件,包括个人数据(社会保障编号、银行帐号、医疗保健数据)或企业数据(客户数据记录、知识产权、财务信息)。
术语“数据泄露”和“泄露”通常与“网络攻击”互换使用。但并非所有网络攻击都是数据泄露,也并非所有数据泄露都是网络攻击。
数据泄露仅包括那些破坏数据机密性的安全泄露。例如,导致网站瘫痪的分布式拒绝服务 (DDoS) 攻击并不是数据泄露。但是,勒索软件攻击会锁定公司的客户数据,并威胁该公司:如果不支付赎金就将其出售,这就是数据泄露。硬盘驱动器、拇指驱动器甚至包含敏感信息的纸质文件的物理盗窃也是数据泄露。
与没有使用 AI 和自动化的组织相比,使用这些工具的公司如果发生数据泄露,其损失要少 300 万美元。
根据 IBM 的 2022 年数据泄露成本报告,全球平均数据泄露成本为 435 万美元;美国平均数据泄露成本超过其两倍,为 944 万美元。报告中接受调查的组织中有百分之八十三 (83)% 经历过不止一次数据泄露。
各种规模和类型的组织都容易遭受数据泄露,包括大型和小型企业、上市公司和私营公司、联邦、州和地方政府以及非营利组织。但数据泄露的后果对于医疗保健、金融和公共部门等领域的组织来说尤其严重。这些公司所处理数据(政府机密、患者健康信息、银行帐号和登录凭证)的价值以及这些组织在发生数据泄露时面临的严格监管罚款和处罚,使得它们的数据泄露成本更高。例如,根据 IBM 报告,医疗保健数据泄露的平均成本为 1010 万美元,是超过所有数据泄露平均成本的两倍。
数据泄露成本由多种因素产生,其中一些因素比其他因素更令人惊讶。由此造成的业务、收入和客户损失使数据泄露受害者平均损失 142 万美元。但检测和遏制泄露行为的成本稍高一些,平均为 144 万美元。数据泄露受害者平均损失 149 万美元,其中包括从罚款、和解费、律师费到报告费用以及为受影响客户提供免费信用监控等在内的泄露后费用。数据泄露报告要求可能代价特别高昂且耗时。
- 美国《2022 年关键基础设施网络事件报告法案》(CIRCIA) 要求国家安全、金融、关键制造和其他指定行业的组织在 72 小时内向美国国土安全部报告影响个人数据或业务运营的网络安全事件。
- 如果受保护的健康信息遭到泄露,须遵守健康保险流通与责任法案 (HIPPA) 的美国组织必须通知美国卫生与公众服务部、受影响的个人以及(在某些情况下)媒体。
- 美国的 50 个州也都有自己的数据泄露通知法。
- 《通用数据保护条例》(GDPR) 要求与欧盟公民开展业务的公司在 72 小时内将泄露行为通知当局。此报告和其他泄露后责任(从支付罚款、和解费和律师费用到为受影响的客户提供免费信用监控)使数据泄露受害者平均损失 149 万美元。
注册获取 X-Force Threat Intelligence 指数
数据泄露可能由以下原因引起
- 无心错误 — 例如,员工将机密信息通过电子邮件发送给错误的人
- 恶意内部人员 — 心怀愤怒或被解雇的员工,或者容易受到外部人员贿赂的贪婪员工
- 黑客 — 蓄意实施网络犯罪以窃取数据的恶意外部人员。
大多数恶意攻击的动机都是经济利益。黑客可能会窃取信用卡卡号码、银行帐户或其他财务信息,以直接从个人和公司中窃取资金。他们可能会窃取个人可标识信息 (PII)(社会保障编号和电话号码),用于身份盗用(贷款以及以受害者的名义开设信用卡)或在暗网上出售,在暗网上,每个社会保障编号最高可获得 1 美元,护照号码可获得 2,000 美元(ibm.com 外部链接)。网络罪犯还可能将个人详细信息或窃取的凭证出售给暗网上的其他黑客,这些黑客可能会将其用于实现自己的恶意目的。
数据泄露可能还有其他目标。不法组织可能会窃取竞争对手的商业机密。民族国家行为者可能会破坏政府系统来窃取有关敏感政治交易、军事行动或国家基础设施的信息。有些泄露行为纯粹是破坏性的,黑客访问敏感数据只是为了进行破坏或篡改。根据 2022 年数据泄露成本报告,此类破坏性攻击占泄露事件的 17%,通常是民族国家行为者或试图破坏组织的黑客活动团体所为。
根据 2022 年数据泄露成本报告,数据泄露的平均生命周期为 277 天,这意味着组织需要这么长的时间来识别和遏制主动泄露。
由内部或外部威胁行为者造成的故意数据泄露遵循相同的基本模式:
- 研究:黑客搜寻目标,然后寻找目标计算机系统或员工中可以利用的漏洞。他们还可能购买以前被盗的信息恶意软件,帮助他们获取目标网络的访问权限。
- 攻击:确定目标和方法后,黑客就会发起攻击。黑客可能会发起社会工程活动,直接利用目标系统中的漏洞,使用被盗的登录凭证,或者利用任何其他常见的数据泄露攻击媒介(见下文)。
- 破坏数据:黑客找到他们想要的数据并采取行动。这可能意味着他们会窃取数据以供使用或出售、销毁数据或使用勒索软件锁定数据并要求支付赎金。
恶意行为者可以使用各种攻击媒介或方法来进行数据泄露。一些最常见的媒介或方法包括:
根据 2023 年数据泄露成本报告,被盗或被破坏的凭据是第二大最常见的初始攻击媒介,占数据泄露事件的 15%。
黑客可以使用暴力攻击破解密码、从暗网购买被盗凭据或通过社会工程攻击诱骗员工透露密码来窃取凭据。
根据数据泄露的成本报告,24% 的恶意数据泄露事件都与勒索软件有关,勒索软件是一种恶意软件,它扣留数据,直到受害者支付赎金。这些数据泄露事件的代价往往也更高,平均为 513 万美元。这一数字还不包括高达数千万美元的赎金。
网络罪犯可以利用网站、操作系统、端点、API 和 Microsoft Office 等常见软件或其他 IT 资产中的漏洞来访问目标网络。
威胁参与者不需要直接攻击目标。在供应链攻击中,黑客利用公司服务提供商和供应商网络中的漏洞窃取数据。
当黑客发现漏洞时,他们通常会利用它在网络中植入恶意软件。间谍软件会记录受害者的击键操作和其他敏感数据,并将其发送给黑客控制的服务器,它是数据泄露中使用的一种常见恶意软件。
SQL 注入是另一种直接破坏目标系统的方法,它利用不安全网站的结构化查询语言 (SQL) 数据库的漏洞。
黑客在面向用户的字段中输入恶意代码,例如搜索栏和登录窗口。此代码会导致数据库泄露私人数据,例如信用卡卡号或客户的个人详细信息。
威胁参与者可以利用员工的错误来获取机密信息。
例如,配置错误或过时的系统可能会让未经授权的各方访问他们不应该访问的数据。员工还可能通过将数据存储在不安全的位置、将硬盘驱动器上保存有敏感信息的设备放错位置,或者错误地授予网络用户过多的数据访问特权,从而暴露数据。网络罪犯还可能利用 IT 故障(例如临时系统中断)潜入敏感数据库。
根据数据泄露的成本报告,云错误配置占数据泄露的 11%。已知但未修补的漏洞占数据泄露的 6%。意外数据丢失(包括设备丢失或被盗)占另外 6%。总之,将近四分之一的数据泄露事件都是这些错误造成的。
威胁参与者可能会闯入公司办公室,窃取员工的设备、纸质文档和包含敏感数据的物理硬盘。攻击者还可能在物理信用卡和借记卡读卡器上放置窃听设备,以收集支付卡信息。
2007 年,零售商 TJ Maxx 和 Marshalls 的母公司 TJX Corporation 发生了数据泄露事件,是当时美国历史上最大、代价最高的消费者数据泄露事件。多达 9400 万条客户记录遭到泄露,因此该公司遭受了超过 2.56 亿美元的财务损失。
黑客通过在两家商店的无线网络上安装流量嗅探器,获取了这些数据。这些嗅探器使黑客能够捕捉到从商店收银机传输到后端系统的信息。
2013 年,雅虎遭受了可能是历史上最大的数据泄露。黑客利用公司 Cookie 系统中的漏洞获取了雅虎全部 30 亿用户的姓名、出生日期、电子邮件地址和密码。
2016 年,当 Verizon 就收购该公司进行洽谈时,整个数据泄露事件才被曝光。因此,Verizon 将其收购要约减少了 3.5 亿美元。
2017 年,黑客入侵了信用报告机构 Equifax,并获取了超过 1.43 亿美国人的个人数据。
黑客利用 Equifax 网站中未修补的漏洞获取网络访问权限,然后横向转移到其他服务器以查找社会保障编号、驾照号码和信用卡卡号。这次攻击使 Equifax 损失了 14 亿美元,包括和解费、罚款以及与修复漏洞相关的其他费用。
2020 年,俄罗斯威胁参与者通过黑客攻击软件供应商 SolarWinds 实施了供应链攻击。黑客利用该组织的网络监控平台 Orion 秘密向 SolarWinds 的客户分发恶意软件。
俄罗斯间谍获取了使用 SolarWinds 服务的多个美国政府机构(包括财政部、司法部和国务院)的机密信息。
2021 年,黑客使用勒索软件感染了 Colonial Pipeline 的系统,迫使该公司暂时关闭供应美国东海岸 45% 燃料的管道。
黑客利用在暗网上找到的一名员工的密码入侵了网络。Colonial Pipeline Company 以加密货币支付了 440 万美元赎金,但联邦执法部门仅追回了其中约 230 万美元。
2023 年秋季,黑客窃取了 690 万 23andMe 用户的数据。这次数据泄露事件之所以引人注目,有几个原因。首先,由于 23andMe 进行基因测试,攻击者获得了一些非常规且高度个人化的信息,包括家谱和 DNA 数据。
其次,黑客通过一种称为“撞库”的技术破坏了用户帐户。在这种攻击中,黑客使用以前从其他来源泄露的凭据侵入用户在不同平台上的不相关帐户。这些攻击之所以能成功,是因为许多人在各个网站重复使用相同的用户名和密码组合。
根据数据泄露成本报告,组织平均需要 277 天来识别和遏制主动泄露事件。部署正确的安全解决方案可以帮助组织更快地检测和响应这些漏洞。
定期漏洞评估、计划备份、及时修补和适当的数据库配置等标准措施可以帮助防范一些数据泄露,并减轻数据泄露发生时对组织带来的打击。
然而,当今许多组织可以实施更先进的控制和最佳实践,以阻止更多数据泄露事件并显著减轻其造成的损害。
组织可以部署专门的数据安全解决方案,以自动发现敏感数据并对其进行分类,应用加密和其他保护措施,并实时了解数据使用情况。
组织可以通过采用正式的事件响应计划来检测、遏制和消除网络威胁,从而减轻数据泄露带来的损害。根据“数据泄露成本”报告,拥有定期测试的事件响应计划和专门响应团队的组织将遏制数据泄露所需的时间平均缩短了 54 天。
由于社会工程和网络钓鱼攻击是造成数据泄露的主要原因,因此培训员工识别和避免这些攻击可以降低公司数据泄露的风险。此外,培训员工正确处理数据有助于防止意外数据泄露和数据违规。
密码管理器、双重身份验证 (2FA) 或多重身份验证 (MFA)、单点登录 (SSO) 和其他身份和访问管理 (IAM) 工具可以保护员工帐户和凭据免遭盗窃。
组织还可以实施基于角色的访问控制和最小特权原则,以限制员工仅访问其角色所需的数据。这些政策有助于阻止内部威胁和劫持合法帐户的黑客。
脚注
1 黑客通过窃取数据能赚多少钱?(ibm.com 外部链接),纳斯达克。2023 年 10 月 16 日