数据渗漏又称数据挤出或数据导出,是一种数据盗窃行为:是指蓄意、未经授权、隐蔽地从计算机或其他设备中转移数据。数据渗漏可以手动进行,也可以使用恶意软件自动进行。
对于从普通用户到主要企业和政府机构等目标,数据渗漏攻击被列为最具破坏性和损害性的网络安全威胁之一。防止数据渗漏和保护公司数据至关重要,原因如下:
保持业务连续性:数据渗漏可能会中断运营,损害客户信任度,并导致财务损失。
法规一致性:许多行业都有关于数据隐私和保护的具体法规。数据渗漏通常是由于不遵守这些法规而导致或暴露的,并可能导致严厉的处罚和持久的声誉损害。
保护知识产权:数据渗漏可能会泄露商业秘密、研发以及其他对组织盈利能力和竞争优势至关重要的专有信息。
对于网络罪犯来说,敏感数据已成为极其有价值的目标。窃取的客户数据、个人可标识信息 (PII)、社会保障编号或任何其他类型的机密信息可能会在黑市上出售,用于执行进一步的网络攻击,或作为勒索软件攻击的一部分遭到劫持以换取高昂的赎金。
虽然数据泄漏、数据违规和数据渗漏经常互换使用,但它们的概念不同(如果相关)。
数据泄露是指意外暴露敏感数据。技术安全漏洞或程序安全错误都可能导致数据泄漏。
数据违规是指导致未经授权访问机密或敏感信息的任何安全事件,即不应访问敏感数据的人员可以访问敏感数据。
数据渗漏是一种窃取数据的离散行为。所有数据渗漏都需要数据泄露或数据违规,但并非所有数据泄露或数据违规都会导致数据渗漏 — 威胁参与者可能会选择加密数据,作为勒索软件攻击的一部分,或者用它来劫持高管的电子邮件帐户。在数据被复制或移动到攻击者控制的某其他存储设备之前,不能构成数据渗漏。
它们之间的区别很重要。在 Google 中搜索“数据渗漏成本”,您会发现大量有关数据违规成本的信息,这主要是因为有关数据渗漏造成的成本直接的可用数据很少。但许多数据违规成本计算并不包括与渗漏相关的具体成本,例如通常为防止销售或发布渗漏数据而支付相当多赎金的成本,或者由渗漏数据引发的后续攻击的成本。
在大多数情况下,发生数据渗漏的原因如下
外部攻击者 — 黑客、网络罪犯、外国对手或其他恶意行为者。
粗心导致的内部威胁 — 员工、业务合作伙伴或其他授权用户因人为错误、判断失误(例如,陷入网络钓鱼诈骗)或不了解安全性控制、政策和最佳实践(例如,将敏感数据传输到拇指驱动器、便携式硬盘驱动器或其他不安全的设备)而无意中公开数据。
在极少数情况下,原因是恶意内部威胁 — 有权访问网络的不良行为者,例如心怀不满的员工。
外部攻击者和恶意内部人员利用粗心或训练无素的内部人员以及技术安全漏洞来访问和窃取敏感数据。
社会工程攻击利用人类心理来操纵或诱骗个人采取危及自身安全或组织安全的行动。
最常见的社会工程攻击类型是网络钓鱼,包括使用电子邮件、文本或语音消息冒充受信任的发件人并说服用户下载恶意软件(例如勒索软件)、单击恶意网站的链接、透露个人信息(例如登录凭证),或者在某些情况下直接交出攻击者想要窃取的数据。
网络钓鱼攻击的范围很广,从看似来自可信品牌或组织的非个人批量网络钓鱼消息,到高度个性化的鱼叉式网络钓鱼、鲸钓和针对特定个人的商业电子邮件犯罪 (BEC) 攻击,这些消息看上去像来自亲密同事或权威机构人物。
但社会工程的技术性要低得多。一种称为诱饵 (Baiting) 的社会工程技术非常简单,只需将受恶意软件感染的拇指驱动器留在用户会拿起该驱动器的地方即可。另一种称为尾随 (tailgaiting) 的技术也比较简单,只需跟随授权用户进入存储数据的房间的物理位置即可。
漏洞攻击利用系统或设备的硬件、软件或固件中的安全缺陷或漏洞。零日漏洞攻击利用黑客在软件或设备供应商知道或能够修复漏洞攻击之前发现的安全缺陷。DNS 隧道通信使用域名服务 (DNS) 请求来逃避防火墙防御并通过创建虚拟隧道来泄露敏感信息。
对于个人而言,通过渗漏窃取的数据可能会导致代价高昂的后果,例如身份盗用、信用卡或银行欺诈以及敲诈或勒索。对于组织而言,尤其是卫生保健和金融等受到高度监管的行业中的组织,他们要为数据泄露后果付出的代价要高出几个数量级。后果包括:
由于丢失业务关键型数据而导致运营中断;
失去客户的信任或业务;
泄露有价值的商业秘密,例如产品开发/发明、独特的应用程序代码或制造工艺;
导致组织在处理客户敏感数据时,为了遵守严格的数据保护和隐私协议以及预防措施,需要承担严厉的监管罚款、费用和其他制裁;
渗漏数据可能引起后续攻击。
很难找到直接归因于数据渗漏的成本的相关报告或研究,但数据渗漏的发生率正在迅速上升。如今,大多数勒索软件攻击都是双重勒索攻击 — 网络罪犯对受害者的数据进行加密并进行渗漏,然后要求受害者提供赎金来解锁数据(以便受害者可以恢复业务运营),并会要求受害者支付后续赎金以防止将数据销售或发布给第三方。
2020 年,网络罪犯仅从 Microsoft 和 Facebook 就渗漏了数亿条客户记录。2022 年,Lapsus$ 黑客组织从芯片制造商 Nvidia 渗漏了 1 TB 的敏感数据,并泄露了该公司的深度学习技术源代码。如果黑客要的是金钱,那么受害者为数据渗漏支付的赎金一定很高,而且金额越来越大。
组织结合使用最佳实践和安全解决方案来防止数据渗漏。
安全意识培训。由于网络钓鱼是一种常见的数据渗漏攻击媒介,因此培训用户识别网络钓鱼诈骗可以帮助阻止黑客的数据渗漏企图。对用户进行远程办公、密码安全、在工作中使用个人设备以及处理/传输/存储公司数据的最佳实践培训,可以帮助组织降低数据渗漏的风险。
身份和访问管理 (IAM)。借助 IAM 系统,公司可以为网络上的每个用户分配和管理单一数字身份和一组访问特权,从而简化授权用户的访问,同时阻止未经授权的用户(包括黑客)进入。IAM 可以结合以下技术:
多重身份验证 — 除用户名和密码外,还需要一个或多个登录凭证)
基于角色的访问控制 (RBAC) — 根据用户在组织中的角色确定访问许可权
自适应身份验证 — 要求用户在上下文发生变化时重新进行身份验证(例如,他们切换设备或尝试访问特别敏感的应用程序或数据)
单点登录 — 一种身份验证方案,允许用户使用一组登录凭证登录一次会话,并且在该会话期间无需再次登录即可访问多个相关的本地或云服务。
数据丢失预防 (DLP)。DLP 解决方案可监控和检查静态(存储中)、动态(通过网络移动)和使用中(正在处理)等任何状态下的敏感数据是否存在渗漏迹象,并在检测到这些迹象时阻止渗漏。例如,DLP 技术可以防止将数据复制到未经授权的云存储服务,也可防止未经授权的应用程序(例如,用户从网络下载的应用程序)处理数据。
威胁检测和响应技术。越来越多的网络安全技术持续监控和分析企业网络流量和用户活动,帮助负担过重的安全团队实时或近乎实时地检测网络威胁,并以最少的手动干预做出响应。这些技术包括入侵检测系统 (IDS) 和入侵防御系统 (IPS)、安全信息和事件管理 (SIEM) 和安全编排、自动化和响应 (SOAR) 软件以及端点检测和响应 (EDR) 和扩展检测和响应 (XDR) 解决方案。
利用互联的现代化安全套件战胜攻击QRadar 产品组合嵌入了企业级 AI,并提供用于端点安全、日志管理、SIEM 和 SOAR 的集成产品,所有这些产品都具有通用用户界面、共享见解和互联工作流程。
IBM 数据安全解决方案在本地或混合云中实施,可帮助您获得更大的可见性和洞察力,以调查和修复网络威胁、实施实时控制并管理法规遵从性。
主动威胁搜寻、持续监控和深入调查威胁只是本已忙碌的 IT 部门面临的几个优先事项。拥有一支值得信赖的事件响应团队随时待命可以减少您的响应时间,最大限度地减少网络攻击的影响,并帮助您更快地恢复。