上海
海外視點
數據泄露一直是信息技術發展的隱患,盡管人們為此作出了大量努力,其數量仍逐年增加。近日,麻省理工學院斯隆管理學院信息技術教授斯圖爾特·馬德尼克(Stuart Madnick)在《哈佛商業評論》發文《2023年數據泄露為何激增》(Why Data Breaches Spiked in 2023),根據其研究小組的研究成果,分析了數據泄露的三大源頭并提出了相應對策。
原文 :《堵住個人數據泄露的三大源頭》
編譯 |鐘麗麗
圖片 |網絡
多年來,公司、大學、政府機構等各種組織花費了大量資源,努力保護自己免受網絡攻擊。但盡管作出了諸多努力,數據泄露(黑客竊取個人數據)事件仍在繼續逐年增加。據統計,從2022年到2023年,數據泄露事件增加了20%,遭受數據泄露的人數是2022年人數的兩倍,而在中東,勒索軟件團伙活動在同一時間段內增加了77%。為什么人們付出了巨大努力,這種網絡損害仍在繼續并擴大?對此,又該如何應對呢?
云配置錯誤
個人數據泄露事件增加的主要原因首先是云配置錯誤。亞馬遜、谷歌、微軟等公司提供的云存儲帶來了很多好處,如成本效益、安全性、輕松的數據共享、同步、便利性、可擴展性和數據恢復等,因此,公司將越來越多的數據放在云中。據估計,全球超過60%的企業數據被存儲在云中,這使得云成為黑客攻擊的重要目標。2023年,超過80%的數據泄露涉及被存儲在云中的數據。這不僅僅是因為云是黑客的攻擊目標,很多情況下,由于云配置錯誤,它也很容易成為目標。也就是說,公司無意中濫用了云,例如允許過度寬松的云訪問、擁有不受限制的端口及使用不安全的備份。根據美國國家安全局的說法,“云配置錯誤是最普遍的云漏洞”,黑客可以利用它來訪問云數據和服務。
為什么人們會犯這樣的錯誤?這是幾個相互關聯的原因造成的:許多公司最近才把數據遷移到云上,因此它們沒有豐富的經驗;為滿足客戶需求和競爭,云提供商不斷增加功能并相應增加復雜性。此外,人們希望云更易于使用,因此云提供商默認提供更寬松的設置。用戶可能沒有意識到網絡是怎么設置的,以及他們的部分或全部數據存儲是否公開暴露在公共互聯網上。
有句老話說得很有道理:欲速則不達。在快速過渡到云和發布新應用程序的過程中,公司經常走捷徑,沒有花足夠的時間確認云配置設置是否正確,從而導致數據泄露。因此,為避免信息泄露,公司應花些時間認真仔細地驗證云存儲是否被正確使用。
新型勒索軟件攻擊
個人數據泄露事件增加的第二個主要原因是新型勒索軟件的攻擊。勒索軟件攻擊就是黑客進入用戶計算機,通過加密編碼來“鎖定”數據,并要求用戶支付贖金以獲得釋放數據所需的解密密鑰。在這種類型的勒索軟件攻擊中,數據實際上并沒有被提取——它仍保留在用戶的計算機上,但用戶無法使用它。
隨著公司在維護和使用備份數據方面做得越來越好,勒索軟件似乎可能變得不那么有威脅性。但現實情況是,勒索軟件攻擊事件不斷增加并變得更加危險。為了防止受害者拒絕支付贖金的可能性,攻擊者會在受害者的計算機上加密數據之前復制數據,然后他們使用勒索和綁架的方式發出威脅:支付贖金,否則我們將開始公開披露您的私人數據!這種類型的勒索軟件攻擊存在實際的數據泄露風險,并且更有可能公開披露大量數據。
這種狀況主要是用戶某種程度上的幼稚或無知造成的。人們通常認為他們使用的保護方法(如防火墻、多因素識別等)可以將攻擊者拒之門外,因此不必擔心數據被竊取。同樣,處理未加密的數據似乎更簡單,因此,他們選擇不加密數據。
要避免這種損失,勤勉有效地備份所有數據,快速高效地恢復數據,對于解決傳統的勒索軟件攻擊仍然很重要。若要消除私人數據被公開的額外風險,需要防止攻擊者從系統中提取數據(通常稱為外泄),然后公開該數據。
利用供應商系統獲得信息
第三個主要原因是攻擊者利用供應商系統獲得信息。大多數公司通過防火墻、更強的密碼、多因素識別等措施來加強對其“前門”的網絡保護。因此,攻擊者會尋求其他(有時甚至更危險)的方式來獲取它,即通過供應商的系統進入。
大多數公司依靠供應商來協助它們,從進行空調維護到提供軟件,包括軟件的自動更新。為了提供這些服務,這些供應商需要輕松訪問公司的系統——這些供應商被稱為“側門”。但是,這些供應商通常是網絡安全資源有限的小公司,攻擊者會利用供應商系統中的漏洞進入客戶的系統。這通常被稱為“供應鏈攻擊”。
事實上,可能受到攻擊的不僅僅是一個客戶,而是幾乎所有使用該供應商服務的客戶。因此,一個漏洞可以威脅到數千個組織,例如在2023年的MOVEit零日漏洞攻擊中,已有30多個國家和地區的2600多家公司承認受到攻擊,超過8000萬條個人數據受到損害。在一些研究中,2023年因供應鏈攻擊導致的數據泄露數量比2022年增加了78%。
要避免這種類型的信息泄露,首先,每家公司都要更加意識到供應鏈攻擊的可能性。其次,雖然無法完全控制其他公司的系統和運營,但有些事情是可以做到的。比如通過對供應商的網絡安全有效性進行評估,進而評估組織的安全性,從而了解與供應商合作所帶來的風險。還可以限制每個供應商“側門”的范圍,限制供應商可以訪問的數據,對數據進行加密。
文章為社會科學報“思想工坊”融媒體原創出品,原載于《社會科學報》第1900期第7版,未經允許禁止轉載,文中內容僅代表作者觀點,不代表本報立場。
本期責編:王立堯
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
