数据泄露指公开敏感信息。很多类型的在线攻击的主要目标是引起数据泄露,以公开登录凭据和个人财务数据等信息。
阅读本文后,您将能够:
相关内容
订阅 TheNET,这是 Cloudflare 每月对互联网上最流行见解的总结!
复制文章链接
数据泄露指将机密信息、私人信息或其他敏感信息发布到不安全的环境中。数据泄露可能由意外引起,也可能是蓄意攻击的结果。
每年都有数百万人卷入数据泄露,包括意外看错病人图表的医生,以及大规模尝试访问政府计算机以发现敏感信息。
因为敏感数据不断地通过互联网传输,因此数据泄露是主要安全问题。由于需要连续传输信息,攻击者可以在任何位置尝试对其选择的几乎任何个人或企业进行数据泄露攻击。
世界各地的企业也以数字形式存储数据。存储数据的服务器通常容易受到各种形式的网络攻击。
由于大型公司提供大量有效负载,因此是数据泄露攻击者的主要目标。这些有效负载包括数百万用户的个人和财务信息,例如登录凭据和信用卡号。这些数据都可以在地下市场转售。
然而,攻击者会针对可以从中提取数据的所有人。所有个人或机密数据对网络犯罪分子都很有价值——通常,世界上某个人愿意为此付费。
2017 年的 Equifax 数据泄露事件是大规模数据泄露的一个主要示例。Equifax 是一家美国征信机构。2017 年 5 月至 6 月期间,恶意方访问了 Equifax 服务器中近 1.5 亿美国人、约 1500 万英国公民和约 19,000 名加拿大公民的私人记录。这次攻击之所以成为可能,是因为 Equifax 没有为他们系统中的软件漏洞应用补丁。
较小规模的数据泄露也会产生重大影响。2020 年,攻击者劫持了众多知名人士和有影响力人士的 Twitter 帐户。由于最初的社交工程攻击让攻击者得以访问 Twitter 的内部管理工具,因此导致了这次攻击。从最初的违规行为开始,攻击者能够盗用多个人的帐户并发起一个骗局,该骗局收集了大约 117,000 美元的比特币。
近几十年来最著名的一起数据泄露事件是 2013 年针对主要零售商 Target 发起的网络攻击。这次攻击使用的策略组合非常复杂。它涉及社会工程学攻击、劫持第三方供应商,以及在实体销售点设备上发起大规模攻击。
攻击者通过网络钓鱼诈骗发起攻击,钓鱼的对象是为 Target 商店提供空调制冷设备的一家空调公司的雇员。这些空调连接到 Target 网络的计算机上以监控能源使用情况。为了进入 Target 系统,攻击者入侵了这家空调公司的软件。最终,攻击者得以对 Target 商店中的信用卡扫描程序重新编程,使之向攻击者提供客户信用卡数据。这些扫描仪未联网,但经过编程可以定期将保存的信用卡数据转存到攻击者监控的访问点中。这次攻击取得了成功,导致大约 1.1 亿目标客户的数据被泄露。
由于数据泄露有多种形式,没有单一的解决方案可以阻止数据泄露,因此需要一种整体方法。企业可以采取的一些主要步骤包括:
访问控制:雇主可以通过确保其雇员仅具有完成其工作所需的最小访问权限,来防止数据泄露。
加密:企业应当使用 SSL/TLS 加密来加密他们的网站和收到的数据。企业还应该对存储在其服务器或员工设备上的静态数据进行加密。
Web 安全解决方案:Web 应用程序防火墙 (WAF) 可以保护企业免受旨在造成数据泄露的多种应用程序攻击和漏洞利用。实际上,根据推测,如果 Equifax 能正确配置 WAF,就可以避免 2017 年遭受的重大数据泄露攻击。
网络安全:除了 Web 资产,企业还必须保护其内部网络免受攻击。防火墙、DDoS 防护、安全 Web 网关和数据丢失防护 (DLP) 等网络安全解决方案都可以帮助确保网络安全。
保持软件和硬件最新:旧版本的软件是危险的。软件几乎总是包含漏洞,如果利用得当,攻击者可以访问敏感数据。软件供应商定期发布安全补丁或全新版本的软件来修补漏洞。如果未安装这些补丁和更新,攻击者将能够入侵这些系统——就像 Equifax 漏洞中所发生的那样。过了某个时间点,供应商将不再支持软件产品,这会导致该软件对发现的任何新漏洞完全开放。
准备:公司应制定应对计划,在数据泄露的情况下执行,以尽量减少或遏制信息泄露。例如,公司应该保留重要数据库的备份副本。
培训:社会工程是数据泄露最普遍的原因之一。培训员工识别和应对社会工程攻击。
以下是保护数据的一些技巧,尽管这些操作本身并不能保证数据安全:
为每个服务使用独特的密码:许多用户在多个在线服务中重复使用密码。结果是,当其中一项服务发生数据泄露时,攻击者也可以使用这些凭据来入侵用户的其他帐户。
使用双因素身份验证:双因素身份验证 (2FA) 是指在允许登录之前,使用一种以上的验证方法来确认用户的身份。2FA 最常见的一种形式是除了密码外,用户还需输入发送到其手机的独特一次性代码。实施 2FA 的用户不太容易受到泄露登录凭据的数据泄露的影响,因为他们的密码本身不足以让攻击者窃取他们的帐户。
仅在 HTTPS 网站上提交个人信息:不使用 SSL 加密的网站,其 URL 中将只有“http://”,而不是“https://”。没有加密的网站会暴露在该网站上输入的任何数据,从用户名和密码到搜索查询和信用卡号。
保持软件和硬件最新:这个建议同时适用于用户和企业。
加密硬盘:如果用户的设备被盗,加密会阻止攻击者查看本地存储在该设备上的文件。但是,这并不能阻止通过恶意软件感染或其他方法远程访问设备的攻击者。
仅安装来自可靠来源的应用程序和打开来自可靠来源的文件:用户每天都会意外下载和安装恶意软件。确保您打开、下载或安装的任何文件或应用程序确实来自合法来源。此外,用户应避免打开意外的电子邮件附件——攻击者经常将恶意软件伪装在看似无害的电子邮件附件中。