【51CTO.com快译】在《 云端还是本地,数据放哪儿更安全之泄密事件篇 》中,我们回顾了一些曾经发生的重大数据泄露事件。在本篇中,我们来分析一下这些泄露事件主要分为哪些类型。网络犯罪分子似乎有无数方法来攻击目标、窃取数据。我们每年也在了解新方法。不过总的说来,这些攻击可以分为五个不同的类别。我们在稍后会详细探讨,明白这些攻击是什么样(即便你并不从事IT行业)很重要,那样就能尽自己的力量来确保本企业安全。
五大安全泄密事件的类型 1、黑客攻击 可能性:极高 几乎不可避免 攻击的严重性:可能是毁灭性的
这可能是对普通大众来说最知名的一种安全泄密。它是指,外人访问公司的网络,通常是为了进而访问敏感数据。有时候,攻击者的本意可能不仅仅是捣乱。
不管怎样,这种犯罪活动常常不需要坏人有太高超的本领。鱼叉式网络钓鱼攻击针对某个人或一小群人,辅以大量的详细信息 足以确保收件人根本不会想到发件人是骗子。
不像网络钓鱼骗局,鱼叉式网络钓鱼攻击通常花很长的时间来精心设计,因为除了社交工程伎俩外,黑客还得利用LinkedIn和Facebook之类的网站,搞清楚谁会是最容易得手的对象,然后如何诱骗对方。
电子邮件本身酷似平常的网络钓鱼攻击。邮件中所附链接一旦被点击,就会将收件人带到恶意网站,或者启动恶意软件。
事先已对收件人作了摸底,那样攻击会让黑客有最大的机会得逞。比如说,如果他们想搞到医疗记录,就会确保电子邮件发送到拥有登录信息的人的邮箱。
这种类型的数据泄密尤其可怕,这有两个原因。首先,后果可能是毁灭性的。设想一下:完全陌生的人访问你网络中的任何部分。再设想一下他可能会搞什么破坏。
不妨考虑当前的W2网络钓鱼攻击趋势。自去年1月以来,至少55家组织已中了这种招术。一旦得逞,黑客能够危及公司中每个员工的W-2记录。这些记录含有宝贵的个人信息,黑客可以用来从事各种各样的诈骗活动。
另一个例子是,EMC旗下的子公司RSA早在2011年受到的攻击。尽管RSA是家安全公司,但是黑客只向四名员工发送了两封邮件就成功黑入。虽然RSA最初声称破坏影响极小,但是三个月后,洛克希德马丁公司(Lockheed Martin)宣称自己遭到了黑客的攻击,这伙黑客使用当初由RSA颁发的SecurID密钥的副本。
这种攻击另外真正让人不安的方面在于,它们很少过于复杂。以RSA攻击为例,电子邮件中的消息实际上只有这句话:“我把该文件转发给你。请打开过目。”
恶意软件不需要针对高层主管,因为这在中招计算机上开了一道后门,黑客随后可以趁机搞鬼。
这种低技术含量意味着,只要动机足够强烈,几乎任何人都有可能实施这种攻击。取决于你是问谁,你被黑客攻击的可能性:
三分之一
90%
100%
与数据泄密的许多方面一样,这些数字很难准确地证实。贵公司可能已经沦为攻击的受害者,却好几个月浑然不知。
占上风:云 2、物理设备丢失 可能性:很高 攻击的严重性:中等有时候,不法分子根本不需要一行代码,就能访问公司的网络。相反,只需要粗心大意的员工,攻击者就能省下好多事。
大多数公司相当信任至少一些员工,让他们可以从笔记本电脑、手机和平板电脑来办公。他们携带的U盘里面可能包括敏感数据,有时甚至随身携带整个硬盘。
所有这些物理设备为网络犯罪分子提供了可趁之机。对不法分子来说最棒的是,他们常常没必要费老大的劲就能闯入。找到这些设备好比找到他们想要破门而入的钥匙。
这种威胁听起来可能很少见。毕竟,我们大多数人牢牢保管移动设备,或者至少经常盯着移动设备,很可能随身不离。
不过在金融业,这占了所有得逞的泄密事件的四分之一。在这个行业,这比其他任何种类的攻击都要多,数量比上一年翻番。
一个设备丢失后造成的影响有大有小。之前受雇于俄克拉荷马大学的物理学家丢失了笔记本电脑后,9300个病人的记录可能岌岌可危。仍有相当数量的人受到影响,不过与窃贼顺走一台属于SterlingBackcheck员工的笔记本电脑后、100000人的信息失窃相比,算是小巫见大巫了。
诚然,这些数字与更严重的数据泄密影响数百万人相比不是很大,但这些攻击也要简单得多。它们实际上只要犯罪分子拿到设备溜之大吉。
去年7月,为笔记本电脑及其他移动设备供应附件的Kensington公司就IT失窃调查了300名IT员工。下面是最有可能发生失窃的地方:
汽车和公共交通工具(25%)
办公室(23%)
机场和酒店(15%)
饭店(12%)
没错,你自己的办公室是员工沦为失窃物理设备受害者的可能性第二大的地方。
占上风:本地 3、员工不当行为 可能性:中等 攻击的严重性:很高贵企业极可能制定了规则,明确哪些员工有权查看/处理某些类型的数据。不用说,你还确保这些数据受到密码的保护。你可能采取了其他许多措施,确保只有事先获得同意的那些人才能访问敏感信息。
不过,这些授权的员工很可能将数据发给别人。我们在这里不是指恶意行为。而是说,员工误以为同事拥有与自己同样级别的访问权,或者根本没有想到自己将敏感数据发送给不法分子。
另一个例子就是出于好心的员工将信息发送给确实有权访问的人,但是他使用未加密的电子邮件来发送。那样的话,双方各自的访问级别并不重要;未加密的电子邮件很容易成为黑客下手的对象。
很难给这个问题带来的风险类型排名次。一个员工发给另一个员工、谈论啥时吃午饭的电子邮件对网络犯罪分子而言可能没有太大的用处。
其次,大多数人可能还记得索尼被黑后发生的情形。虽然那起攻击并不是由于未加密的电子邮件而得逞,但余波应该表明:你不希望网络犯罪分子访问从来不打算公之于众的内部邮件。
优步(Uber)是成千上万电子邮件泄露出去后、遭到公关灾难的另一个例子。同样,攻击的性质并不是拦截电子邮件,而是敲响了另一记警钟:这种类型的攻击会给贵公司造成怎样的危害。拿优步来说,全球客户支持负责人引咎辞职。
好消息是,如果贵公司对所有邮件进行加密,几乎可以完全杜绝这种类型的攻击。Gmail做得不赖,它将未加密的电子邮件标出来,此举已经收到了成效。
不过,你总是需要关注电子邮件的收件人如何处理邮件。不加密就转发邮件会让你面临风险。
占上风:云 4、第三方不当行为 可能性:中等 攻击的严重性:很高这种攻击类似我们刚才讨论的那种风险;只不过,沦为泄密事件受害者的是与你联系的第三方公司。如果出现这种情况,贵公司也会连带成为受害者。
这个问题在医疗保健业来得尤为普遍。首先,受保护的健康信息(PHI)极为宝贵。其次,在这个行业,医疗服务机构与生意伙伴之间的关系可谓错综复杂,这让黑客有了发动攻击的大量机会。
《健康保险可携性及责任性法案》(HIPAA)甚至在生意伙伴方面制定了具体的指导原则,要求它们采用适当的防范措施,确保PHI安全。
占上风:本地 5、恶意内部人员 可能性:很小 攻击的严重性:中等我们介绍了你自己的员工如何为犯罪分子提供发动攻击所需的机会。现在我们要谈论员工实际上就是犯罪分子或至少与犯罪分子勾结的情形。
伊比拉姆沙沙哈米德(Ibrahimshah Shahulhameed)为我们谈论的话题提供了一个典例。这位丰田公司的前技术合同工被丰田在肯塔基的一家工厂开除后,心怀不满,回家后登录到公司网络,开始用需要几个月才能撤销的命令攻击网络(值得一提的是,沙哈米德对判决提出了上诉)。
这绝非一起孤立的事件。2013年,恶意员工让所在公司损失400亿美元。实际损失恐怕远不止这个数字。大多数公司竭力确保公众不知道这种类型的事件。
然而,不难设想一个胡作非为的员工怀恨在心会造成怎样的危害。黑客可能花几个月的时间精心策划攻击,以便有机会潜入预定目标。而你的员工早已有了这种访问权。
这就是为什么早在2014年8月,AlgoSec调查的安全管理人员中73%提到内部威胁是自己最担心的问题,这比2013年的62%有了明显增加。
针对这种类型的泄密事件,有两种方法应该至少可以减小贵公司沦为受害者的可能性。第一种方法就是确保每个员工有完成工作所需的适当权限级别,不授予更大的权限。应该定期审计这方面的工作,每当员工走上新岗位,就要审核。
其次,一旦解雇员工,要确保其访问权已完全取消。很显然,此举原本可以为丰田避免好多麻烦。弗吉尼亚州的一家政府承包商对同一个教训深有体会:员工Robert Steele因对薪资有争议而愤然走人,结果这家公司惹上了大麻烦。
他向公司A保证,作为一名前雇员,自己不会访问公司的任何记录,甚至坚持认为:自己辞职那天,公司就删除了他的访问权。对公司A来说不幸的是,Steele知道别人不知道的管理员帐户。凭借这个帐户,他在为竞争对手工作期间,访问了原雇主的电子邮件及其他敏感文档。
Steele在最后落网之前,使用这个帐户共非法访问了79000多次。
正如你所见,虽然数字时代绝对让许多公司做生意要容易得多,但是同样毫无疑问,它也带来了许多独特的挑战。认识到这些威胁会带来什么,至少会帮助你采取适当的措施来防范这些威胁。然而,整个公司显然需要劫持适当的措施(包括购买技术)。
占上风:云至此,我们探讨了数据泄密事件的主要类型,在每个类型中,数据放到本地还是云端哪里更有优势。在最后一篇中,我们将探讨放在云端还是本地这两种方案之间有没有一种更安全的选择。
原文标题:Where Is Your Data Safer? In the Cloud Or On Premise?
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】