文章发表于2025-06-06 09:16:29,归属【信息安全】分类,已有22人阅读
根据美国身份盗窃资源中心(ITRC)的数据,2023 年美国发生了超过 3200 起数据泄露事件,涉及 3.53 亿受害者(包括多次受影响的受害者)。这些受害者中,可能有客户因此决定转向其他企业,或员工重新考虑在贵组织的职位。这足以成为将数据安全工作列为优先事项的理由。
然而,尽管全球企业每年在网络安全上投入数百亿美元,数据泄露事件仍层出不穷。为何缓解这些网络风险如此困难?部分原因在于攻击的规模和多样性、网络犯罪分子的诡计多端,以及典型企业攻击面的庞大。
数据为何关乎商业命脉?
近年来,得益于数字化转型,全球数据生成量呈爆炸式增长。据估计,2024 年每天创建、捕获、复制和消费的数据量达 147 ZB。这些数据是解锁关键客户洞察、提升运营效率并最终做出更优商业决策的关键。但同时,数据也包含商业机密、敏感知识产权以及客户和员工的个人 / 财务信息 —— 这些在地下网络犯罪市场具有极高的变现价值,使数据面临来自逐利型网络罪犯分子甚至国家级行为者的威胁。
ITRC 数据显示,2023 年美国数据泄露事件超过 3200 起,可导致严重的财务和声誉损失,包括:
(1)高额集体诉讼(2)品牌损害(3)客户流失(4)股价暴跌(5)IT 取证与恢复成本(6)监管罚款(7)泄露通知成本(8)生产力损失(9)业务中断
最严峻的数据威胁有哪些?
并非所有泄露都是蓄意为之。Verizon 去年分析显示,68%的泄露源于 “非恶意人为行为”,例如员工成为社会工程攻击的受害者,或误将敏感信息通过电子邮件发送给错误收件人。人为错误还可能包括错误配置云账户等关键 IT 系统,甚至是未设置强密码等简单问题。
然而,恶意内部人员的威胁也不容忽视。若相关人员蓄意隐藏其不正当行为的证据,同时利用对业务流程和工具的内部了解,这类威胁往往更难发现。据称,此类事件的成本正在飙升。
国家级行为者也是棘手的对手。尽管根据Verizon数据,他们仅占泄露事件的 7% 左右,但一旦您的组织不幸成为目标,其攻击成功率极高。
企业面临的主要威胁载体包括:
1. 网络钓鱼与社会工程攻击。仍是导致数据泄露的首要途径。人性的弱点使人们常常轻信欺诈者的故事。若针对特定个人的 “鱼叉式钓鱼” 攻击,成功率更高。网络罪犯可从社交媒体(尤其是LinkedIn)抓取有用信息并定制攻击信息。
2. 供应链劫持。网络罪犯分子可通过云服务或托管服务提供商(CSP/MSP)作为跳板,入侵多个客户组织;或在开源组件中植入恶意软件,等待其被下载;甚至如 “太阳风”事件中,入侵软件开发商并在软件更新中安装恶意软件。
3. 漏洞利用。仍是勒索软件攻击的前三触发方式。Verizon数据显示,2024 年与数据泄露相关的漏洞利用量较 2023 年增长 180%。情报组织警告,零日漏洞数量也在增加 —— 这类漏洞尚无软件补丁,风险更高。
4. 凭证泄露。通常源于密码安全 / 管理不善、钓鱼攻击成功、大规模数据泄露或密码暴力破解。窃取的凭证是绕过网络防御最有效的方式之一,且不易触发警报。Verizon称,过去十年中,31%的泄露事件涉及被盗凭证。
5. 自带设备(BYOD)风险。企业员工常忘记在个人设备上下载反恶意软件。若设备被入侵,黑客可能获取企业云账户登录信息、访问工作邮件等。
6. 离地技术。攻击者利用 Cobalt Strike、PsExec、Mimikatz 等合法工具进行横向移动和数据渗出,难以被发现。
英国国家网络安全中心(NCSC)2024 年 1 月指出,未来两年,AI 技术 “几乎肯定会增加网络攻击的数量并加剧其影响”,尤其在侦察和社会工程领域。
应对策略:全方位抵御数据泄露
数据泄露挑战需从多维度应对,以降低因数字化转型投资、未打补丁的远程工作端点、被盗凭证等不断扩大的攻击面风险。以下是初步行动建议:
1. 全面梳理所有 IT 资产,了解自身暴露风险。
2. 实施基于风险的修补和漏洞管理计划,包括定期渗透测试。
3. 确保所有公司机器和设备都受到多层安全软件的保护。
4. 安装数据丢失防护工具。
5. 用移动设备管理 (MDM) 密切关注所有设备,并确保它们安装了来自信誉良好的供应商的反恶意软件。
6. 在任何地方实施强密码策略和多重身份验证 (MFA)。
7. 教育员工如何发现网络钓鱼消息和其他关键领域的安全意识。
8. 创建事件响应计划并定期对其进行压力测试。
9. 加密传输中的数据和静态数据。
10. 审计第三方供应商和合作伙伴。
11. 运行网络/端点监控以获得任何入侵的早期警告。
12. 确保云系统配置正确。
随着数据隐私/数据保护日的临近,显然,保护敏感数据需要个人和企业的共同的努力。未能履行数据保护责任可能面临严厉监管处罚,也会丧失客户信任。反之,若能证明企业是负责任的数据保管者,则可能成为强大的竞争差异化优势。