資料外洩指公開敏感性資訊。很多類型的線上攻擊的主要目標是引起資料外洩,以公開登入認證和個人財務資料等資訊。
閱讀本文後,您將能夠:
相關內容
訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!
複製文章連結
資料外洩是指將機密、私人或其他敏感性資訊洩露到不安全的環境中。資料外洩可能是意外發生的,也可能是蓄意攻擊的結果。
每年有數百萬人受到資料外洩的影響,比如醫生無意中查看了錯誤的患者圖表,或者大規模嘗試存取政府電腦以發現敏感性資訊。
資料外洩是一個主要的安全問題,因為敏感性資料不斷地透過網際網路傳輸。這種持續的資訊傳輸使得任何位置的攻擊者都可以嘗試對他們選擇的任何個人或企業進行資料外洩。
世界各地的企業也以數位形式儲存資料。儲存資料的伺服器通常容易受到各種形式的網路攻擊。
由於大型公司提供大量有效負載,因此是資料外洩攻擊者的主要目標。這些有效負載包括數百萬使用者的個人和財務資訊,例如登入認證和信用卡號。這些資料都可以在地下市場轉售。
然而,攻擊者的目標是他們可以獲取資料的所有人。所有個人或機密資料對網路罪犯都很有價值——通常,世界上有人願意為此付費。
2017 年的 Equifax 資料外洩事件是大規模資料外洩的一個主要範例。Equifax 是一家美國征信機構。2017 年 5 月至 6 月期間,惡意方存取了 Equifax 伺服器中近 1.5 億美國人、約 1500 萬英國公民和約 19,000 名加拿大公民的私人記錄。這次攻擊之所以成為可能,是因為 Equifax 沒有為他們系統中的軟體漏洞應用修補程式。
較小規模的資料外洩也會產生重大影響。2020 年,攻擊者劫持了眾多知名人士和有影響力人士的 Twitter 帳戶。由於最初的社交工程攻擊讓攻擊者得以存取 Twitter 的內部管理工具,因此導致了這次攻擊。從最初的違規行為開始,攻擊者能夠盜用多個人的帳戶並發起一個騙局,該騙局收集了大約 117,000 美元的比特幣。
近幾十年來最知名的一起資料洩露事件是 2013 年針對主要零售商 Target 發起的網路攻擊。這次攻擊使用的策略組合非常複雜。它涉及社交工程攻擊、劫持第三方廠商,以及在實體銷售點裝置上發起大規模攻擊。
該攻擊是透過網路釣魚詐騙發起的,該詐騙針對為 Target 商店提供空調設備的空調公司的員工。這些空調連接到 Target 網路上的電腦以監控能源使用情況,攻擊者破壞了空調公司的軟體以獲得對 Target 系統的存取權限。最終,攻擊者能夠對 Target 商店中的信用卡掃描儀進行重新程式設計,從而為攻擊者提供客戶信用卡資料。這些掃描儀沒有連接到網際網路,但被程式設計為定期將儲存的信用卡資料傾印到攻擊者監控的存取點。這次攻擊很成功,估計有 1.1 億 Target 客戶的資料遭到洩露。
由於資料外洩形式非常多,因此沒有單一的解決方案可以阻止資料外洩,而是需要採取整體方法。企業可以採取的一些主要措施包括:
存取控制:雇主可以確保員工只擁有完成工作所需的最低存取權限,以協助打擊資料外洩。
加密:企業應使用 SSL/TLS 加密來加密其網站和收到的資料。企業也應該加密儲存在伺服器或員工裝置上的待用資料。
Web 安全解決方案:Web 應用程式防火牆 (WAF) 可以保護企業免受幾種類型的應用程式攻擊和旨在導致資料外洩的漏洞利用。實際上,據推測,如果 Equifax 正確設定了 WAF,本可以阻止 2017 年的重大資料外洩攻擊。
網路安全性:除了 Web 内容,企業還必須保護其內部網路免受攻擊。防火牆、DDoS 防護、安全 Web 閘道和資料丟失預防 (DLP) 等網路安全解決方案都可以協助確保網路安全。
保持軟體和硬體最新:舊版本的軟體是危險的。軟體幾乎總是包含漏洞,如果利用得當,攻擊者可以存取敏感性資料。軟體廠商會定期發佈安全修補程式或全新版本的軟體來修補漏洞。如果未安裝這些修補程式和更新,攻擊者將能夠入侵這些系統——就像 Equifax 洩露事件中所發生的那樣。過了某個時間點,廠商將不再支援軟體產品,這會導致該軟體對發現的任何新漏洞完全開放。
準備工作:公司應制定在出現資料外洩時執行的應對計畫,以儘量減少或遏制資訊洩露。例如,公司應該保留重要資料庫的備份複本。
訓練:社交工程是資料外洩最普遍的原因之一。訓練員工識別和應對社交工程攻擊。
以下是保護資料的一些技巧,但這些動作本身並不能保證資料安全:
為每個服務使用獨特的密碼:許多使用者在多個線上服務中重複使用密碼。結果是,當其中一項服務發生資料外洩時,攻擊者也可以使用這些認證來入侵使用者的其他帳戶。
使用雙重驗證:雙重驗證 (2FA) 是指在允許登入之前,使用一種以上的驗證方法來確認使用者的身分。2FA 最常見的一種形式是除了密碼外,使用者還需輸入以簡訊形式傳送到其手機的獨特單次代碼。實作 2FA 的使用者不太容易因洩露登入認證而遭受資料外洩,因為他們的密碼本身不足以讓攻擊者竊取他們的帳戶。
僅在 HTTPS 網站上提交個人資訊:不使用 SSL 加密的網站,其 URL 中將只有「http://」,而不是「https://」。沒有加密的網站會暴露在該網站上輸入的任何資料,從使用者名稱和密碼到搜尋查詢和信用卡號。
保持軟體和硬體最新:這個建議同時適用於使用者和企業。
加密硬碟:如果使用者的裝置被盜,加密會阻止攻擊者檢視裝置上本機儲存的檔案。但是,這並不能阻止透過惡意程式碼感染或其他方法遠端存取裝置的攻擊者。
僅安裝來自可靠來源的應用程式和開啟來自可靠來源的檔案:使用者每天都會意外下載和安裝惡意軟體。確保您開啟、下載或安裝的任何檔案或應用程式確實來自合法來源。此外,使用者應避免開啟意料之外的電子郵件附件——攻擊者經常將惡意程式碼偽裝在看似無害的電子郵件附件中。