譯者 | 晶顏
審校 | 重樓
數據濫用不僅會危及數據安全,還會引發代價高昂的數據泄露事件。
對數據的訪問伴隨著重大責任,濫用訪問權限可能會對組織產生負面影響。當員工為了個人利益或其他未經授權的目的而濫用數據時,可能會危及數據安全,并導致代價高昂的數據泄露。事實上,根據Verizon的《2024年數據泄露調查報告》顯示,68%的數據泄露涉及人為因素。
本文通過研究不當數據處理導致嚴重后果的現實場景,揭示了數據濫用的復雜性及潛在原因,并提供四種有效的最佳實踐來檢測和防止組織中的數據濫用。
什么是數據濫用?
數據濫用的定義非常簡單:以不應該使用的方式使用任何信息。正確使用數據的條款通常在法律、行業標準、公司政策和用戶協議中有詳細說明。
數據濫用通常與員工數據盜竊有關。然而,與數據盜竊不同的是,在數據濫用的情況下,信息并非總是傳遞給第三方。
在某些情況下,數據濫用可能導致數據泄露。例如,員工可以將數據復制到個人使用的U盤中,一旦U盤丟失,就會引發數據泄露危機。或者員工可以將數據發送到他們的個人筆記本電腦上,一旦遭遇黑客入侵,也可能威脅數據安全。
數據濫用有哪些類型?
數據濫用類型和其背后的原因之間存在很強的相關性。最常見的數據濫用類型包括以下幾種:
1. 為個人利益濫用數據
這種類型的數據濫用涉及某人為了自己的利益而利用敏感數據,通常以犧牲他人為代價。例如,員工可能會訪問組織的商業機密或有關客戶的信息以開展自己的業務或將數據出售給組織的競爭對手。這樣的數據濫用可能會導致財務損失、聲譽損害和組織競爭優勢的喪失。
2. 粗心大意導致的數據濫用
疏忽、粗心或缺乏適當的培訓也可能導致數據濫用。這可能涉及與未經授權的個人共享數據、意外暴露敏感信息或將數據下載到未受保護的個人設備上。糟糕的數據保護實踐(如缺乏加密或不適當的云存儲配置)也可能導致數據泄露。
3. 數據混合
當組織使用為特定目的收集的個人數據,然后將該數據重新用于另一個目的時,就會發生數據混合,這在大多數情況下違背了數據主體的意愿。一個典型示例是,一家公司為學術研究收集數據,然后出于營銷目的與合作伙伴共享這些數據。這種濫用個人數據的行為可能會導致監管罰款和訴訟。
數據濫用通常會在很長一段時間內不被發現,但其后果可能會對組織造成嚴重損害。在下一節中,我們將分析四個真實世界的數據濫用示例,以及它們對組織及相關人員造成的負面影響。
4個真實世界的數據誤用案例
1. 北愛爾蘭警方個人信息泄露
受影響實體 | 北愛爾蘭警方(PSNI) |
事件類型 | 意外數據泄露 |
后果 |
|
2023年8月,北愛爾蘭警察局(PSNI)遭遇了重大的數據泄露事件,致使員工的敏感個人信息被意外發布在網上。由于員工在回應信息自由(Freedom of Information,FOI)請求時出現錯誤,導致了數據泄露。泄露的信息包括大約1萬名北愛爾蘭警局官員和文職人員的姓氏、首字母、軍銜、角色和工作地點。
事件發生后,一些工作人員被迫重新搬家安置,因為他們擔心家人和自己的安全及生命受到威脅。此次泄露還對北愛爾蘭警局的聲譽造成了損害,并可能導致經濟處罰——信息專員表示,該機構可能面臨高達75萬英鎊(合97.1萬美元)的罰款。
2. 五角大樓內部人員泄露數據
受影響實體 | 美國國防部(DoD) |
事件類型 | 內部人員數據滲漏(Data exfiltration) |
后果 |
|
2023年4月,聯邦調查局逮捕了21歲的杰克·特謝拉(Jack Teixeira),他當時是馬薩諸塞州空軍國民警衛隊的一名成員。在這起數據濫用事件中,特謝拉在網上泄露了高度機密的軍事文件。據悉,這名嫌疑人擁有絕密安全許可,一年多來一直在系統地竊取和分享這些敏感文件。
特謝拉泄露的絕密信息包括烏克蘭的戰爭狀態、以色列的摩薩德情報機構等等。此次泄密被認為是近年來對美國國家安全最嚴重的破壞之一,可能損害其與盟國的關系,并暴露敏感的軍事行動。最終,特謝拉因未經授權轉移和保留機密文件而面臨最高25年的監禁。
3. Reddit網絡釣魚攻擊
受影響實體 | |
事件類型 | 網絡釣魚攻擊 |
后果 |
|
2023年2月,Reddit意識到由一名員工觸發的數據泄露事件。根據Reddit的說法,網絡攻擊者發送了一個內部網站頁面的副本,誘使員工提供憑據和第二因素令牌。通過獲得員工賬戶的訪問權限,攻擊者獲得了一些內部文檔、代碼以及一些內部儀表板和業務系統的訪問權限。據悉,此次數據泄露還涉及到公司聯系人和員工的信息以及一些廣告商的信息。
這起事件是員工網絡安全培訓不足的一個例子,從而給了網絡釣魚攻擊可乘之機。盡管Reddit的安全團隊很快刪除了攻擊者的訪問權限,但沒有明確的方法來判斷攻擊者是否設法使用了泄露的數據。這次數據泄露可能會影響公司的聲譽,并引發數據隱私法規方面的問題。
4. 瑞士信貸內部攻擊
受影響實體 | 瑞士信貸 |
事件類型 | 員工發起的內部攻擊 |
后果 |
|
2022年2月,瑞士信貸遭受了由一名員工發起的內部攻擊。這名員工將銀行客戶的敏感數據泄露給了一家德國報紙。
結果,超過1.8萬個賬戶(涉及金額超過1000億美元)的信息被披露給了《德意志日報》(ddeutsche Zeitung),隨后又被大量其他全球媒體和組織所知。記者們迅速傳播了這條信息,因為它包含了一些受制裁者的“骯臟賬單”數據。事件發生后,瑞士信貸股價下跌約3%。
4個步驟來檢測和防止數據濫用
確保靜態和傳輸數據的安全性至關重要,因此組織可以實施以下四個關鍵措施,以顯著降低組織中數據濫用的風險:
1. 管理數據訪問
數據訪問是潛在濫用的切入點。員工和分包商可以通過下述方式未經授權訪問機密或敏感數據:
- 管理員可能會意外地提供訪問權限;
- 員工可以使用他們的合法訪問權限;
- 惡意的內部人員可以使用共享帳戶或同事的密碼;
如果沒有適當的訪問管理,數據可能會被濫用。以下是管理數據訪問的一些最佳實踐:
(1)部署二級身份驗證
識別每個用戶以了解誰試圖登錄系統是很重要的。當員工使用共享帳戶(如admin和root)時,情況就會變得復雜。因此,如果使用共享帳戶,使用二級身份驗證非常重要。
(2)部署多因素身份驗證(MFA)
憑據盜竊仍然是入侵帳戶最常用的方法之一。多因素身份驗證允許你最終驗證用戶的身份,因為它需要用戶提供額外的身份驗證因素才能成功登錄到系統。
(3)為每個用戶帳戶分配訪問屬性或用戶角色
一旦驗證了用戶的身份,你就希望精細地管理他們的訪問權限。為此,建議為每個用戶帳戶分配用戶角色或訪問屬性。訪問管理對于特權用戶尤為重要,因為他們的特權一旦受到損害,就會帶來巨大的風險。
2. 監控用戶操作
檢測和防止數據濫用的最佳方法之一是對訪問數據時發生的情況保持可見性。專用的用戶監控解決方案允許你輕松查看數據發生的情況:何時使用、如何使用以及由誰使用。
這種內部威脅緩解方法包括:
(1)收集用戶活動日志
這是監視用戶操作的最基本方法。記錄網絡中執行的每個用戶操作為你提供了操作的上下文。但是,如果你的公司雇用了數百名員工,那么僅使用活動日志幾乎不可能及時檢測到數據濫用。
(2)持續用戶活動監控(UAM)
UAM可以幫助你在行動中抓住惡意的內部人員。能夠評估用戶操作周圍的環境將使你能夠實時做出正確的安全決策。
(3)錄像
現代用戶活動監控解決方案將連續觀察與每次會話的可搜索視頻記錄相結合。通過這種方式,你可以在幾秒鐘內找到可疑事件的記錄,找出上下文,并確定該操作是否具有惡意意圖。
根據Verizon的《2024年數據泄露調查報告》顯示,除了系統入侵,特權濫用和各種各樣的錯誤占泄露事件的83%。這正好強調了關注特權用戶的行為以及教育員工如何正確處理敏感數據的重要性。
3. 保持知情
管理用戶訪問和監視用戶活動為你提供了大量的活動記錄和日志,這些記錄和日志對于調查數據濫用及其后果非常有用。然而,這可能不足以實時防止事故發生。
檢測和中斷數據濫用所花費的時間是影響數據泄露成本的主要因素之一。根據IBM安全部門的《2023年數據泄露成本報告》顯示,能夠在不到200天內識別和控制數據泄露的組織比那些需要200多天的組織節省了102萬美元。
因此,有效防止數據濫用造成的違規行為可以節省大量的時間和資源。以下是幫助你及時發現和防止數據泄露的一些注意事項:
- 同時對大量員工進行監控是一項挑戰,而且手動完成該過程可能無法提供有效性。這就是為什么自動警報對于現代用戶監控軟件來說是必須的。
- 基于規則的警報的效率在很大程度上取決于該規則集是否經過深思熟慮。如果配置正確,規則可以使安全人員避免大量誤報。警報太少也是一個警告信號,因為它可能表明你的規則沒有涵蓋所有可疑的操作。
4. 員工培訓
在考慮如何防止數據濫用時,不要低估員工培訓的力量。培訓員工一般有兩個關鍵步驟:
- 在通用公司政策中涵蓋有關數據安全的信息。一個深思熟慮的信息安全政策是關于網絡安全的內部程序和標準的可靠信息來源。這是讓新人知道他們能用公司數據做什么和不能做什么的最好方式。
- 創建數據安全教育課程。你可以請安全人員分享他們的經驗。一個關于網絡安全的通用課程總是很有用的,可以提醒員工不要分享他們的憑據,告訴員工新的網絡釣魚方法等等。最重要的是,一定要提醒員工為什么保護敏感數據很重要,以及數據濫用會導致什么后果。
為了加強數據安全性,你還應該創建專門的內部威脅策略。它可以幫助防止員工濫用數據。根據Cybersecurity Insiders發布的《2024年內部威脅報告》顯示,全球70%的組織已經或正在構建內部威脅程序。
值得注意的是,根據NIST SP 800-53、HIPAA、GDPR和其他網絡安全要求,維護內部威脅和風險管理策略是強制性的。你可以自己實施這些策略,也可以將其作為更廣泛的網絡安全策略的一部分。
結語
防止數據濫用對于維護敏感信息的完整性和安全性至關重要。實施最佳實踐,如監控用戶活動、管理用戶對數據的訪問、支持對內部威脅的快速檢測和響應,以及培訓員工,可以顯著降低數據泄露和信息濫用的風險。
原文標題:What is Data Misuse? 4 Ways to Detect and Prevent Misuse of Information,作者:Vlad Yakushkin
