譯者 | 劉濤

審校 | 重樓

在網(wǎng)絡(luò)安全領(lǐng)域，當(dāng)討論潛在威脅時(shí)，垃圾信息挖掘（Dumpster Diving）可能不是第一個(gè)浮現(xiàn)在腦海中的詞語(yǔ)。盡管許多企業(yè)在防火墻、殺毒軟件和入侵檢測(cè)系統(tǒng)等方面投入了大量資金，但卻往往忽略了一些與物理安全漏洞相關(guān)的、非常真實(shí)且常常被低估的安全隱患。

“垃圾信息挖掘”指的是網(wǎng)絡(luò)犯罪者搜索被丟棄的文件或數(shù)碼硬件的一種行為，目的是形成敏感的信息寶庫(kù)，從而可能被用作惡意用途。

本文探討了網(wǎng)絡(luò)安全領(lǐng)域中“垃圾信息挖掘”的概念、其潛在危害，以及如何保護(hù)您的企業(yè)免受這種常被忽視的威脅。

網(wǎng)絡(luò)安全中垃圾信息挖掘的起源

網(wǎng)絡(luò)安全領(lǐng)域，“垃圾信息挖掘”的概念來(lái)源于更廣泛的現(xiàn)實(shí)場(chǎng)景中垃圾箱搜索的行為，這種行為起源于數(shù)字時(shí)代之前。在網(wǎng)絡(luò)安全的背景下，垃圾信息挖掘是惡意行為者從廢棄材料中獲取敏感信息的一種策略，特別是以實(shí)體形式。

雖然“垃圾信息挖掘”一詞經(jīng)常用于網(wǎng)絡(luò)安全環(huán)境，但它本質(zhì)上是傳統(tǒng)做法的延伸，適用于利用企業(yè)物理安全漏洞。不同于傳統(tǒng)意義上的“垃圾箱尋寶”，傳統(tǒng)垃圾箱“尋寶”指的是在垃圾或丟棄物品中尋找貴重物品的行為，通常是個(gè)人尋找丟棄的物品、食物或文件數(shù)據(jù)以外的潛在有價(jià)值的東西。

數(shù)字化時(shí)代的到來(lái)以及電子產(chǎn)品的普及，使得垃圾信息挖掘在網(wǎng)絡(luò)安全領(lǐng)域的應(yīng)用越來(lái)越廣泛。網(wǎng)絡(luò)犯罪分子可能會(huì)針對(duì)廢棄的硬盤(pán)、筆記本電腦、USB盤(pán)或其他數(shù)字存儲(chǔ)介質(zhì)來(lái)獲取有價(jià)值的數(shù)據(jù)，如機(jī)密文件、密碼或敏感的商業(yè)信息。

在網(wǎng)絡(luò)安全領(lǐng)域，垃圾信息挖掘的做法強(qiáng)調(diào)了整體安全措施的重要性。它提醒人們，信息安全不僅局限于數(shù)字安全，還包括物理安全上的考慮。因此，無(wú)論是在數(shù)字領(lǐng)域，還是在硬件實(shí)體層面，企業(yè)必須通過(guò)實(shí)施保護(hù)敏感數(shù)據(jù)的政策和措施來(lái)應(yīng)對(duì)這一經(jīng)常被低估的威脅。

什么是網(wǎng)絡(luò)安全中的垃圾信息挖掘？

垃圾信息挖掘是一種網(wǎng)絡(luò)安全領(lǐng)域的信息搜集方式，指的是網(wǎng)絡(luò)犯罪分子在現(xiàn)實(shí)世界的垃圾箱、回收容器，以及數(shù)字化的垃圾文件夾中搜索廢棄的文件或硬件，以尋找可能包含有用信息的數(shù)據(jù)。這種做法涉及使用低技術(shù)和高技術(shù)手段來(lái)恢復(fù)、提取被丟棄文件中的數(shù)據(jù)。

垃圾信息挖掘威脅行為者（Dumpster Diving Threat Actors，簡(jiǎn)稱(chēng)DDTA）針對(duì)的數(shù)據(jù)類(lèi)型

垃圾信息挖掘可以發(fā)現(xiàn)各種敏感數(shù)據(jù)，包括打印的文件、舊硬盤(pán)、廢棄的筆記本電腦、USB驅(qū)動(dòng)器和其他存儲(chǔ)設(shè)備。網(wǎng)絡(luò)犯罪分子正在尋找任何可能包含有價(jià)值信息的物品，例如機(jī)密文件、密碼、知識(shí)產(chǎn)權(quán)或個(gè)人識(shí)別信息（PII）。

最容易受到DDTA威脅的企業(yè)

來(lái)自不同行業(yè)和部門(mén)的企業(yè)都可能受到DDTA的威脅。垃圾信息挖掘不限于特定類(lèi)型的企業(yè)，因?yàn)閻阂庑袨檎呖梢葬槍?duì)任何處理敏感或有價(jià)值信息的實(shí)體。這些企業(yè)必須充分認(rèn)識(shí)到垃圾信息挖掘的潛在風(fēng)險(xiǎn)，并采取積極主動(dòng)的措施來(lái)保護(hù)敏感信息。包括實(shí)施強(qiáng)大的物理安全措施，教育員工，以及制定數(shù)據(jù)處置政策，以減少DDTA帶來(lái)的風(fēng)險(xiǎn)。以下是最容易受影響的企業(yè)：

• 公司和企業(yè)：大型公司和企業(yè)經(jīng)常處理眾多敏感信息，包括知識(shí)產(chǎn)權(quán)、財(cái)務(wù)記錄和客戶(hù)數(shù)據(jù)。垃圾信息挖掘可能對(duì)這些企業(yè)帶來(lái)威脅，尤其是在處理過(guò)期的文件或電子設(shè)備時(shí)。
• 金融企業(yè)：處理高度敏感的財(cái)務(wù)信息及個(gè)人資料的銀行、信用社及金融企業(yè)。垃圾信息挖掘可能導(dǎo)致客戶(hù)數(shù)據(jù)、賬戶(hù)詳細(xì)信息和財(cái)務(wù)記錄被盜。
• 醫(yī)療保健提供者：醫(yī)療保健企業(yè)存儲(chǔ)病人檔案、病史和個(gè)人健康信息。垃圾信息挖掘可能導(dǎo)致隱私泄露、身份盜竊或醫(yī)療欺詐。
• 政府企業(yè)：政府企業(yè)處理機(jī)密和敏感信息。垃圾信息挖掘可能危及國(guó)家安全或泄露政府機(jī)密行動(dòng)。
• 教育企業(yè)：學(xué)校、學(xué)院和大學(xué)保存學(xué)生、教師和學(xué)術(shù)研究的記錄。垃圾信息挖掘可能會(huì)泄露個(gè)人信息或有價(jià)值的研究數(shù)據(jù)。
• 律師事務(wù)所：律師事務(wù)所經(jīng)常處理客戶(hù)的機(jī)密信息、法律文件和案件檔案。垃圾信息挖掘會(huì)損害律師-委托人的利益和敏感的法律問(wèn)題。
• 零售商：零售企業(yè)處理客戶(hù)付款信息，并可能擁有客戶(hù)數(shù)據(jù)庫(kù)。垃圾信息挖掘可能導(dǎo)致客戶(hù)數(shù)據(jù)和付款細(xì)節(jié)被盜。
• 研發(fā)公司：參與研發(fā)的企業(yè)可能擁有專(zhuān)有信息和商業(yè)機(jī)密。垃圾信息挖掘可能導(dǎo)致有價(jià)值的知識(shí)產(chǎn)權(quán)被盜。
• 科技公司：科技公司經(jīng)常處理與產(chǎn)品設(shè)計(jì)、軟件代碼和專(zhuān)利相關(guān)的敏感信息。垃圾信息挖掘會(huì)損害其創(chuàng)新和產(chǎn)品開(kāi)發(fā)。
• 非營(yíng)利企業(yè)：非營(yíng)利企業(yè)可能會(huì)保存捐贈(zèng)者材料、財(cái)務(wù)記錄或包含敏感細(xì)節(jié)的捐贈(zèng)提案。垃圾信息挖掘會(huì)影響這些企業(yè)的聲譽(yù)和捐贈(zèng)者對(duì)它們的信任。
• 專(zhuān)業(yè)服務(wù)提供商：各種專(zhuān)業(yè)服務(wù)，如會(huì)計(jì)、工程和咨詢(xún)公司，維護(hù)機(jī)密的客戶(hù)數(shù)據(jù)。垃圾信息挖掘會(huì)導(dǎo)致客戶(hù)信息和商業(yè)戰(zhàn)略的曝光。
• 制造商：制造公司可能擁有機(jī)密的制造流程、供應(yīng)鏈信息或產(chǎn)品規(guī)格。垃圾信息挖掘可能會(huì)危及它們的競(jìng)爭(zhēng)優(yōu)勢(shì)。
• 媒體和娛樂(lè)公司：媒體和娛樂(lè)企業(yè)創(chuàng)作內(nèi)容，包括腳本、故事板和未發(fā)布的作品。垃圾信息挖掘可能導(dǎo)致未經(jīng)授權(quán)訪問(wèn)創(chuàng)意資產(chǎn)。
• 關(guān)鍵基礎(chǔ)設(shè)施：一些重要的關(guān)鍵基礎(chǔ)設(shè)施，如能源、供水和交通，可能由于垃圾信息挖掘而暴露出安全漏洞。

如何識(shí)別DDTA和傳播途徑

確定網(wǎng)絡(luò)安全中可能存在的 DDTA及傳播路徑，涉及到對(duì)可能參與垃圾信息挖掘人員的方法、動(dòng)機(jī)和特征的認(rèn)識(shí)。識(shí)別DDTA需要一種結(jié)合物理安全措施、員工培訓(xùn)和持續(xù)警惕的積極主動(dòng)的方法。

通過(guò)理解潛在威脅行為者的動(dòng)機(jī)與策略，并采取強(qiáng)有力的安全措施，企業(yè)就能更好地應(yīng)對(duì)這一常常被忽視的風(fēng)險(xiǎn)。

幫助您識(shí)別這些威脅的關(guān)鍵步驟包括：

• 了解動(dòng)機(jī)：首先要弄清楚為什么有些人會(huì)為了不正當(dāng)?shù)膭?dòng)機(jī)而進(jìn)行垃圾信息的挖掘。通常的動(dòng)機(jī)包括身份盜竊，商業(yè)間諜活動(dòng)，經(jīng)濟(jì)利益或者是搜集競(jìng)爭(zhēng)情報(bào)。
• 威脅參與者畫(huà)像：根據(jù)動(dòng)機(jī)識(shí)別潛在的威脅行為者。比如，不滿(mǎn)的前員工可能通過(guò)垃圾信息挖掘?qū)で髨?bào)復(fù)或獲取經(jīng)濟(jì)利益，而來(lái)自競(jìng)爭(zhēng)對(duì)手的公司間諜可能是為了獲取有價(jià)值的商業(yè)機(jī)密。
• 識(shí)別漏洞：評(píng)估企業(yè)的物理安全漏洞。尋找處理過(guò)程中的薄弱環(huán)節(jié)，例如不安全的垃圾箱、敏感文檔的不當(dāng)處置或員工缺乏對(duì)數(shù)據(jù)處置的意識(shí)。
• 員工培訓(xùn)：培訓(xùn)員工并使其認(rèn)識(shí)到正確處理文件和數(shù)據(jù)的重要性。讓他們意識(shí)到與垃圾信息挖掘相關(guān)的風(fēng)險(xiǎn)，并鼓勵(lì)企業(yè)內(nèi)的安全文化。
• 實(shí)施安全措施：投資物理安全措施，如垃圾箱上鎖、監(jiān)控?cái)z像頭和訪問(wèn)控制，以防止未經(jīng)授權(quán)的可疑人員進(jìn)入處置區(qū)。
• 安全數(shù)據(jù)銷(xiāo)毀：實(shí)行數(shù)據(jù)銷(xiāo)毀規(guī)范措施，包括銷(xiāo)毀敏感文件，并對(duì)電子儲(chǔ)存設(shè)備進(jìn)行物理破壞，以便難以恢復(fù)數(shù)據(jù)。
• 定期審核：對(duì)處置區(qū)進(jìn)行定期審核，以檢查篡改或未經(jīng)授權(quán)訪問(wèn)的跡象。這些審核有助于發(fā)現(xiàn)和預(yù)防潛在威脅。
• 威脅情報(bào)：隨時(shí)了解您所在行業(yè)或地區(qū)與垃圾信息挖掘相關(guān)的最新消息。威脅情報(bào)可以洞察惡意行為者使用的策略。
• 事件響應(yīng)計(jì)劃：制定事件響應(yīng)計(jì)劃，其中包括處理潛在垃圾信息挖掘事件的程序。如果懷疑敏感信息被泄露，這個(gè)計(jì)劃應(yīng)該概述需要采取的步驟。
• 與執(zhí)法部門(mén)合作：在發(fā)生垃圾信息挖掘事件時(shí)，與執(zhí)法部門(mén)合作，并向他們提供任何有助于識(shí)別和逮捕威脅參與者的信息或證據(jù)。
• 員工報(bào)告：鼓勵(lì)員工舉報(bào)與垃圾信息挖掘相關(guān)的任何可疑行為，或潛在違法行為。他們可以成為識(shí)別威脅的寶貴信息源。
• 監(jiān)控暗網(wǎng)和在線論壇：一些威脅參與者可能會(huì)試圖在暗網(wǎng)或地下論壇上出售或交易被竊取的數(shù)據(jù)?？紤]監(jiān)控這些渠道，以獲取與您所在企業(yè)的任何相關(guān)信息。

垃圾信息挖掘的危害

垃圾信息挖掘的后果非常嚴(yán)重；但本文只集中討論以下幾點(diǎn)：

身份盜竊和欺詐：與垃圾信息挖掘相關(guān)的最直接風(fēng)險(xiǎn)之一就是身份盜竊。網(wǎng)絡(luò)犯罪分子可以利用找到的信息冒充個(gè)人，開(kāi)假賬戶(hù)或?qū)嵤┙鹑谄墼p。

商業(yè)間諜活動(dòng)：在公司里，垃圾信息挖掘可能導(dǎo)致知識(shí)產(chǎn)權(quán)、商業(yè)戰(zhàn)略和機(jī)密客戶(hù)信息被盜。競(jìng)爭(zhēng)對(duì)手可能會(huì)利用這些數(shù)據(jù)來(lái)獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。

數(shù)據(jù)泄露：垃圾信息挖掘可能成為大規(guī)模數(shù)據(jù)泄露的出口。攻擊者可以通過(guò)拼湊從垃圾中收集到的信息，構(gòu)建出對(duì)企業(yè)安全弱點(diǎn)更全面的視角。

企業(yè)用于減輕/遏制垃圾信息挖掘威脅的方法

垃圾信息挖掘是網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)現(xiàn)實(shí)且經(jīng)常被低估的威脅。雖然企業(yè)在數(shù)字安全措施上投入了大量資金，但他們絕不能忽視物理安全遭到破壞的潛在后果。

減輕和遏制垃圾信息挖掘威脅需要采取一系列積極主動(dòng)的措施，包括嚴(yán)格執(zhí)行數(shù)據(jù)處置政策，對(duì)員工進(jìn)行教育，加強(qiáng)物理安全措施，進(jìn)行員工培訓(xùn)，并制定相關(guān)政策和程序。通過(guò)執(zhí)行這些措施，企業(yè)可以顯著降低與垃圾信息挖掘相關(guān)的風(fēng)險(xiǎn)，保護(hù)敏感信息不落入壞人之手。

這種積極主動(dòng)的物理安全措施與數(shù)字安全措施相輔相成，保護(hù)了企業(yè)的重要數(shù)據(jù)。因此，這將進(jìn)一步解決這種常被忽視的威脅，使有條件的企業(yè)能夠加強(qiáng)整體網(wǎng)絡(luò)安全，降低數(shù)據(jù)泄露和身份盜竊的風(fēng)險(xiǎn)。

企業(yè)常使用以下方法來(lái)減少垃圾信息挖掘的威脅：

安全文件處理：實(shí)施安全文件處理規(guī)范措施，包括在處理前銷(xiāo)毀敏感文件。確保員工意識(shí)到正確處理文件的重要性。

數(shù)據(jù)加密：加密電子存儲(chǔ)設(shè)備上的敏感數(shù)據(jù)，以便即使這些設(shè)備被發(fā)現(xiàn)也無(wú)法讀取數(shù)據(jù)。此外，舊的硬盤(pán)及儲(chǔ)存設(shè)備，也會(huì)在加密數(shù)據(jù)前物理銷(xiāo)毀。

物理安全措施：加強(qiáng)垃圾處理區(qū)域的物理安全措施。使用外人打不開(kāi)的上鎖的垃圾箱或容器?？紤]安裝監(jiān)控?cái)z像頭來(lái)監(jiān)視垃圾處理區(qū)域。

訪問(wèn)控制：限制進(jìn)入垃圾箱或垃圾桶所在的區(qū)域。使用訪問(wèn)控制措施，例如刷卡系統(tǒng)或鎖定大門(mén)，限制未經(jīng)授權(quán)的人員進(jìn)入。

員工培訓(xùn)：教育員工垃圾信息挖掘的風(fēng)險(xiǎn)，以及正確處理數(shù)據(jù)的重要性。定期開(kāi)展安全意識(shí)的培訓(xùn)，提高員工的安全意識(shí)。

文件保存制度：為文件保存和處理制定明確的制度。確保文件僅在必要時(shí)保存，并在其使用壽命結(jié)束時(shí)妥善處置。

定期審核：對(duì)處理區(qū)域進(jìn)行定期審核，以發(fā)現(xiàn)被篡改或未經(jīng)授權(quán)訪問(wèn)的跡象。這有助于檢測(cè)和防范潛在威脅。

物理銷(xiāo)毀服務(wù)：考慮委托專(zhuān)業(yè)的銷(xiāo)毀公司來(lái)銷(xiāo)毀敏感文件。這些服務(wù)在文件被銷(xiāo)毀前，通常為其提供安全的容器和監(jiān)管鏈。

垃圾箱鎖：在垃圾箱上加鎖來(lái)防止被輕易訪問(wèn)。鎖可以成為對(duì)潛在DDTA的簡(jiǎn)單而有效的物理威懾。

數(shù)據(jù)清單和分類(lèi)：在企業(yè)內(nèi)建立維護(hù)敏感數(shù)據(jù)的清單，并根據(jù)其敏感程度進(jìn)行分類(lèi)。這有助于確定哪些數(shù)據(jù)需要額外的保護(hù)和適當(dāng)?shù)奶幚怼?/span>

事件響應(yīng)計(jì)劃：制定專(zhuān)門(mén)用于處理垃圾信息挖掘事件的響應(yīng)計(jì)劃。如果懷疑敏感信息已泄漏，則應(yīng)包括所采取的措施。

與執(zhí)法部門(mén)合作：在發(fā)生垃圾信息挖掘事件時(shí)，與當(dāng)?shù)貓?zhí)法企業(yè)合作，并為其提供任何有助于識(shí)別和逮捕DDTA的信息或證據(jù)。

實(shí)行干凈辦公桌制度：確保員工保持工作區(qū)整潔，不要讓敏感文件或電子設(shè)備無(wú)人看管。

威脅情報(bào)和監(jiān)控：隨時(shí)了解您所在行業(yè)或地區(qū)與垃圾信息挖掘相關(guān)的已知事件。威脅情報(bào)可以提供對(duì)惡意行為者所用手段的識(shí)別。

最后的想法

總之，值得注意的是，在數(shù)字威脅和網(wǎng)絡(luò)安全挑戰(zhàn)占主導(dǎo)地位的時(shí)代，物理層面的安全問(wèn)題很容易被忽略。垃圾信息挖掘，一種看似過(guò)時(shí)的做法，其實(shí)依舊是一個(gè)巨大的威脅，如果被低估，可能會(huì)使個(gè)人和企業(yè)面臨重大風(fēng)險(xiǎn)。

成功的垃圾信息挖掘攻擊潛在后果包括身份盜竊、商業(yè)間諜活動(dòng)、數(shù)據(jù)泄露和金融詐騙等。因此，企業(yè)必須采取積極的措施來(lái)保護(hù)自己的敏感信息，維護(hù)自己的利益。

本文介紹的這些預(yù)防措施，對(duì)于減少垃圾信息挖掘威脅至關(guān)重要。安全文件處理、數(shù)據(jù)加密、物理安全措施、訪問(wèn)控制、員工培訓(xùn)和事故響應(yīng)計(jì)劃，都是應(yīng)對(duì)這種風(fēng)險(xiǎn)綜合策略中不可缺少的組成部分。通過(guò)在安全協(xié)議中納入這些預(yù)防措施，企業(yè)可以顯著降低敏感數(shù)據(jù)落入不法分子手中的可能性。

垃圾信息挖掘清楚的提醒人們，網(wǎng)絡(luò)安全不僅限于數(shù)字領(lǐng)域。物理世界和數(shù)字世界之間的界限往往模糊不清，這使得企業(yè)必須同時(shí)加強(qiáng)這兩個(gè)方面的安全態(tài)勢(shì)，這一點(diǎn)至關(guān)重要。忽視物理安全漏洞會(huì)給企業(yè)帶來(lái)災(zāi)難性后果，尤其是在處理機(jī)密數(shù)據(jù)、專(zhuān)有信息和個(gè)人身份信息時(shí)。在網(wǎng)絡(luò)安全世界中，這種威脅仍然是切實(shí)存在和持續(xù)的。

通過(guò)認(rèn)識(shí)其風(fēng)險(xiǎn)，了解潛在的DDTA和傳播途徑，并采取有效的預(yù)防措施，企業(yè)可以實(shí)施重要的步驟保護(hù)其敏感信息，并進(jìn)一步建立針對(duì)現(xiàn)代安全威脅的全方位防御體系。在當(dāng)前的數(shù)據(jù)安全之戰(zhàn)中，警惕和準(zhǔn)備是成功的關(guān)鍵，垃圾信息挖掘是任何企業(yè)都不能忽視的威脅。

譯者介紹

劉濤，51CTO社區(qū)編輯，某大型央企系統(tǒng)上線檢測(cè)管控負(fù)責(zé)人。

原文標(biāo)題：Dumpster Diving in Cybersecurity: A Deep Dive into a Neglected Threat，作者：Aleke Francis AO