譯者 | 晶顏
審校 | 重樓
數(shù)據(jù)濫用不僅會(huì)危及數(shù)據(jù)安全,還會(huì)引發(fā)代價(jià)高昂的數(shù)據(jù)泄露事件。
對(duì)數(shù)據(jù)的訪問伴隨著重大責(zé)任,濫用訪問權(quán)限可能會(huì)對(duì)組織產(chǎn)生負(fù)面影響。當(dāng)員工為了個(gè)人利益或其他未經(jīng)授權(quán)的目的而濫用數(shù)據(jù)時(shí),可能會(huì)危及數(shù)據(jù)安全,并導(dǎo)致代價(jià)高昂的數(shù)據(jù)泄露。事實(shí)上,根據(jù)Verizon的《2024年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,68%的數(shù)據(jù)泄露涉及人為因素。
本文通過研究不當(dāng)數(shù)據(jù)處理導(dǎo)致嚴(yán)重后果的現(xiàn)實(shí)場(chǎng)景,揭示了數(shù)據(jù)濫用的復(fù)雜性及潛在原因,并提供四種有效的最佳實(shí)踐來檢測(cè)和防止組織中的數(shù)據(jù)濫用。
什么是數(shù)據(jù)濫用?
數(shù)據(jù)濫用的定義非常簡(jiǎn)單:以不應(yīng)該使用的方式使用任何信息。正確使用數(shù)據(jù)的條款通常在法律、行業(yè)標(biāo)準(zhǔn)、公司政策和用戶協(xié)議中有詳細(xì)說明。
數(shù)據(jù)濫用通常與員工數(shù)據(jù)盜竊有關(guān)。然而,與數(shù)據(jù)盜竊不同的是,在數(shù)據(jù)濫用的情況下,信息并非總是傳遞給第三方。
在某些情況下,數(shù)據(jù)濫用可能導(dǎo)致數(shù)據(jù)泄露。例如,員工可以將數(shù)據(jù)復(fù)制到個(gè)人使用的U盤中,一旦U盤丟失,就會(huì)引發(fā)數(shù)據(jù)泄露危機(jī)。或者員工可以將數(shù)據(jù)發(fā)送到他們的個(gè)人筆記本電腦上,一旦遭遇黑客入侵,也可能威脅數(shù)據(jù)安全。
數(shù)據(jù)濫用有哪些類型?
數(shù)據(jù)濫用類型和其背后的原因之間存在很強(qiáng)的相關(guān)性。最常見的數(shù)據(jù)濫用類型包括以下幾種:
1. 為個(gè)人利益濫用數(shù)據(jù)
這種類型的數(shù)據(jù)濫用涉及某人為了自己的利益而利用敏感數(shù)據(jù),通常以犧牲他人為代價(jià)。例如,員工可能會(huì)訪問組織的商業(yè)機(jī)密或有關(guān)客戶的信息以開展自己的業(yè)務(wù)或?qū)?shù)據(jù)出售給組織的競(jìng)爭(zhēng)對(duì)手。這樣的數(shù)據(jù)濫用可能會(huì)導(dǎo)致財(cái)務(wù)損失、聲譽(yù)損害和組織競(jìng)爭(zhēng)優(yōu)勢(shì)的喪失。
2. 粗心大意導(dǎo)致的數(shù)據(jù)濫用
疏忽、粗心或缺乏適當(dāng)?shù)呐嘤?xùn)也可能導(dǎo)致數(shù)據(jù)濫用。這可能涉及與未經(jīng)授權(quán)的個(gè)人共享數(shù)據(jù)、意外暴露敏感信息或?qū)?shù)據(jù)下載到未受保護(hù)的個(gè)人設(shè)備上。糟糕的數(shù)據(jù)保護(hù)實(shí)踐(如缺乏加密或不適當(dāng)?shù)脑拼鎯?chǔ)配置)也可能導(dǎo)致數(shù)據(jù)泄露。
3. 數(shù)據(jù)混合
當(dāng)組織使用為特定目的收集的個(gè)人數(shù)據(jù),然后將該數(shù)據(jù)重新用于另一個(gè)目的時(shí),就會(huì)發(fā)生數(shù)據(jù)混合,這在大多數(shù)情況下違背了數(shù)據(jù)主體的意愿。一個(gè)典型示例是,一家公司為學(xué)術(shù)研究收集數(shù)據(jù),然后出于營(yíng)銷目的與合作伙伴共享這些數(shù)據(jù)。這種濫用個(gè)人數(shù)據(jù)的行為可能會(huì)導(dǎo)致監(jiān)管罰款和訴訟。
數(shù)據(jù)濫用通常會(huì)在很長(zhǎng)一段時(shí)間內(nèi)不被發(fā)現(xiàn),但其后果可能會(huì)對(duì)組織造成嚴(yán)重?fù)p害。在下一節(jié)中,我們將分析四個(gè)真實(shí)世界的數(shù)據(jù)濫用示例,以及它們對(duì)組織及相關(guān)人員造成的負(fù)面影響。
4個(gè)真實(shí)世界的數(shù)據(jù)誤用案例
1. 北愛爾蘭警方個(gè)人信息泄露
受影響實(shí)體 | 北愛爾蘭警方(PSNI) |
事件類型 | 意外數(shù)據(jù)泄露 |
后果 |
|
2023年8月,北愛爾蘭警察局(PSNI)遭遇了重大的數(shù)據(jù)泄露事件,致使員工的敏感個(gè)人信息被意外發(fā)布在網(wǎng)上。由于員工在回應(yīng)信息自由(Freedom of Information,F(xiàn)OI)請(qǐng)求時(shí)出現(xiàn)錯(cuò)誤,導(dǎo)致了數(shù)據(jù)泄露。泄露的信息包括大約1萬(wàn)名北愛爾蘭警局官員和文職人員的姓氏、首字母、軍銜、角色和工作地點(diǎn)。
事件發(fā)生后,一些工作人員被迫重新搬家安置,因?yàn)樗麄儞?dān)心家人和自己的安全及生命受到威脅。此次泄露還對(duì)北愛爾蘭警局的聲譽(yù)造成了損害,并可能導(dǎo)致經(jīng)濟(jì)處罰——信息專員表示,該機(jī)構(gòu)可能面臨高達(dá)75萬(wàn)英鎊(合97.1萬(wàn)美元)的罰款。
2. 五角大樓內(nèi)部人員泄露數(shù)據(jù)
受影響實(shí)體 | 美國(guó)國(guó)防部(DoD) |
事件類型 | 內(nèi)部人員數(shù)據(jù)滲漏(Data exfiltration) |
后果 |
|
2023年4月,聯(lián)邦調(diào)查局逮捕了21歲的杰克·特謝拉(Jack Teixeira),他當(dāng)時(shí)是馬薩諸塞州空軍國(guó)民警衛(wèi)隊(duì)的一名成員。在這起數(shù)據(jù)濫用事件中,特謝拉在網(wǎng)上泄露了高度機(jī)密的軍事文件。據(jù)悉,這名嫌疑人擁有絕密安全許可,一年多來一直在系統(tǒng)地竊取和分享這些敏感文件。
特謝拉泄露的絕密信息包括烏克蘭的戰(zhàn)爭(zhēng)狀態(tài)、以色列的摩薩德情報(bào)機(jī)構(gòu)等等。此次泄密被認(rèn)為是近年來對(duì)美國(guó)國(guó)家安全最嚴(yán)重的破壞之一,可能損害其與盟國(guó)的關(guān)系,并暴露敏感的軍事行動(dòng)。最終,特謝拉因未經(jīng)授權(quán)轉(zhuǎn)移和保留機(jī)密文件而面臨最高25年的監(jiān)禁。
3. Reddit網(wǎng)絡(luò)釣魚攻擊
受影響實(shí)體 | |
事件類型 | 網(wǎng)絡(luò)釣魚攻擊 |
后果 |
|
2023年2月,Reddit意識(shí)到由一名員工觸發(fā)的數(shù)據(jù)泄露事件。根據(jù)Reddit的說法,網(wǎng)絡(luò)攻擊者發(fā)送了一個(gè)內(nèi)部網(wǎng)站頁(yè)面的副本,誘使員工提供憑據(jù)和第二因素令牌。通過獲得員工賬戶的訪問權(quán)限,攻擊者獲得了一些內(nèi)部文檔、代碼以及一些內(nèi)部?jī)x表板和業(yè)務(wù)系統(tǒng)的訪問權(quán)限。據(jù)悉,此次數(shù)據(jù)泄露還涉及到公司聯(lián)系人和員工的信息以及一些廣告商的信息。
這起事件是員工網(wǎng)絡(luò)安全培訓(xùn)不足的一個(gè)例子,從而給了網(wǎng)絡(luò)釣魚攻擊可乘之機(jī)。盡管Reddit的安全團(tuán)隊(duì)很快刪除了攻擊者的訪問權(quán)限,但沒有明確的方法來判斷攻擊者是否設(shè)法使用了泄露的數(shù)據(jù)。這次數(shù)據(jù)泄露可能會(huì)影響公司的聲譽(yù),并引發(fā)數(shù)據(jù)隱私法規(guī)方面的問題。
4. 瑞士信貸內(nèi)部攻擊
受影響實(shí)體 | 瑞士信貸 |
事件類型 | 員工發(fā)起的內(nèi)部攻擊 |
后果 |
|
2022年2月,瑞士信貸遭受了由一名員工發(fā)起的內(nèi)部攻擊。這名員工將銀行客戶的敏感數(shù)據(jù)泄露給了一家德國(guó)報(bào)紙。
結(jié)果,超過1.8萬(wàn)個(gè)賬戶(涉及金額超過1000億美元)的信息被披露給了《德意志日?qǐng)?bào)》(ddeutsche Zeitung),隨后又被大量其他全球媒體和組織所知。記者們迅速傳播了這條信息,因?yàn)樗艘恍┦苤撇谜叩摹绑a臟賬單”數(shù)據(jù)。事件發(fā)生后,瑞士信貸股價(jià)下跌約3%。
4個(gè)步驟來檢測(cè)和防止數(shù)據(jù)濫用
確保靜態(tài)和傳輸數(shù)據(jù)的安全性至關(guān)重要,因此組織可以實(shí)施以下四個(gè)關(guān)鍵措施,以顯著降低組織中數(shù)據(jù)濫用的風(fēng)險(xiǎn):
1. 管理數(shù)據(jù)訪問
數(shù)據(jù)訪問是潛在濫用的切入點(diǎn)。員工和分包商可以通過下述方式未經(jīng)授權(quán)訪問機(jī)密或敏感數(shù)據(jù):
- 管理員可能會(huì)意外地提供訪問權(quán)限;
- 員工可以使用他們的合法訪問權(quán)限;
- 惡意的內(nèi)部人員可以使用共享帳戶或同事的密碼;
如果沒有適當(dāng)?shù)脑L問管理,數(shù)據(jù)可能會(huì)被濫用。以下是管理數(shù)據(jù)訪問的一些最佳實(shí)踐:
(1)部署二級(jí)身份驗(yàn)證
識(shí)別每個(gè)用戶以了解誰(shuí)試圖登錄系統(tǒng)是很重要的。當(dāng)員工使用共享帳戶(如admin和root)時(shí),情況就會(huì)變得復(fù)雜。因此,如果使用共享帳戶,使用二級(jí)身份驗(yàn)證非常重要。
(2)部署多因素身份驗(yàn)證(MFA)
憑據(jù)盜竊仍然是入侵帳戶最常用的方法之一。多因素身份驗(yàn)證允許你最終驗(yàn)證用戶的身份,因?yàn)樗枰脩籼峁╊~外的身份驗(yàn)證因素才能成功登錄到系統(tǒng)。
(3)為每個(gè)用戶帳戶分配訪問屬性或用戶角色
一旦驗(yàn)證了用戶的身份,你就希望精細(xì)地管理他們的訪問權(quán)限。為此,建議為每個(gè)用戶帳戶分配用戶角色或訪問屬性。訪問管理對(duì)于特權(quán)用戶尤為重要,因?yàn)樗麄兊奶貦?quán)一旦受到損害,就會(huì)帶來巨大的風(fēng)險(xiǎn)。
2. 監(jiān)控用戶操作
檢測(cè)和防止數(shù)據(jù)濫用的最佳方法之一是對(duì)訪問數(shù)據(jù)時(shí)發(fā)生的情況保持可見性。專用的用戶監(jiān)控解決方案允許你輕松查看數(shù)據(jù)發(fā)生的情況:何時(shí)使用、如何使用以及由誰(shuí)使用。
這種內(nèi)部威脅緩解方法包括:
(1)收集用戶活動(dòng)日志
這是監(jiān)視用戶操作的最基本方法。記錄網(wǎng)絡(luò)中執(zhí)行的每個(gè)用戶操作為你提供了操作的上下文。但是,如果你的公司雇用了數(shù)百名員工,那么僅使用活動(dòng)日志幾乎不可能及時(shí)檢測(cè)到數(shù)據(jù)濫用。
(2)持續(xù)用戶活動(dòng)監(jiān)控(UAM)
UAM可以幫助你在行動(dòng)中抓住惡意的內(nèi)部人員。能夠評(píng)估用戶操作周圍的環(huán)境將使你能夠?qū)崟r(shí)做出正確的安全決策。
(3)錄像
現(xiàn)代用戶活動(dòng)監(jiān)控解決方案將連續(xù)觀察與每次會(huì)話的可搜索視頻記錄相結(jié)合。通過這種方式,你可以在幾秒鐘內(nèi)找到可疑事件的記錄,找出上下文,并確定該操作是否具有惡意意圖。
根據(jù)Verizon的《2024年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,除了系統(tǒng)入侵,特權(quán)濫用和各種各樣的錯(cuò)誤占泄露事件的83%。這正好強(qiáng)調(diào)了關(guān)注特權(quán)用戶的行為以及教育員工如何正確處理敏感數(shù)據(jù)的重要性。
3. 保持知情
管理用戶訪問和監(jiān)視用戶活動(dòng)為你提供了大量的活動(dòng)記錄和日志,這些記錄和日志對(duì)于調(diào)查數(shù)據(jù)濫用及其后果非常有用。然而,這可能不足以實(shí)時(shí)防止事故發(fā)生。
檢測(cè)和中斷數(shù)據(jù)濫用所花費(fèi)的時(shí)間是影響數(shù)據(jù)泄露成本的主要因素之一。根據(jù)IBM安全部門的《2023年數(shù)據(jù)泄露成本報(bào)告》顯示,能夠在不到200天內(nèi)識(shí)別和控制數(shù)據(jù)泄露的組織比那些需要200多天的組織節(jié)省了102萬(wàn)美元。
因此,有效防止數(shù)據(jù)濫用造成的違規(guī)行為可以節(jié)省大量的時(shí)間和資源。以下是幫助你及時(shí)發(fā)現(xiàn)和防止數(shù)據(jù)泄露的一些注意事項(xiàng):
- 同時(shí)對(duì)大量員工進(jìn)行監(jiān)控是一項(xiàng)挑戰(zhàn),而且手動(dòng)完成該過程可能無法提供有效性。這就是為什么自動(dòng)警報(bào)對(duì)于現(xiàn)代用戶監(jiān)控軟件來說是必須的。
- 基于規(guī)則的警報(bào)的效率在很大程度上取決于該規(guī)則集是否經(jīng)過深思熟慮。如果配置正確,規(guī)則可以使安全人員避免大量誤報(bào)。警報(bào)太少也是一個(gè)警告信號(hào),因?yàn)樗赡鼙砻髂愕囊?guī)則沒有涵蓋所有可疑的操作。
4. 員工培訓(xùn)
在考慮如何防止數(shù)據(jù)濫用時(shí),不要低估員工培訓(xùn)的力量。培訓(xùn)員工一般有兩個(gè)關(guān)鍵步驟:
- 在通用公司政策中涵蓋有關(guān)數(shù)據(jù)安全的信息。一個(gè)深思熟慮的信息安全政策是關(guān)于網(wǎng)絡(luò)安全的內(nèi)部程序和標(biāo)準(zhǔn)的可靠信息來源。這是讓新人知道他們能用公司數(shù)據(jù)做什么和不能做什么的最好方式。
- 創(chuàng)建數(shù)據(jù)安全教育課程。你可以請(qǐng)安全人員分享他們的經(jīng)驗(yàn)。一個(gè)關(guān)于網(wǎng)絡(luò)安全的通用課程總是很有用的,可以提醒員工不要分享他們的憑據(jù),告訴員工新的網(wǎng)絡(luò)釣魚方法等等。最重要的是,一定要提醒員工為什么保護(hù)敏感數(shù)據(jù)很重要,以及數(shù)據(jù)濫用會(huì)導(dǎo)致什么后果。
為了加強(qiáng)數(shù)據(jù)安全性,你還應(yīng)該創(chuàng)建專門的內(nèi)部威脅策略。它可以幫助防止員工濫用數(shù)據(jù)。根據(jù)Cybersecurity Insiders發(fā)布的《2024年內(nèi)部威脅報(bào)告》顯示,全球70%的組織已經(jīng)或正在構(gòu)建內(nèi)部威脅程序。
值得注意的是,根據(jù)NIST SP 800-53、HIPAA、GDPR和其他網(wǎng)絡(luò)安全要求,維護(hù)內(nèi)部威脅和風(fēng)險(xiǎn)管理策略是強(qiáng)制性的。你可以自己實(shí)施這些策略,也可以將其作為更廣泛的網(wǎng)絡(luò)安全策略的一部分。
結(jié)語(yǔ)
防止數(shù)據(jù)濫用對(duì)于維護(hù)敏感信息的完整性和安全性至關(guān)重要。實(shí)施最佳實(shí)踐,如監(jiān)控用戶活動(dòng)、管理用戶對(duì)數(shù)據(jù)的訪問、支持對(duì)內(nèi)部威脅的快速檢測(cè)和響應(yīng),以及培訓(xùn)員工,可以顯著降低數(shù)據(jù)泄露和信息濫用的風(fēng)險(xiǎn)。
原文標(biāo)題:What is Data Misuse? 4 Ways to Detect and Prevent Misuse of Information,作者:Vlad Yakushkin
