随着數字經濟蓬勃發展,資料對于企業的價值與重要性不斷攀升,随之而來的資料安全風險也不斷湧現。近年來,資料洩露事件時有發生,對企業财産安全、聲譽等構成極大威脅。雖然常見的資料洩露事件大多由于黑客攻擊導緻,但是還有一些你“意想不到”的途徑,也在威脅着資料的安全!
以下是企業員工可能意外洩露資料的八種不同尋常的途徑,以及應對這些風險的建議。
01 鏡片反射洩露視訊文本
Zoom和Microsoft Teams等視訊會議平台已成為遠端/混合工作模式的主要手段。然而新的研究發現,戴眼鏡的視訊參會者可能會因為眼鏡鏡片反射而意外洩露資訊。
康奈爾大學的研究人員介紹了一種方法,通過參會者的眼鏡及其他反射物可以重制視訊會議期間的螢幕文本。研究人員使用數學模組化和人體實驗,進一步研究了網絡攝像頭通過眼鏡等反射物,洩露的可識别文本和圖形資訊的嚴重程度。
研究發現,如今的720p網絡攝像頭可以讓攻擊者重制視訊會議中的文本内容,而日益流行的4K攝像頭更是大幅降低了洩露文本資訊的門檻,讓攻擊者可以輕松窺視螢幕上的大多數文本。
如果惡意攻擊者掌握這種能力,那麼一些機密和敏感資料的安全性就岌岌可危。對此研究人員提出,可以使用軟體為視訊流的眼鏡區域“打碼”,進而防止資料的洩露。
02 職業資訊觸發釣魚攻擊
在LinkedIn等專業社交網站上,人們常常更新履職資訊以表明最新的職業變動、經曆和工作地點,然而這種看似無害的行為可能會為網絡釣魚攻擊提供可趁之機。攻擊者會在LinkedIn上搜尋新職位,在資料中介網站上查找員工的電話号碼,然後發送網絡釣魚資訊,冒充是公司内部的高管,企圖在受害者履新的最初幾周行騙。
這種方法已經司空見慣,以至于許多企業停止在LinkedIn上宣布新員工入職資訊,并建議新員工限制釋出有關新職位的内容。這些措施可以有效降低新員工的被詐騙風險。與此同時,安全團隊還應對新員工進行相關的網絡安全意識宣傳教育,并介紹企業的真實短信或郵件是什麼樣子和發送方式等。
03 社交媒體洩密
朋友圈等社交媒體是當下“網民”分享生活的主要途徑,人們可能覺得在個人社交媒體和消息傳遞應用軟體上釋出圖檔不會對企業的敏感資訊構成風險,但通過社交應用軟體意外洩露資料是切實存在的一大威脅,請各位“打勞工”務必小心“隔牆有黑客”!
企業有必要針對這個問題加強對員工的安全意識教育。雖然無法完全阻止員工拍攝和分享辦公場景下的照片,但是企業可以強調這麼做帶來的風險,進而讓員工慎之又慎。
04 錯誤使用資料庫
對資料攝取腳本而言,IP位址或URL的簡單拼寫錯誤會導緻使用錯誤的資料庫。這會導緻混合資料庫在備份過程開始之前需要進行清理或復原,否則将會發生個人身份資訊洩露事件。
是以,安全團隊應盡可能利用安全傳輸層協定的身份驗證機制,降低錯誤識别伺服器和資料庫的風險,并確定準确存儲相關的監控日志系統。同時,監測對象也應包括成功的事件和不成功的事件。
此外,企業還應就如何使用資料庫系統,實施一套嚴格的規則流程和安全控制,減少資料混合事件,降低處理實際産品資料時的影響,確定因安全問題而發生的問題在測試環境中都能得到徹底全面的檢驗。
05 證書透明度日志洩露敏感資料
證書透明度(CT)日志可以讓使用者以更高的信任度浏覽Web,并讓管理者和安全專業人員可以快速檢測證書異常、驗證信任鍊。但攻擊者也可以利用此類日志證書中的各種詳細資訊,來追蹤公司并詳細列出有效的使用者名或電子郵件位址,甚至攻擊安全控制措施較少的應用系統,以便接管系統和橫向移動。
由于CT日志中的資料是永久性的,建議教育訓練開發人員和IT管理者等人員使用普通的電子郵件帳戶來注冊證書。同時管理者還應教育訓練使用者,了解什麼樣的内容能夠進入CT日志,幫助避免資訊意外洩露。
06看似無害的USB裝置
夏日的USB小風扇可以為人們帶來絲絲涼爽,“随手”就插在了公司的筆記本電腦上。殊不知,這些看似無害的裝置卻可以充當攻擊後門,幫助攻擊者潛入使用者的裝置和更廣泛的企業網絡。這類USB硬體攻擊通常有三條主要的攻擊途徑:惡意設計的硬體(裝置上預裝惡意軟體)、蠕蟲感染以及硬體供應鍊感染。
在端點層面檢測這類攻擊很困難,但在新一代安全防護技術中,防病毒及端點檢測和響應可以監控擴充裝置的執行流程和驗證代碼完整性政策,進而防範諸多威脅。特權通路管理(PAM)解決方案也很重要,能夠阻止非特權使用者使用USB端口,并防止未經授權的代碼運作。
07報廢裝置洩露隐私資料
如果舊的辦公室列印機在丢棄回收時,沒有事先擦除Wi-Fi密碼等隐私資料,那麼企業将會面臨資料洩露風險。攻擊者可以提取裝置密碼,并使用密碼登入到企業的網絡,以竊取個人身份資訊。
企業應該對各種資料進行加密,確定由身份驗證流程來保護端點裝置的解密密鑰,確定可移動媒體受到有效控制,確定資料始終被加密,并確定可以借助必要的控制措施與正規流程來恢複資料。
08電子郵件洩密
員工出于疏忽發送的非惡意電子郵件經常也會導緻資料洩露,例如員工的社會安全号碼(SSN)等。企業有必要使用資料洩露防護(DLP)控制系統來監控所有員工的電子郵件,這可以檢測到郵件附件中的多個SSN,阻止郵件,并向安全營運中心(SOC)發出警報。
此外,企業不能依過度賴被動的控制措施,應采用更好的資料分類預防控制措施,全面清楚地掌握SSN資料從生産環境傳輸到教育訓練部門中某個檔案的全過程,這種控制甚至可以阻止員工試圖将附件通過郵件發送到個人帳戶。
來源 | 安全牛
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)