海外视点

数据泄露一直是信息技术发展的隐患,尽管人们为此作出了大量努力,其数量仍逐年增加。近日,麻省理工学院斯隆管理学院信息技术教授斯图尔特·马德尼克(Stuart Madnick)在《哈佛商业评论》发文《2023年数据泄露为何激增》(Why Data Breaches Spiked in 2023),根据其研究小组的研究成果,分析了数据泄露的三大源头并提出了相应对策。

原文 :堵住个人数据泄露的三大源头

编译 |钟丽丽

图片 |网络

多年来,公司、大学、政府机构等各种组织花费了大量资源,努力保护自己免受网络攻击。但尽管作出了诸多努力,数据泄露(黑客窃取个人数据)事件仍在继续逐年增加。据统计,从2022年到2023年,数据泄露事件增加了20%,遭受数据泄露的人数是2022年人数的两倍,而在中东,勒索软件团伙活动在同一时间段内增加了77%。为什么人们付出了巨大努力,这种网络损害仍在继续并扩大?对此,又该如何应对呢?

云配置错误

个人数据泄露事件增加的主要原因首先是云配置错误。亚马逊、谷歌、微软等公司提供的云存储带来了很多好处,如成本效益、安全性、轻松的数据共享、同步、便利性、可扩展性和数据恢复等,因此,公司将越来越多的数据放在云中。据估计,全球超过60%的企业数据被存储在云中,这使得云成为黑客攻击的重要目标。2023年,超过80%的数据泄露涉及被存储在云中的数据。这不仅仅是因为云是黑客的攻击目标,很多情况下,由于云配置错误,它也很容易成为目标。也就是说,公司无意中滥用了云,例如允许过度宽松的云访问、拥有不受限制的端口及使用不安全的备份。根据美国国家安全局的说法,“云配置错误是最普遍的云漏洞”,黑客可以利用它来访问云数据和服务。

为什么人们会犯这样的错误?这是几个相互关联的原因造成的:许多公司最近才把数据迁移到云上,因此它们没有丰富的经验;为满足客户需求和竞争,云提供商不断增加功能并相应增加复杂性。此外,人们希望云更易于使用,因此云提供商默认提供更宽松的设置。用户可能没有意识到网络是怎么设置的,以及他们的部分或全部数据存储是否公开暴露在公共互联网上。

有句老话说得很有道理:欲速则不达。在快速过渡到云和发布新应用程序的过程中,公司经常走捷径,没有花足够的时间确认云配置设置是否正确,从而导致数据泄露。因此,为避免信息泄露,公司应花些时间认真仔细地验证云存储是否被正确使用。

新型勒索软件攻击

个人数据泄露事件增加的第二个主要原因是新型勒索软件的攻击。勒索软件攻击就是黑客进入用户计算机,通过加密编码来“锁定”数据,并要求用户支付赎金以获得释放数据所需的解密密钥。在这种类型的勒索软件攻击中,数据实际上并没有被提取——它仍保留在用户的计算机上,但用户无法使用它。

随着公司在维护和使用备份数据方面做得越来越好,勒索软件似乎可能变得不那么有威胁性。但现实情况是,勒索软件攻击事件不断增加并变得更加危险。为了防止受害者拒绝支付赎金的可能性,攻击者会在受害者的计算机上加密数据之前复制数据,然后他们使用勒索和绑架的方式发出威胁:支付赎金,否则我们将开始公开披露您的私人数据!这种类型的勒索软件攻击存在实际的数据泄露风险,并且更有可能公开披露大量数据。

这种状况主要是用户某种程度上的幼稚或无知造成的。人们通常认为他们使用的保护方法(如防火墙、多因素识别等)可以将攻击者拒之门外,因此不必担心数据被窃取。同样,处理未加密的数据似乎更简单,因此,他们选择不加密数据。

要避免这种损失,勤勉有效地备份所有数据,快速高效地恢复数据,对于解决传统的勒索软件攻击仍然很重要。若要消除私人数据被公开的额外风险,需要防止攻击者从系统中提取数据(通常称为外泄),然后公开该数据。

利用供应商系统获得信息

第三个主要原因是攻击者利用供应商系统获得信息。大多数公司通过防火墙、更强的密码、多因素识别等措施来加强对其“前门”的网络保护。因此,攻击者会寻求其他(有时甚至更危险)的方式来获取它,即通过供应商的系统进入。

大多数公司依靠供应商来协助它们,从进行空调维护到提供软件,包括软件的自动更新。为了提供这些服务,这些供应商需要轻松访问公司的系统——这些供应商被称为“侧门”。但是,这些供应商通常是网络安全资源有限的小公司,攻击者会利用供应商系统中的漏洞进入客户的系统。这通常被称为“供应链攻击”。

事实上,可能受到攻击的不仅仅是一个客户,而是几乎所有使用该供应商服务的客户。因此,一个漏洞可以威胁到数千个组织,例如在2023年的MOVEit零日漏洞攻击中,已有30多个国家和地区的2600多家公司承认受到攻击,超过8000万条个人数据受到损害。在一些研究中,2023年因供应链攻击导致的数据泄露数量比2022年增加了78%。

要避免这种类型的信息泄露,首先,每家公司都要更加意识到供应链攻击的可能性。其次,虽然无法完全控制其他公司的系统和运营,但有些事情是可以做到的。比如通过对供应商的网络安全有效性进行评估,进而评估组织的安全性,从而了解与供应商合作所带来的风险。还可以限制每个供应商“侧门”的范围,限制供应商可以访问的数据,对数据进行加密。

文章为社会科学报“思想工坊”融媒体原创出品,原载于《社会科学报》第1900期第7版,未经允许禁止转载,文中内容仅代表作者观点,不代表本报立场。

本期责编:王立尧