数据安全风险不断涌现,数据泄露不知不觉
随着数字经济蓬勃发展,数据对于企业的价值与重要性不断攀升,随之而来的是数据安全风险不断涌现。
近年来,数据泄露事件时有发生,对企业财产安全、声誉等构成极大威胁。在此环境下,更多企业也越来越重视数据安全,并在开展内部数据安全培训时着重强调钓鱼邮件、证书盗窃、使用弱密码等方面所带来的敏感数据暴露风险。然而还有些让你“意想不到”数据泄露方式并未被挖掘出来,这也导致员工忽略了某些行为可能会带来的风险。
以下是我们为大家整理的八种可能会威胁数据安全的途径,以及解决和减少相关风险的建议。
视频会议中,眼镜镜片反光暴露屏幕信息
如今线上视频会议软件如腾讯会议、钉钉等已经成为线上/混合办公的主要平台,然而新的研究发现,戴眼镜的视频参会者可能会因为眼镜镜片反射而意外泄露信息。
康奈尔大学的一组研究人员在论文中提出可以在视频会议中通过参会者的眼镜和其他反射物体重现暴露在屏幕上的文本。研究人员使用数学建模和人体实验,进一步研究了网络摄像头通过眼镜等反射物,泄露可识别文本和图形信息的严重程度。
研究发现,如今的720p网络摄像头可以让攻击者重现视频会议中的文本内容,而现在流行的4K摄像头更是大幅降低了泄露文本信息的门槛,让攻击者可以轻松窥视到屏幕上大多数的文本。如果恶意攻击者掌握这种能力,那么一些机密和敏感数据的安全性就岌岌可危。对此,该研究也提出可以使用软件来模糊视频流的眼镜区域,形成“打码”的效果,从而防止数据的泄露。
职业类社交网站信息更新或可触发钓鱼攻击
我们经常会在职业社交类网站上更新个人履历资料,比如分享最新的职业发展、人生经验或工作地点等,然而这种看似无害的行为可能会为网络攻击者提供可趁之机。攻击者会在LinkedIn等网站上搜索新职位,在数据中介网站上查找员工的电话号码,然后冒充是公司内部的高管给受害人发送网络钓鱼信息,试图在受害者更换新工作时进行行骗。
企业停止在LinkedIn等职业社交类网站上公布新员工的入职信息,并建议新员工限制发布有关新职位的内容,这些措施可以有效降低新员工被诈骗的风险。与此同时,企业的安全团队还应对新员工进行相关的网络安全意识宣传教育,并介绍企业官方真实的短信或邮件的发送方式、样式特征等。
在社交、即时通讯平台发布图片可能会造成敏感背景信息泄露
朋友圈等社交媒体是当下网民分享生活的主要途径,人们可能觉得在个人社交媒体和即时通讯应用软件上发布图片不会对企业的敏感信息构成风险,但这是切实存在的一大威胁。放在桌子上的敏感文件、墙上的图表、记录在便签上的密码、屏幕上打开的应用程序界面等等,这些敏感信息可能都会因此行为而泄露,请各位“打工人”务必小心“隔墙有黑客”!
企业有必要针对这个问题加强对员工的安全意识教育。虽然无法完全阻止员工拍摄和分享办公场景下的照片,但是企业可以强调这么做带来的风险,让员工谨慎行事。
错误地使用数据库
对数据摄取脚本而言,IP地址或URL的简单拼写错误会导致使用错误的数据库。这会导致混合数据库在备份过程开始之前需要进行清理或回滚,否则将会发生个人身份信息泄露事件。
因此,安全团队应尽可能利用安全传输层协议的身份验证机制,降低错误识别服务器和数据库的风险,并确保准确存储相关的监控日志系统。同时,监测对象也应包括成功的事件和不成功的事件。
此外,企业还应就如何使用数据库系统,实施一套严格的规则流程和安全控制,减少数据混合事件,降低处理实际产品数据时的影响,确保因安全问题而产生的任何类型的更新或更改都可在预生产环境中得到全面的检验。
证书透明度日志泄露敏感数据
证书透明度(CT)日志可以让用户以更高的信任度浏览Web,并让管理员和安全专业人员可以快速检测证书异常、验证信任链。但攻击者也可以利用此类日志证书中的各种详细信息,来追踪公司并详细列出有效的用户名或电子邮件地址,甚至攻击安全控制措施较少的应用系统,以便接管系统和横向移动。
由于CT日志中的数据是永久性的,建议培训开发人员和IT管理员等人员使用普通的电子邮件帐户来注册证书。同时管理员还应培训用户,了解什么样的内容能够进入CT日志,帮助避免信息意外泄露。
看似无害的USB小工具可能成为攻击者的后门
办公室常见的USB小风扇、小台灯等经常被“随手”插在公司的笔记本电脑上进行充电。殊不知,这些看似无害的小设备却可以充当攻击后门,使攻击者潜入用户的设备和更广泛的企业网络。这类USB硬件攻击通常有三条主要的攻击途径:恶意设计的硬件(设备上预装恶意软件)、蠕虫感染以及硬件供应链感染。
在端点层面检测这类攻击很困难,但在新一代安全防护技术中,防病毒及端点检测和响应可以监控扩展设备的执行流程和验证代码完整性策略,从而防范诸多威胁。特权访问管理(PAM)解决方案也很重要,能够阻止非特权用户使用USB端口,并防止未经授权的代码运行。
报废设备泄露隐私数据
如果旧的办公室打印机在丢弃回收时,没有事先清除WIFI密码等隐私数据,那么企业将会面临数据泄露风险。攻击者可以提取设备密码,并使用密码登录到企业的网络,以窃取个人身份信息。
企业应对各种数据进行加密,确保由身份验证流程来保护端点设备的解密密钥,确保可移动介质受到有效控制,确保数据始终被加密,并确保可以借助必要的控制措施与正规流程来恢复数据。
疏忽导致的电子邮件泄密
员工由于疏忽发送的非恶意电子邮件经常也会导致数据泄露,例如员工的社会安全号码(SSN)等。企业有必要使用数据泄露防护(DLP)控制系统来监控所有员工的电子邮件,这可以检测到邮件附件中的多个SSN,阻止邮件,并向安全运营中心(SOC)发出警报。
此外,企业不能过度依赖被动的控制措施,应采用更好的数据分类预防控制措施,全面清楚地掌握SSN数据从生产环境传输到培训部门中某个文件的全过程,这种控制甚至可以阻止员工试图将附件通过邮件发送到个人账户。
参考资料:https://www.csoonline.com/article/3675542/8-strange-ways-employees-can-accidently-expose-data.html
原文始发于微信公众号(信息安全国家工程研究中心):这几种造成数据泄露的途径可能让你“意想不到”
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论