我们现在已经听习惯了——这里有几百万个账户被入侵,那里还有一个亿。公司数据泄露后,所有数据会怎样?去哪里了?这对漏洞分析有何影响?
2020 年 6 月,被盗的 Facebook 用户数据突然出现在一个在线论坛上出售。到 2021 年 4 月,包含 5 亿多个 Facebook 个人资料的海量数据集可供免费下载。在赚了一些钱后,网络犯罪分子通常会赠送数据传输以提高他们的自尊心和知名度。
这一漏洞影响了多达 20% 的 Facebook 用户。泄露的数据内容包括用户手机号码、Facebook ID、姓名、性别、位置、关系状态、职业/雇主、出生日期和电子邮件地址。
这是很多免费赠送的信息,使得大数据安全比以往任何时候都更加重要。
我们的数据泄露过吗?
可以轻松检查自己电子邮件是否已暴露。如一个案例说某人有一个旧的 Yahoo! 电子邮件,所以在我被盗用的网站上检查,发现电子邮件已因数据泄露而被窃取九次。更糟的是,关于每个违规行为的解释部分,第一个读起来就像一个恐怖故事,电子邮件实际上涉及 2,844 起未经验证的单独数据泄露事件。2018 年 2 月,其人在网上发现了近 3,000 个涉嫌数据泄露的庞大集合,泄露的数据包括电子邮件地址和密码。
我们还可以查看Intelligence X以获取有关个人数据泄露的信息。但是大数据安全漏洞呢?公司数据会怎样?
来自公司数据泄露的数据去哪儿了?
早在 2015 年,一份引人入胜的报告就让大家深入了解了被盗数据的去向。研究人员创建了一个 Excel 电子表格,其中包含 1,568 个假员工凭据。随后,这个诱饵随后被张贴在匿名的暗网文件共享网站上。然后,研究人员坐下来等待。研究人员开始追踪数据。他们在文件中嵌入了一个隐藏的水印,每当有人打开文档时就会提醒他们,揭示访问信息,包括地理位置、IP 地址和设备类型。
几天之内,来自虚假数据泄露的数据已到达五个国家和三大洲,浏览量超过 200 次。在不到两周的时间里,获得了 1,081 次点击,并扩展到五大洲的 22 个不同国家。可见,被窃取的信息无处不在。
更深入的分析发现,两组经常观看的人之间的活动率很高,表明存在两个网络犯罪集团,一个在尼日利亚工作,另一个在俄罗斯工作。
蓬勃发展的数据黑市
暗网与许多光明正大的在线市场一样有组织。匿名犯罪分子之间出售的数据被仔细商品化。
信息销售和交易是高度专业的。寻找数据泄露战利品的暗网客户需要可靠的交易。一些经纪人甚至提供保证来赢得买家的信任。例如,如果信用卡数据被盗的买家声称他们无法进行购买,则经销商可能会免费提供另一组信用卡数据。
更老练的卖家将从各种来源收集数据泄露信息。例如,可能会收到来自一个来源的电子邮件和来自另一个来源的信用卡数据。其他信息,例如社会安全号码、出生日期和地址,可以从单独的供应商处检索。最后,利用被盗的医疗数据,攻击者可以为各种类型的合成身份盗用生成有关人员的综合资料。
被盗数据的成本是多少?
如果浏览暗网出售被盗数据,可能会看到一些这样的价格(根据隐私事务的 2021 年数据):
在暗网中,发现销售被盗个人数据的供应商并不奇怪。有些销售量超过 1,000 次,获得了数百条正面评价。有数百家供应商参与此类活动。
攻击者希望从数据泄露中得到什么
了解威胁行为者的动机通常会揭示数据的最终位置。
根据Verizon 的 2020 年数据泄露调查报告,出于经济动机的泄露是间谍泄露的 6 到 7 倍。为了赚钱,威胁行为者通常会索要赎金和/或在暗网上出售数据。不太常见的动机包括恶作剧、意识形态或怨恨。
最引人注目的怨恨攻击之一是2014 年索尼数据泄露事件。据信攻击者使用了服务器消息块蠕虫工具。攻击的组成部分包括监听植入、后门、代理工具、破坏性硬盘驱动器工具和破坏性目标清理工具。其目的是获得重复进入、提取信息、造成破坏并移除攻击证据。
数据库安全漏洞包括数 TB 的索尼员工及其家人的个人信息、公司电子邮件、高管薪酬数据、当时未发行的索尼电影的副本、未来索尼电影和电影剧本的计划。
在袭击期间,和平卫士团伙要求索尼撤回其当时即将上映的电影“采访”,这是一部关于暗杀朝鲜领导人金正恩阴谋的喜剧。该组织还威胁要在放映这部电影的电影院发动恐怖袭击。许多美国连锁影院选择不放映这部电影。最终,索尼取消了这部电影的主流渠道发行。
被盗文件会怎样?
无论如何,索尼公司的数据泄露宝库最终都在网上发布。这些文件大多是转换成常见压缩文件格式的硬盘镜像,可以从文件共享网站(如 BitTorrent)轻松下载。全部打包在类似电子表格的目录树中,或者通过占用大量内存的搜索来运行,很难消化。
不用担心,维基解密在一个可搜索的数据库中整理了这一切。顺便说一下,视频内容已经过编辑,所以你不能在维基解密的“幽灵”中看到丹尼尔克雷格饰演的詹姆斯邦德。
对于许多公司或任何被入侵的人来说,这是一个艰难的教训。即使支付了赎金,数据仍然可能会留在攻击者那里。
数据泄露的成本如何?据报道,索尼花费了 3500 万美元用于 IT 维修,另外还有800 万美元用于支付现任和前任员工的身份盗窃损失、预防措施和相关法律费用。
关于勒索软件的更多重要教训
人们对勒索软件有一个普遍的误解。有些人认为只是涉及锁定(加密)文件。只需支付比特币赎金,获取解密密钥,就可以重新上线。不幸的是并非如此。
Doxware是一种加密勒索软件,受害者不仅会面临无法访问其文件的威胁,而且还会通过doxing将其私人文件和数据公之于众。即使攻击者说被攻击者数据是安全的,他们也可能会收集这些数据以供日后出售。
应该支付勒索软件赎金吗?
如果像攻击者一样思考,最有利可图的计划是收集赎金并出售战利品。事实上,趋势表明,支付赎金(“双重勒索”)后数据泄露的威胁正变得越来越频繁。出于这个原因,许多数据安全公司通常建议不要支付勒索软件赎金。
即使只是普通的加密勒索软件(没有数据盗窃),也不能保证犯罪分子在付款后会提供解密代码。
如果确实支付了赎金并且攻击者向发送了解密密钥,请记住解密文件是一项手动任务。每一个都必须单独解密,这可能既困难又耗时。即使使用解密密钥,恢复工作也可能与重新镜像机器一样复杂和费时费力。最终,代价可能与没有支付赎金一样多。
此外,美国财政部外国资产控制办公室 (OFAC)于 2020 年 10 月 1 日发布了一份通知,通知了任何参与向来自受制裁国家(包括俄罗斯、朝鲜或伊朗)的袭击者提供援助的人可能面临的罚款。
不断变化的数据泄露威胁格局和响应
在数据保护、应用程序安全和漏洞评估方面,首席信息官的态度已经发生了变化。过去流行的思路是“不是如果,而是我们什么时候会受到攻击?” 现在,他们问接下来会发生什么。
可以将其归结为降低成本的实践。IBM 2021 年数据泄露成本报告中的一些统计数据具体揭示了这对企业意味着什么(平均成本):
176 万美元 -部署成熟零信任与不部署零信任的违规成本差异
381 万美元——安全人工智能和自动化完全部署与未部署的成本差异
230 万美元——高与低合规性失败的违规成本差异。
在制定数据泄露响应计划时,端到端的准备至关重要。仅靠预防措施是不够的。勒索软件防御应包括现实的准备、响应和补救步骤。尽管存在风险和不确定性,但并非一切都会丢失,制定全面的计划并保持警惕。