我們現(xiàn)在已經(jīng)聽習(xí)慣了——這里有幾百萬個(gè)賬戶被入侵，那里還有一個(gè)億。公司數(shù)據(jù)泄露后，所有數(shù)據(jù)會(huì)怎樣?去哪里了?這對(duì)漏洞分析有何影響?

2020 年 6 月，被盜的 Facebook 用戶數(shù)據(jù)突然出現(xiàn)在一個(gè)在線論壇上出售。到 2021 年 4 月，包含 5 億多個(gè) Facebook 個(gè)人資料的海量數(shù)據(jù)集可供免費(fèi)下載。在賺了一些錢后，網(wǎng)絡(luò)犯罪分子通常會(huì)贈(zèng)送數(shù)據(jù)傳輸以提高他們的自尊心和知名度。

這一漏洞影響了多達(dá) 20% 的 Facebook 用戶。泄露的數(shù)據(jù)內(nèi)容包括用戶手機(jī)號(hào)碼、Facebook ID、姓名、性別、位置、關(guān)系狀態(tài)、職業(yè)/雇主、出生日期和電子郵件地址。

這是很多免費(fèi)贈(zèng)送的信息，使得大數(shù)據(jù)安全比以往任何時(shí)候都更加重要。

我們的數(shù)據(jù)泄露過嗎?

可以輕松檢查自己電子郵件是否已暴露。如一個(gè)案例說某人有一個(gè)舊的 Yahoo! 電子郵件，所以在我被盜用的網(wǎng)站上檢查，發(fā)現(xiàn)電子郵件已因數(shù)據(jù)泄露而被竊取九次。更糟的是，關(guān)于每個(gè)違規(guī)行為的解釋部分，第一個(gè)讀起來就像一個(gè)恐怖故事，電子郵件實(shí)際上涉及 2,844 起未經(jīng)驗(yàn)證的單獨(dú)數(shù)據(jù)泄露事件。2018 年 2 月，其人在網(wǎng)上發(fā)現(xiàn)了近 3,000 個(gè)涉嫌數(shù)據(jù)泄露的龐大集合，泄露的數(shù)據(jù)包括電子郵件地址和密碼。

我們還可以查看Intelligence X以獲取有關(guān)個(gè)人數(shù)據(jù)泄露的信息。但是大數(shù)據(jù)安全漏洞呢?公司數(shù)據(jù)會(huì)怎樣?

來自公司數(shù)據(jù)泄露的數(shù)據(jù)去哪兒了?

早在 2015 年，一份引人入勝的報(bào)告就讓大家深入了解了被盜數(shù)據(jù)的去向。研究人員創(chuàng)建了一個(gè) Excel 電子表格，其中包含 1,568 個(gè)假員工憑據(jù)。隨后，這個(gè)誘餌隨后被張貼在匿名的暗網(wǎng)文件共享網(wǎng)站上。然后，研究人員坐下來等待。研究人員開始追蹤數(shù)據(jù)。他們?cè)谖募星度肓艘粋€(gè)隱藏的水印，每當(dāng)有人打開文檔時(shí)就會(huì)提醒他們，揭示訪問信息，包括地理位置、IP 地址和設(shè)備類型。

幾天之內(nèi)，來自虛假數(shù)據(jù)泄露的數(shù)據(jù)已到達(dá)五個(gè)國家和三大洲，瀏覽量超過 200 次。在不到兩周的時(shí)間里，獲得了 1,081 次點(diǎn)擊，并擴(kuò)展到五大洲的 22 個(gè)不同國家。可見，被竊取的信息無處不在。

更深入的分析發(fā)現(xiàn)，兩組經(jīng)常觀看的人之間的活動(dòng)率很高，表明存在兩個(gè)網(wǎng)絡(luò)犯罪集團(tuán)，一個(gè)在尼日利亞工作，另一個(gè)在俄羅斯工作。

蓬勃發(fā)展的數(shù)據(jù)黑市

暗網(wǎng)與許多光明正大的在線市場一樣有組織。匿名犯罪分子之間出售的數(shù)據(jù)被仔細(xì)商品化。

信息銷售和交易是高度專業(yè)的。尋找數(shù)據(jù)泄露戰(zhàn)利品的暗網(wǎng)客戶需要可靠的交易。一些經(jīng)紀(jì)人甚至提供保證來贏得買家的信任。例如，如果信用卡數(shù)據(jù)被盜的買家聲稱他們無法進(jìn)行購買，則經(jīng)銷商可能會(huì)免費(fèi)提供另一組信用卡數(shù)據(jù)。

更老練的賣家將從各種來源收集數(shù)據(jù)泄露信息。例如，可能會(huì)收到來自一個(gè)來源的電子郵件和來自另一個(gè)來源的信用卡數(shù)據(jù)。其他信息，例如社會(huì)安全號(hào)碼、出生日期和地址，可以從單獨(dú)的供應(yīng)商處檢索。最后，利用被盜的醫(yī)療數(shù)據(jù)，攻擊者可以為各種類型的合成身份盜用生成有關(guān)人員的綜合資料。

被盜數(shù)據(jù)的成本是多少?

如果瀏覽暗網(wǎng)出售被盜數(shù)據(jù)，可能會(huì)看到一些這樣的價(jià)格(根據(jù)隱私事務(wù)的 2021 年數(shù)據(jù))：

在暗網(wǎng)中，發(fā)現(xiàn)銷售被盜個(gè)人數(shù)據(jù)的供應(yīng)商并不奇怪。有些銷售量超過 1,000 次，獲得了數(shù)百條正面評(píng)價(jià)。有數(shù)百家供應(yīng)商參與此類活動(dòng)。

攻擊者希望從數(shù)據(jù)泄露中得到什么

了解威脅行為者的動(dòng)機(jī)通常會(huì)揭示數(shù)據(jù)的最終位置。

根據(jù)Verizon 的 2020 年數(shù)據(jù)泄露調(diào)查報(bào)告，出于經(jīng)濟(jì)動(dòng)機(jī)的泄露是間諜泄露的 6 到 7 倍。為了賺錢，威脅行為者通常會(huì)索要贖金和/或在暗網(wǎng)上出售數(shù)據(jù)。不太常見的動(dòng)機(jī)包括惡作劇、意識(shí)形態(tài)或怨恨。

最引人注目的怨恨攻擊之一是2014 年索尼數(shù)據(jù)泄露事件。據(jù)信攻擊者使用了服務(wù)器消息塊蠕蟲工具。攻擊的組成部分包括監(jiān)聽植入、后門、代理工具、破壞性硬盤驅(qū)動(dòng)器工具和破壞性目標(biāo)清理工具。其目的是獲得重復(fù)進(jìn)入、提取信息、造成破壞并移除攻擊證據(jù)。

數(shù)據(jù)庫安全漏洞包括數(shù) TB 的索尼員工及其家人的個(gè)人信息、公司電子郵件、高管薪酬數(shù)據(jù)、當(dāng)時(shí)未發(fā)行的索尼電影的副本、未來索尼電影和電影劇本的計(jì)劃。

在襲擊期間，和平衛(wèi)士團(tuán)伙要求索尼撤回其當(dāng)時(shí)即將上映的電影“采訪”，這是一部關(guān)于暗殺朝鮮領(lǐng)導(dǎo)人金正恩陰謀的喜劇。該組織還威脅要在放映這部電影的電影院發(fā)動(dòng)恐怖襲擊。許多美國連鎖影院選擇不放映這部電影。最終，索尼取消了這部電影的主流渠道發(fā)行。

被盜文件會(huì)怎樣?

無論如何，索尼公司的數(shù)據(jù)泄露寶庫最終都在網(wǎng)上發(fā)布。這些文件大多是轉(zhuǎn)換成常見壓縮文件格式的硬盤鏡像，可以從文件共享網(wǎng)站(如 BitTorrent)輕松下載。全部打包在類似電子表格的目錄樹中，或者通過占用大量內(nèi)存的搜索來運(yùn)行，很難消化。

不用擔(dān)心，維基解密在一個(gè)可搜索的數(shù)據(jù)庫中整理了這一切。順便說一下，視頻內(nèi)容已經(jīng)過編輯，所以你不能在維基解密的“幽靈”中看到丹尼爾克雷格飾演的詹姆斯邦德。

對(duì)于許多公司或任何被入侵的人來說，這是一個(gè)艱難的教訓(xùn)。即使支付了贖金，數(shù)據(jù)仍然可能會(huì)留在攻擊者那里。

數(shù)據(jù)泄露的成本如何?據(jù)報(bào)道，索尼花費(fèi)了 3500 萬美元用于 IT 維修，另外還有800 萬美元用于支付現(xiàn)任和前任員工的身份盜竊損失、預(yù)防措施和相關(guān)法律費(fèi)用。

關(guān)于勒索軟件的更多重要教訓(xùn)

人們對(duì)勒索軟件有一個(gè)普遍的誤解。有些人認(rèn)為只是涉及鎖定(加密)文件。只需支付比特幣贖金，獲取解密密鑰，就可以重新上線。不幸的是并非如此。

Doxware是一種加密勒索軟件，受害者不僅會(huì)面臨無法訪問其文件的威脅，而且還會(huì)通過doxing將其私人文件和數(shù)據(jù)公之于眾。即使攻擊者說被攻擊者數(shù)據(jù)是安全的，他們也可能會(huì)收集這些數(shù)據(jù)以供日后出售。

應(yīng)該支付勒索軟件贖金嗎?

如果像攻擊者一樣思考，最有利可圖的計(jì)劃是收集贖金并出售戰(zhàn)利品。事實(shí)上，趨勢(shì)表明，支付贖金(“雙重勒索”)后數(shù)據(jù)泄露的威脅正變得越來越頻繁。出于這個(gè)原因，許多數(shù)據(jù)安全公司通常建議不要支付勒索軟件贖金。

即使只是普通的加密勒索軟件(沒有數(shù)據(jù)盜竊)，也不能保證犯罪分子在付款后會(huì)提供解密代碼。

如果確實(shí)支付了贖金并且攻擊者向發(fā)送了解密密鑰，請(qǐng)記住解密文件是一項(xiàng)手動(dòng)任務(wù)。每一個(gè)都必須單獨(dú)解密，這可能既困難又耗時(shí)。即使使用解密密鑰，恢復(fù)工作也可能與重新鏡像機(jī)器一樣復(fù)雜和費(fèi)時(shí)費(fèi)力。最終，代價(jià)可能與沒有支付贖金一樣多。

此外，美國財(cái)政部外國資產(chǎn)控制辦公室 (OFAC)于 2020 年 10 月 1 日發(fā)布了一份通知，通知了任何參與向來自受制裁國家(包括俄羅斯、朝鮮或伊朗)的襲擊者提供援助的人可能面臨的罰款。

不斷變化的數(shù)據(jù)泄露威脅格局和響應(yīng)

在數(shù)據(jù)保護(hù)、應(yīng)用程序安全和漏洞評(píng)估方面，首席信息官的態(tài)度已經(jīng)發(fā)生了變化。過去流行的思路是“不是如果，而是我們什么時(shí)候會(huì)受到攻擊?” 現(xiàn)在，他們問接下來會(huì)發(fā)生什么。

可以將其歸結(jié)為降低成本的實(shí)踐。IBM 2021 年數(shù)據(jù)泄露成本報(bào)告中的一些統(tǒng)計(jì)數(shù)據(jù)具體揭示了這對(duì)企業(yè)意味著什么(平均成本)：

• 176 萬美元 -部署成熟零信任與不部署零信任的違規(guī)成本差異
• 381 萬美元——安全人工智能和自動(dòng)化完全部署與未部署的成本差異
• 230 萬美元——高與低合規(guī)性失敗的違規(guī)成本差異。

在制定數(shù)據(jù)泄露響應(yīng)計(jì)劃時(shí)，端到端的準(zhǔn)備至關(guān)重要。僅靠預(yù)防措施是不夠的。勒索軟件防御應(yīng)包括現(xiàn)實(shí)的準(zhǔn)備、響應(yīng)和補(bǔ)救步驟。盡管存在風(fēng)險(xiǎn)和不確定性，但并非一切都會(huì)丟失，制定全面的計(jì)劃并保持警惕。