譯者 | 晶顏

審校 | 重樓

數(shù)據(jù)濫用不僅會危及數(shù)據(jù)安全，還會引發(fā)代價高昂的數(shù)據(jù)泄露事件。

對數(shù)據(jù)的訪問伴隨著重大責(zé)任，濫用訪問權(quán)限可能會對組織產(chǎn)生負面影響。當(dāng)員工為了個人利益或其他未經(jīng)授權(quán)的目的而濫用數(shù)據(jù)時，可能會危及數(shù)據(jù)安全，并導(dǎo)致代價高昂的數(shù)據(jù)泄露。事實上，根據(jù)Verizon的《2024年數(shù)據(jù)泄露調(diào)查報告》顯示，68%的數(shù)據(jù)泄露涉及人為因素。

本文通過研究不當(dāng)數(shù)據(jù)處理導(dǎo)致嚴重后果的現(xiàn)實場景，揭示了數(shù)據(jù)濫用的復(fù)雜性及潛在原因，并提供四種有效的最佳實踐來檢測和防止組織中的數(shù)據(jù)濫用。

什么是數(shù)據(jù)濫用？

數(shù)據(jù)濫用的定義非常簡單：以不應(yīng)該使用的方式使用任何信息。正確使用數(shù)據(jù)的條款通常在法律、行業(yè)標(biāo)準(zhǔn)、公司政策和用戶協(xié)議中有詳細說明。

數(shù)據(jù)濫用通常與員工數(shù)據(jù)盜竊有關(guān)。然而，與數(shù)據(jù)盜竊不同的是，在數(shù)據(jù)濫用的情況下，信息并非總是傳遞給第三方。

在某些情況下，數(shù)據(jù)濫用可能導(dǎo)致數(shù)據(jù)泄露。例如，員工可以將數(shù)據(jù)復(fù)制到個人使用的U盤中，一旦U盤丟失，就會引發(fā)數(shù)據(jù)泄露危機?；蛘邌T工可以將數(shù)據(jù)發(fā)送到他們的個人筆記本電腦上，一旦遭遇黑客入侵，也可能威脅數(shù)據(jù)安全。

數(shù)據(jù)濫用有哪些類型？

數(shù)據(jù)濫用類型和其背后的原因之間存在很強的相關(guān)性。最常見的數(shù)據(jù)濫用類型包括以下幾種：

1. 為個人利益濫用數(shù)據(jù)

這種類型的數(shù)據(jù)濫用涉及某人為了自己的利益而利用敏感數(shù)據(jù)，通常以犧牲他人為代價。例如，員工可能會訪問組織的商業(yè)機密或有關(guān)客戶的信息以開展自己的業(yè)務(wù)或?qū)?shù)據(jù)出售給組織的競爭對手。這樣的數(shù)據(jù)濫用可能會導(dǎo)致財務(wù)損失、聲譽損害和組織競爭優(yōu)勢的喪失。

2. 粗心大意導(dǎo)致的數(shù)據(jù)濫用

疏忽、粗心或缺乏適當(dāng)?shù)呐嘤?xùn)也可能導(dǎo)致數(shù)據(jù)濫用。這可能涉及與未經(jīng)授權(quán)的個人共享數(shù)據(jù)、意外暴露敏感信息或?qū)?shù)據(jù)下載到未受保護的個人設(shè)備上。糟糕的數(shù)據(jù)保護實踐（如缺乏加密或不適當(dāng)?shù)脑拼鎯ε渲茫┮部赡軐?dǎo)致數(shù)據(jù)泄露。

3. 數(shù)據(jù)混合

當(dāng)組織使用為特定目的收集的個人數(shù)據(jù)，然后將該數(shù)據(jù)重新用于另一個目的時，就會發(fā)生數(shù)據(jù)混合，這在大多數(shù)情況下違背了數(shù)據(jù)主體的意愿。一個典型示例是，一家公司為學(xué)術(shù)研究收集數(shù)據(jù)，然后出于營銷目的與合作伙伴共享這些數(shù)據(jù)。這種濫用個人數(shù)據(jù)的行為可能會導(dǎo)致監(jiān)管罰款和訴訟。

數(shù)據(jù)濫用通常會在很長一段時間內(nèi)不被發(fā)現(xiàn)，但其后果可能會對組織造成嚴重損害。在下一節(jié)中，我們將分析四個真實世界的數(shù)據(jù)濫用示例，以及它們對組織及相關(guān)人員造成的負面影響。

4個真實世界的數(shù)據(jù)誤用案例

1. 北愛爾蘭警方個人信息泄露

2023年8月，北愛爾蘭警察局（PSNI）遭遇了重大的數(shù)據(jù)泄露事件，致使員工的敏感個人信息被意外發(fā)布在網(wǎng)上。由于員工在回應(yīng)信息自由（Freedom of Information，F(xiàn)OI）請求時出現(xiàn)錯誤，導(dǎo)致了數(shù)據(jù)泄露。泄露的信息包括大約1萬名北愛爾蘭警局官員和文職人員的姓氏、首字母、軍銜、角色和工作地點。

事件發(fā)生后，一些工作人員被迫重新搬家安置，因為他們擔(dān)心家人和自己的安全及生命受到威脅。此次泄露還對北愛爾蘭警局的聲譽造成了損害，并可能導(dǎo)致經(jīng)濟處罰——信息專員表示，該機構(gòu)可能面臨高達75萬英鎊（合97.1萬美元）的罰款。

2. 五角大樓內(nèi)部人員泄露數(shù)據(jù)

2023年4月，聯(lián)邦調(diào)查局逮捕了21歲的杰克·特謝拉（Jack Teixeira），他當(dāng)時是馬薩諸塞州空軍國民警衛(wèi)隊的一名成員。在這起數(shù)據(jù)濫用事件中，特謝拉在網(wǎng)上泄露了高度機密的軍事文件。據(jù)悉，這名嫌疑人擁有絕密安全許可，一年多來一直在系統(tǒng)地竊取和分享這些敏感文件。

特謝拉泄露的絕密信息包括烏克蘭的戰(zhàn)爭狀態(tài)、以色列的摩薩德情報機構(gòu)等等。此次泄密被認為是近年來對美國國家安全最嚴重的破壞之一，可能損害其與盟國的關(guān)系，并暴露敏感的軍事行動。最終，特謝拉因未經(jīng)授權(quán)轉(zhuǎn)移和保留機密文件而面臨最高25年的監(jiān)禁。

3. Reddit網(wǎng)絡(luò)釣魚攻擊

2023年2月，Reddit意識到由一名員工觸發(fā)的數(shù)據(jù)泄露事件。根據(jù)Reddit的說法，網(wǎng)絡(luò)攻擊者發(fā)送了一個內(nèi)部網(wǎng)站頁面的副本，誘使員工提供憑據(jù)和第二因素令牌。通過獲得員工賬戶的訪問權(quán)限，攻擊者獲得了一些內(nèi)部文檔、代碼以及一些內(nèi)部儀表板和業(yè)務(wù)系統(tǒng)的訪問權(quán)限。據(jù)悉，此次數(shù)據(jù)泄露還涉及到公司聯(lián)系人和員工的信息以及一些廣告商的信息。

這起事件是員工網(wǎng)絡(luò)安全培訓(xùn)不足的一個例子，從而給了網(wǎng)絡(luò)釣魚攻擊可乘之機。盡管Reddit的安全團隊很快刪除了攻擊者的訪問權(quán)限，但沒有明確的方法來判斷攻擊者是否設(shè)法使用了泄露的數(shù)據(jù)。這次數(shù)據(jù)泄露可能會影響公司的聲譽，并引發(fā)數(shù)據(jù)隱私法規(guī)方面的問題。

4. 瑞士信貸內(nèi)部攻擊

2022年2月，瑞士信貸遭受了由一名員工發(fā)起的內(nèi)部攻擊。這名員工將銀行客戶的敏感數(shù)據(jù)泄露給了一家德國報紙。

結(jié)果，超過1.8萬個賬戶（涉及金額超過1000億美元）的信息被披露給了《德意志日報》（ddeutsche Zeitung），隨后又被大量其他全球媒體和組織所知。記者們迅速傳播了這條信息，因為它包含了一些受制裁者的“骯臟賬單”數(shù)據(jù)。事件發(fā)生后，瑞士信貸股價下跌約3%。

4個步驟來檢測和防止數(shù)據(jù)濫用

確保靜態(tài)和傳輸數(shù)據(jù)的安全性至關(guān)重要，因此組織可以實施以下四個關(guān)鍵措施，以顯著降低組織中數(shù)據(jù)濫用的風(fēng)險：

1. 管理數(shù)據(jù)訪問

數(shù)據(jù)訪問是潛在濫用的切入點。員工和分包商可以通過下述方式未經(jīng)授權(quán)訪問機密或敏感數(shù)據(jù)：

• 管理員可能會意外地提供訪問權(quán)限；
• 員工可以使用他們的合法訪問權(quán)限；
• 惡意的內(nèi)部人員可以使用共享帳戶或同事的密碼；

如果沒有適當(dāng)?shù)脑L問管理，數(shù)據(jù)可能會被濫用。以下是管理數(shù)據(jù)訪問的一些最佳實踐：

（1）部署二級身份驗證

識別每個用戶以了解誰試圖登錄系統(tǒng)是很重要的。當(dāng)員工使用共享帳戶（如admin和root）時，情況就會變得復(fù)雜。因此，如果使用共享帳戶，使用二級身份驗證非常重要。

（2）部署多因素身份驗證（MFA）

憑據(jù)盜竊仍然是入侵帳戶最常用的方法之一。多因素身份驗證允許你最終驗證用戶的身份，因為它需要用戶提供額外的身份驗證因素才能成功登錄到系統(tǒng)。

（3）為每個用戶帳戶分配訪問屬性或用戶角色

一旦驗證了用戶的身份，你就希望精細地管理他們的訪問權(quán)限。為此，建議為每個用戶帳戶分配用戶角色或訪問屬性。訪問管理對于特權(quán)用戶尤為重要，因為他們的特權(quán)一旦受到損害，就會帶來巨大的風(fēng)險。

2. 監(jiān)控用戶操作

檢測和防止數(shù)據(jù)濫用的最佳方法之一是對訪問數(shù)據(jù)時發(fā)生的情況保持可見性。專用的用戶監(jiān)控解決方案允許你輕松查看數(shù)據(jù)發(fā)生的情況：何時使用、如何使用以及由誰使用。

這種內(nèi)部威脅緩解方法包括：

（1）收集用戶活動日志

這是監(jiān)視用戶操作的最基本方法。記錄網(wǎng)絡(luò)中執(zhí)行的每個用戶操作為你提供了操作的上下文。但是，如果你的公司雇用了數(shù)百名員工，那么僅使用活動日志幾乎不可能及時檢測到數(shù)據(jù)濫用。

（2）持續(xù)用戶活動監(jiān)控（UAM）

UAM可以幫助你在行動中抓住惡意的內(nèi)部人員。能夠評估用戶操作周圍的環(huán)境將使你能夠?qū)崟r做出正確的安全決策。

（3）錄像

現(xiàn)代用戶活動監(jiān)控解決方案將連續(xù)觀察與每次會話的可搜索視頻記錄相結(jié)合。通過這種方式，你可以在幾秒鐘內(nèi)找到可疑事件的記錄，找出上下文，并確定該操作是否具有惡意意圖。

根據(jù)Verizon的《2024年數(shù)據(jù)泄露調(diào)查報告》顯示，除了系統(tǒng)入侵，特權(quán)濫用和各種各樣的錯誤占泄露事件的83%。這正好強調(diào)了關(guān)注特權(quán)用戶的行為以及教育員工如何正確處理敏感數(shù)據(jù)的重要性。

3. 保持知情

管理用戶訪問和監(jiān)視用戶活動為你提供了大量的活動記錄和日志，這些記錄和日志對于調(diào)查數(shù)據(jù)濫用及其后果非常有用。然而，這可能不足以實時防止事故發(fā)生。

檢測和中斷數(shù)據(jù)濫用所花費的時間是影響數(shù)據(jù)泄露成本的主要因素之一。根據(jù)IBM安全部門的《2023年數(shù)據(jù)泄露成本報告》顯示，能夠在不到200天內(nèi)識別和控制數(shù)據(jù)泄露的組織比那些需要200多天的組織節(jié)省了102萬美元。

因此，有效防止數(shù)據(jù)濫用造成的違規(guī)行為可以節(jié)省大量的時間和資源。以下是幫助你及時發(fā)現(xiàn)和防止數(shù)據(jù)泄露的一些注意事項：

• 同時對大量員工進行監(jiān)控是一項挑戰(zhàn)，而且手動完成該過程可能無法提供有效性。這就是為什么自動警報對于現(xiàn)代用戶監(jiān)控軟件來說是必須的。
• 基于規(guī)則的警報的效率在很大程度上取決于該規(guī)則集是否經(jīng)過深思熟慮。如果配置正確，規(guī)則可以使安全人員避免大量誤報。警報太少也是一個警告信號，因為它可能表明你的規(guī)則沒有涵蓋所有可疑的操作。

4. 員工培訓(xùn)

在考慮如何防止數(shù)據(jù)濫用時，不要低估員工培訓(xùn)的力量。培訓(xùn)員工一般有兩個關(guān)鍵步驟：

• 在通用公司政策中涵蓋有關(guān)數(shù)據(jù)安全的信息。一個深思熟慮的信息安全政策是關(guān)于網(wǎng)絡(luò)安全的內(nèi)部程序和標(biāo)準(zhǔn)的可靠信息來源。這是讓新人知道他們能用公司數(shù)據(jù)做什么和不能做什么的最好方式。
• 創(chuàng)建數(shù)據(jù)安全教育課程。你可以請安全人員分享他們的經(jīng)驗。一個關(guān)于網(wǎng)絡(luò)安全的通用課程總是很有用的，可以提醒員工不要分享他們的憑據(jù)，告訴員工新的網(wǎng)絡(luò)釣魚方法等等。最重要的是，一定要提醒員工為什么保護敏感數(shù)據(jù)很重要，以及數(shù)據(jù)濫用會導(dǎo)致什么后果。

為了加強數(shù)據(jù)安全性，你還應(yīng)該創(chuàng)建專門的內(nèi)部威脅策略。它可以幫助防止員工濫用數(shù)據(jù)。根據(jù)Cybersecurity Insiders發(fā)布的《2024年內(nèi)部威脅報告》顯示，全球70%的組織已經(jīng)或正在構(gòu)建內(nèi)部威脅程序。

值得注意的是，根據(jù)NIST SP 800-53、HIPAA、GDPR和其他網(wǎng)絡(luò)安全要求，維護內(nèi)部威脅和風(fēng)險管理策略是強制性的。你可以自己實施這些策略，也可以將其作為更廣泛的網(wǎng)絡(luò)安全策略的一部分。

結(jié)語

防止數(shù)據(jù)濫用對于維護敏感信息的完整性和安全性至關(guān)重要。實施最佳實踐，如監(jiān)控用戶活動、管理用戶對數(shù)據(jù)的訪問、支持對內(nèi)部威脅的快速檢測和響應(yīng)，以及培訓(xùn)員工，可以顯著降低數(shù)據(jù)泄露和信息濫用的風(fēng)險。

原文標(biāo)題：What is Data Misuse? 4 Ways to Detect and Prevent Misuse of Information，作者：Vlad Yakushkin