Cloudflare：什么是數(shù)據(jù)泄露？

什么是數(shù)據(jù)泄露？

數(shù)據(jù)泄露指將機(jī)密信息、私人信息或其他敏感信息發(fā)布到不安全的環(huán)境中。數(shù)據(jù)泄露可能由意外引起，也可能是蓄意攻擊的結(jié)果。

每年都有數(shù)百萬(wàn)人卷入數(shù)據(jù)泄露，包括意外看錯(cuò)病人圖表的醫(yī)生，以及破解政府計(jì)算機(jī)以獲取軍事機(jī)密的精英人員團(tuán)隊(duì)。

因?yàn)槊舾袛?shù)據(jù)不斷地通過(guò) Internet 傳輸，因此數(shù)據(jù)泄露是網(wǎng)絡(luò)安全的主要問(wèn)題。由于需要連續(xù)傳輸信息，攻擊者可以在任何位置嘗試對(duì)其選擇的幾乎任何個(gè)人或企業(yè)進(jìn)行數(shù)據(jù)泄露攻擊。

數(shù)據(jù)泄露有哪些常見(jiàn)示例？

憑據(jù)丟失或被盜 - 在線查看私人數(shù)據(jù)的最簡(jiǎn)單方法是使用其他人的登錄憑據(jù)登錄服務(wù)。為此，攻擊者采用一系列策略來(lái)獲取人們的登錄名和密碼。其中包括蠻力攻擊和中間人攻擊。

社會(huì)工程學(xué)攻擊 - 社會(huì)工程學(xué)攻擊指通過(guò)操縱人們的心理來(lái)誘使他們交出敏感信息。例如，攻擊者可能冒充 IRS 代理打電話給受害者，試圖說(shuō)服他們透露其銀行帳戶信息。

內(nèi)部威脅 - 有權(quán)訪問(wèn)受保護(hù)信息的個(gè)人故意泄露相關(guān)數(shù)據(jù)，這通常是為了謀取私利。例如，餐廳服務(wù)員復(fù)制客戶的信用卡號(hào)，高級(jí)政府雇員將機(jī)密出售給其他國(guó)家。

針對(duì)大型公司的攻擊 - 由于大型公司提供大量有效負(fù)載，因此是數(shù)據(jù)泄露攻擊者的主要目標(biāo)。這些有效負(fù)載包括數(shù)百萬(wàn)用戶的個(gè)人和/或財(cái)務(wù)信息，例如登錄憑據(jù)和信用卡號(hào)。這些數(shù)據(jù)都可以在黑市上轉(zhuǎn)售。

實(shí)體銷售點(diǎn)攻擊 - 這些攻擊旨在獲取信用卡和借記卡信息，最常見(jiàn)的方式是通過(guò)掃描和讀取這些卡的設(shè)備來(lái)發(fā)動(dòng)攻擊。例如，有人可能會(huì)安裝假的 ATM 機(jī)，甚至將掃描儀安裝到合法的 ATM 機(jī)上，以期收集卡號(hào)和密碼。

憑據(jù)欺詐 - 某個(gè)用戶的登錄憑據(jù)泄露后，攻擊者可能會(huì)嘗試再用這些憑據(jù)登錄許多其他的平臺(tái)。如果該用戶使用相同的用戶名和密碼登錄多種服務(wù)，則攻擊者可能會(huì)訪問(wèn)受害者的電子郵件、社交媒體和/或在線銀行帳戶。

現(xiàn)實(shí)世界中的數(shù)據(jù)泄露是怎樣的？

近年來(lái)最著名的一起數(shù)據(jù)泄露事件是 2013 年 Target 遭受的網(wǎng)絡(luò)攻擊。由于這次攻擊使用的策略組合非常復(fù)雜，因此至今仍受到廣泛討論。它涉及社會(huì)工程學(xué)攻擊、劫持第三方供應(yīng)商，以及對(duì)實(shí)體銷售點(diǎn)設(shè)備發(fā)起大規(guī)模攻擊。

攻擊者通過(guò)網(wǎng)絡(luò)釣魚(yú)詐騙發(fā)起攻擊，釣魚(yú)的對(duì)象是與 Target 簽約、為其商店提供空調(diào)制冷設(shè)備的一家空調(diào)公司的雇員。這些空調(diào)連接到 Target 網(wǎng)絡(luò)的計(jì)算機(jī)上以監(jiān)控能源使用情況。為了進(jìn)入 Target 系統(tǒng)，攻擊者入侵了這家空調(diào)公司的軟件。最終，攻擊者得以對(duì) Target 商店中的信用卡掃描程序重新編程，使之向攻擊者提供客戶信用卡數(shù)據(jù)。這些掃描儀未聯(lián)網(wǎng)，但經(jīng)過(guò)編程可以定期將保存的信用卡數(shù)據(jù)轉(zhuǎn)存到攻擊者監(jiān)控的訪問(wèn)點(diǎn)中。這次攻擊取得了巨大的成功，導(dǎo)致大約 1.1 億目標(biāo)客戶的數(shù)據(jù)被泄露。

如何防止數(shù)據(jù)泄露？

由于數(shù)據(jù)泄露有多種形式，沒(méi)有單一的解決方案可以阻止數(shù)據(jù)泄露，因此需要一種整體方法。使用常識(shí)性的數(shù)據(jù)安全方法可以避免許多類型的數(shù)據(jù)泄露。比如，不針對(duì)可疑的供應(yīng)商使用信用卡，為在線服務(wù)選擇唯一的長(zhǎng)密碼，這些做法可以阻止一些最簡(jiǎn)單和最常見(jiàn)的數(shù)據(jù)泄露攻擊。為軟件安裝最新的安全修補(bǔ)程序，并使用防病毒和惡意軟件阻止程序等安全軟件，也將有助于防范數(shù)據(jù)泄露。

雇主可以通過(guò)確保其雇員僅具有完成其工作所需的最小訪問(wèn)權(quán)限，來(lái)防止數(shù)據(jù)泄露。公司還可以制定一個(gè)應(yīng)對(duì)數(shù)據(jù)泄露的響應(yīng)計(jì)劃，以便盡量減少或遏制信息泄漏。

企業(yè)還應(yīng)使用 SSL/TLS 加密技術(shù)為其網(wǎng)站加密，以保護(hù)客戶數(shù)據(jù)。此外，WAF 可以保護(hù)企業(yè)免受旨在造成數(shù)據(jù)泄露的多種應(yīng)用程序攻擊。實(shí)際上，根據(jù)推測(cè)，如果 Equifax 能正確配置 WAF，就可以避免 2017 年遭受的重大數(shù)據(jù)泄露攻擊。