博客
什么是数据泄漏?
抽象形状抽象形状
加入27,000多个网络安全通讯订阅者

数据泄漏是什么时候 敏感数据 在互联网上或其他任何形式(包括丢失的硬盘驱动器或笔记本电脑)上意外地物理暴露。这意味着网络犯罪分子可以毫不费力地未经授权访问敏感数据。

虽然条款 数据泄露 数据泄漏经常互换使用,它们是两种单独的数据暴露类型:

  1. 数据泄露是指成功的攻击能够保护敏感信息。
  2. 数据泄漏不需要 网络攻击 通常是因为贫穷 数据安全 个人的行为,偶然行为或不作为。

数据泄漏的常见形式称为 云泄漏。云泄漏是指云数据存储服务(例如Amazon Web Service)'s S3, exposes a user'对Internet的敏感数据。虽然AWS会默认保护S3存储桶的安全,但我们认为 S3安全性有缺陷 而大多数人需要 检查他们的S3权限

S3不是唯一的罪魁祸首。如果配置不当,Azure文件共享和配置错误的GitHub存储库都可能证明数据保护不佳,从而导致意外的数据泄漏。

最糟糕的部分是一旦发生数据泄露,就很难知道是否访问了数据。这意味着您的机密数据,商业机密,源代码,客户数据,个人数据以及存储在信息系统中的任何其他内容都可能被暴露或用作其中的一部分 企业间谍.

数据泄漏是由简单错误引起的,但是那些暴露了数据的人却没有'不必担心数据仅被公开了。数据泄漏的违规通知要求与声誉,财务,法律和法规损坏的可能性相同。

云服务为内部部署提供了很大的优势,但是带来了新的风险,这些风险可能会由于数据泄漏而导致安全漏洞。

网络罪犯会在数据泄漏中寻找什么? 

网络罪犯寻找的关键是 个人身份信息(PII)。个人信息包括社会安全号码,信用卡号以及任何其他可能导致身份失窃的个人详细信息。请注意,并非所有的个人身份信息(PII)都是您传统上认为是机密信息。简单的数据,例如名字或母亲'的姓氏也是目标。

另一个常见目标是医疗或 受保护的健康信息(PHI) 根据美国HIPAA标准中的定义,"卫生保健提供者[和]创建的信息与任何个人的过去,现在或将来的身体或精神健康或状况有关。"

客户信息

各个公司的数据不同,但是通常涉及一些共同的因素:

  • 身份信息: 姓名,地址,电话号码,电子邮件地址,用户名,密码
  • 活动信息: 订单和付款历史,浏览习惯,使用细节
  • 信用卡信息: 卡号,CVV码,有效期,帐单邮递区号

公司特有的信息也可以公开。这可以是银行和投资集团的财务信息,医院和保险公司的医疗记录,或者政府实体的敏感文件和表格。

公司信息

客户信息不是'唯一的事情。公司信息可能会泄漏,包括:

  • 内部沟通: 备忘录,电子邮件和详细说明公司运营的文件
  • 指标: 绩效统计,预测以及有关公司的其他收集数据
  • 战略: 消息传递详细信息,路线图,rolodexes和其他关键业务信息

暴露此类信息可能会束缚公司项目,使竞争对手了解业务运营,并揭示内部文化和个性。公司规模越大,对此类数据的兴趣就越大。

商业机密

这是数据泄漏中最危险的事情。对您的业务及其竞争能力至关重要的信息。商业秘密包括: 

  • 计划,公式,设计: 有关现有或即将推出的产品和服务的信息
  • 代码和软件: 企业出售或为内部使用而建造的专有技术
  • 商业方法: 市场策略和联系方式

暴露这种类型的数据可能会使您的业务提供的产品和服务贬值,并且会使多年的研究无法进行。

分析工具

分析依赖于包含多个信息源的大数据集,这些信息源揭示了大趋势,模式和轨迹。与分析对许多企业一样重要,执行分析所需的数据可以是 向量 如果没有适当的保护,将有风险。分析数据包括:

  • 心理数据: 首选项,个性属性,人口统计,消息传递
  • 行为数据: 例如,有关某人如何使用网站的详细信息
  • 建模数据: 根据收集到的其他信息预测的属性

通过Analytics(分析),您可以将个人理解为一组数据点,并高度准确地预测其下一步行动。这听起来可能很抽象,但是这种数据可以用来通过大幅度的说服来影响选民并改变选举的潮流。看看Cambridge Analytica, 综合智商 和Facebook,如果你不这样做'认为此信息可能会损害声誉。

为什么会发生数据泄漏?

要了解为什么会发生数据泄漏,我们需要退后一步并了解如何生成,操纵和使用信息。这些天'几乎可以肯定的结论是,存在大量敏感数据,并且公司正在使用它们。 

当我们检查 信息安全,很显然,要组织一个有弹性的过程是很困难的。操作差距,流程错误和不良的网络安全意识会导致资产脆弱,从而导致数据泄漏。 

数字数据的好处和风险是相同的。数字数据可以廉价地复制而不会降级。组织拥有许多生产数据副本,其中包括客户数据,商业秘密和其他敏感信息。 数据丢失防护(DLP)工具,仓库,灾难恢复,开发和测试环境,分析服务以及员工带回家的笔记本电脑都可以存放您和您的客户的副本'最敏感的数据。

关键是存在许多数据副本,并且存在的数据副本越多,某人或某人可能意外暴露它的机会就越高。 

应用程序安全性和数据托管链

处理数据时'有效地流经监管链。它可能就像您掌控计算机一样简单,也可能像流经多个地区的多个云服务一样复杂。  

要了解的关键是,监管链中任何环节的应用程序安全性和网络安全措施不当都会导致数据泄漏。这就是为什么 第三方风险管理供应商风险管理 是任何业务的基础。它'不再只是需要担心数据安全性的国防承包商和金融服务公司。它's everyone.

数字化从根本上改变了企业,其影响正在影响着小型企业和大型跨国公司。尽管您可能不从事数据业务,但您仍然会产生大量数据。即使你'再出售汽车等有形商品或提供医疗保健等服务,您很有可能在某个地方生成,处理甚至外包数据。 

而且,尽管您的企业可能具有安全工具和恶意软件防护功能,但如果处理数据的第三方没有'您的数据仍可能被泄露。

如何利用数据泄漏?

数据泄漏的四种常见方法是 被剥削 是:

  1. 社会工程学最有效的社会工程业务被称为 鱼叉式。这是网络罪犯发送目标 假电子邮件 根据已知信息更好地模仿权威人物或执行人员。数据泄漏中暴露的信息,尤其是心理数据和行为数据,恰恰是加强社会工程学攻击并使网络犯罪分子能够针对他们通常不愿使用的目标使用信息的能力所需的数据类型。't know.
  2. Doxxing: 个人身份信息(PII)可以用于信用卡欺诈以外的其他用途。 Doxxing是一种获取和发布人的做法'违反他们意愿的信息。执行Doxxing的原因多种多样。在政治极端主义,仇杀,骚扰或缠扰行为的情况下,暴露的PII可能对人们造成真正的伤害。  
  3. 监视和情报: 心理数据有许多用途。它的主要目的是预测和塑造意见。政治运动使用它来赢得选票,而企业使用它来赢得客户。
  4. 破坏: 数据泄漏可用于减慢或停止业务运营,从而使敏感信息向公众公开。数据泄漏中暴露的信息会对政府,企业和个人造成严重后果。 

为什么数据泄漏很重要?

考虑这种情况:

您的营销团队需要将您的电子邮件列表从一个电子邮件服务提供商移动到另一提供商,并且他们在决定使用新工具时将数据存储在未使用的S3存储桶中。一旦确定了联系工具,联系人就会上传到新工具,一切都很好。除了市场营销团队忘记清除S3存储桶,它恰好配置为完全公开访问。 

这似乎是人为错误,实际上是。问题是'如果有人犯了一个错误,那么问题在于,首先没有任何东西可以防止错误发生,或者至少没有检测到已发生错误,因此可以立即解决。 

您可能会认为这不是't a big deal, it'只是电子邮件,但如果是您的客户列表或更糟的客户呢?'的个人身份信息(PII)?甚至电子邮件地址也很重要,并且可能导致无可辩驳的声誉损失。弹性必须内置于每天进行的程序工作中。

要了解的关键是,可以利用数据泄露之类的数据泄漏。以下是利用数据泄漏的四种常见方法:

  1. 信用卡诈骗: 网络罪犯可以利用泄露的信用卡信息来进行信用卡欺诈。 
  2. 黑市销售: 数据公开后,就可以拍卖 暗网。许多网络犯罪分子专门研究发现不安全的云实例和易受攻击的数据库,这些数据库包含信用卡号,社会保险号和其他个人身份信息(PII),以进行身份​​欺诈,垃圾邮件或 网络钓鱼 操作。就像在Google中使用搜索查询一样简单。
  3. 勒索: 有时信息是由公司持有的'索要赎金或造成声誉损失。
  4. 降低竞争优势: 竞争对手可能会利用数据泄漏的优势。从客户清单到商业秘密的所有内容,都可以使竞争对手获得您的资源和策略。这可以像您的营销团队正在从事的工作一样简单,也可以是复杂的物流业务。

如何防止数据泄漏?

信息的处理方式因行业而异,公司与公司之间甚至人与人之间都不同。在受管制的行业(例如PCI DSS,HIPAA或FERPA)中进行操作时,必须遵循一些一般准则。 

也就是说,最终要由您的组织及其雇主来每天遵循这些标准。简而言之,大多数数据泄漏是操作问题,而不是传统的网络安全问题。数据泄漏'是由网络罪犯造成的,但可以被他们利用。  

三种常见的方法 防止数据泄露 如下面所述:

  1. 验证: 随着云存储变得越来越普遍,正在移入和移出云存储的数据量呈指数增长。如果没有适当的处理,敏感数据可能会在不安全的存储桶中公开。这就是为什么必须在部署时以及在托管敏感数据的期间验证云存储配置的原因。连续验证可最大程度地减少 网络安全风险 该数据将被公开,如果发生公共访问,甚至可以主动通知您。
  2. 自动化: 在足够大的规模上,验证变得难以管理。与人相比,计算机在保持一致性方面要好得多。自动化的流程控制应充当可执行文档,以确保所有云存储都受到保护并保持安全。
  3. 第三方风险: 您的供应商可以尽可能轻松地公开您的信息。即使你不'揭露你的顾客'的数据,您仍然要对客户以及监管者眼中的数据泄漏负​​责。这使得评估 第三方风险, 第四方风险网络安全风险评估 和内部一样重要 网络安全信息风险管理.

数据泄漏的例子

导致大量破坏的数据泄漏的三个示例:

  1. 大约有620万个电子邮件地址 民主党参议院竞选委员会揭露 配置错误的Amazon S3存储桶中。逗号分隔的地址列表由DSCC员工于2010年上传到存储桶中。存储桶和文件名都引用了“克林顿”,大概与希拉里·克林顿为纽约参议员所做的较早一次竞选有关。该列表包含主要电子邮件提供商,大学,政府机构和军队的电子邮件地址。
  2. UpGuard研究人员发现 三个与Attunity相关的可公开访问的Amazon S3存储桶。其中,其中包含大量内部业务文档。总体大小尚不确定,但是研究人员下载了大约1 TB大小的样本,其中包括750 GB的压缩电子邮件备份。还显示了员工的OneDrive帐户备份,并涵盖了员工执行工作所需的各种信息:电子邮件通信,系统密码,销售和市场联系信息,项目规格等。
  3. 一个云存储库,其中包含以下信息 LocalBlox是一项个人和企业数据搜索服务,可公开访问,它暴露了从多个来源收集并刮取的成千上万个人的4800万条详细个人信息记录。

UpGuard如何帮助您防止数据泄漏

UpGuard helps companies like 洲际交流泰勒·弗莱纽约证券交易所,IAG,First State Super,Akamai,Morningstar和NASA保护其数据并防止数据泄漏和泄露。

UpGuard BreachSight 's域名抢注模块 can reduce the 网络风险 related to 抢注,以及预防 违反,避免监管罚款并保护您的客户'通过网络安全等级和持续暴露检测获得信任。 

我们也可以为您提供帮助 持续监控,评估安全问卷并将其发送给您的供应商 to control 第三方风险 并改善您的安全状况,以及 自动创建清单,执行策略并检测对IT基础架构的意外更改.

UpGuard'网络风险研究已在《纽约时报》,彭博社,吉兹莫多,福布斯和《华盛顿邮报》上发表。

立即预订演示。

自由

白色UpGuard徽标
可供下载的UpGuard免费资源
学到更多

下载我们的免费电子书和白皮书

关于网络安全和供应商风险管理的见解。
白色UpGuard徽标
电子书,报告& Whitepapers
可供下载的UpGuard免费资源
UpGuard客户支持团队UpGuard客户支持团队UpGuard客户支持团队

观看UpGuard的实际应用

与我们的一位网络安全专家预订免费的个性化入职电话。
抽象形状抽象形状

相关文章

了解有关网络安全的最新问题的更多信息。
传送图标

注册我们的时事通讯

每周在收件箱中获取最新精选的网络安全新闻,漏洞,事件和更新。
抽象形状抽象形状
免费即时安全评分

您的组织有多安全?

索取免费的网络安全报告,以发现您的网站,电子邮件,网络和品牌上的主要风险。
  • 检查图标
    您可以立即采取行动的即时见解
  • 检查图标
    13个风险因素,包括电子邮件安全,SSL,DNS运行状况,开放端口和常见漏洞
网站安全扫描结果网站安全扫描等级抽象形状