從鏡片反光、新招聘信息到證書透明度日志和廢棄的打印機(jī),員工有各種奇怪的方式會(huì)無(wú)意中暴露數(shù)據(jù)。
員工經(jīng)常被警告與釣魚郵件、證書盜竊以及使用弱密碼相關(guān)的數(shù)據(jù)暴露風(fēng)險(xiǎn)。然而,還有很多“意想不到”的方式同樣會(huì)泄露或暴露有關(guān)自己、所作工作或所在組織的敏感信息,而這些方式往往是他們從未意識(shí)到的。
在以往的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)中,這些風(fēng)險(xiǎn)往往并未被挖掘出來(lái),這也導(dǎo)致員工忽略了這些可能會(huì)給數(shù)據(jù)安全帶來(lái)風(fēng)險(xiǎn)的行為。而這些行為一旦暴露出來(lái),就可能對(duì)企業(yè)財(cái)產(chǎn)安全、聲譽(yù)等構(gòu)成極大威脅。
以下是企業(yè)員工可能意外泄露數(shù)據(jù)的八種不同尋常、出人意料和相對(duì)奇怪的途徑,以及解決和減少相關(guān)風(fēng)險(xiǎn)的建議。
1. 在視頻會(huì)議中,鏡片反射會(huì)暴露屏幕數(shù)據(jù)
像Zoom和Microsoft Teams這樣的視頻會(huì)議平臺(tái)已成為遠(yuǎn)程/混合工作模式的主要手段。然而,一項(xiàng)新的研究發(fā)現(xiàn),佩戴眼鏡的視頻會(huì)議參會(huì)者可能有通過(guò)眼鏡鏡片反射而意外泄露信息的風(fēng)險(xiǎn)。
在一篇名為《隱私之眼:在視頻會(huì)議中通過(guò)鏡片反射偷看文本屏幕的風(fēng)險(xiǎn)》的論文中,康奈爾大學(xué)的一組研究人員揭示了一種方法,可以在視頻會(huì)議中通過(guò)參會(huì)者的眼鏡和其他反射物體重現(xiàn)暴露在屏幕上的文本。研究人員使用數(shù)學(xué)建模和人體實(shí)驗(yàn),進(jìn)一步研究了網(wǎng)絡(luò)攝像頭通過(guò)眼鏡等反射物,泄露可識(shí)別文本和圖形信息的嚴(yán)重程度。
研究人員介紹稱,“我們?cè)谑芸貙?shí)驗(yàn)室環(huán)境下的模型和實(shí)驗(yàn)結(jié)果表明,使用720p網(wǎng)絡(luò)攝像頭可以以超過(guò)75%的準(zhǔn)確性重現(xiàn)和識(shí)別屏幕上10mm高的文本。我們還進(jìn)一步將這種威脅模型應(yīng)用于具有不同攻擊能力的web文本內(nèi)容,以找到文本被識(shí)別的閾值。這項(xiàng)20人參與的研究發(fā)現(xiàn),現(xiàn)在的720p網(wǎng)絡(luò)攝像頭足以讓攻擊者在大字體網(wǎng)站上重建文本內(nèi)容,而日益流行的4K攝像頭將打破文本泄漏的閾值,讓攻擊者可以輕松窺視屏幕上的大多數(shù)文本。”
如果惡意攻擊者掌握這種能力,可能會(huì)潛在地威脅到一些機(jī)密和敏感數(shù)據(jù)的安全。對(duì)此,該研究也給出了一些緩解建議,包括使用軟件來(lái)模糊視頻流的眼鏡區(qū)域,從而防止數(shù)據(jù)的泄露。對(duì)于可能的長(zhǎng)期防御,則主張使用個(gè)體反射測(cè)試程序來(lái)評(píng)估各種環(huán)境下的威脅,并在隱私敏感的場(chǎng)景中遵循最小特權(quán)原則。
2. 職業(yè)資訊更新觸發(fā)釣魚攻擊
在LinkedIn等職業(yè)社交網(wǎng)站上,人們經(jīng)常會(huì)更新履歷以反映最新的職業(yè)動(dòng)向、經(jīng)歷和工作地點(diǎn)。然而,這種看似無(wú)害的行為可能會(huì)讓新員工遭受所謂的“新招聘短信”網(wǎng)絡(luò)釣魚攻擊。攻擊者會(huì)在LinkedIn上搜索新職位,在數(shù)據(jù)中介網(wǎng)站上查找員工的電話號(hào)碼,并假裝是公司內(nèi)部的高管發(fā)送網(wǎng)絡(luò)釣魚信息,試圖在受害者新入職的最初幾周欺騙他們。
據(jù)社交工程專家、SocialProof Security首席執(zhí)行官Rachel Tobac介紹,這些信息通常要求提供禮品卡或虛假轉(zhuǎn)賬,但也曾要求提供登錄憑據(jù)或敏感信息。對(duì)此,他建議新員工限制發(fā)布有關(guān)新職位的內(nèi)容。這些措施可以有效降低新員工的被詐騙風(fēng)險(xiǎn)。與此同時(shí),安全團(tuán)隊(duì)還應(yīng)對(duì)新員工進(jìn)行相關(guān)的網(wǎng)絡(luò)安全意識(shí)宣傳教育,并介紹企業(yè)的真實(shí)短信或郵件是什么樣子和發(fā)送方式等。
3. 社交媒體、信息應(yīng)用程序的圖片會(huì)泄露敏感的背景信息
用戶可能不會(huì)認(rèn)為在個(gè)人社交媒體和即時(shí)通訊應(yīng)用上發(fā)布照片會(huì)對(duì)企業(yè)敏感信息構(gòu)成威脅,但正如黑莓最著名的威脅研究員Dmitry Bestuzhev所言,通過(guò)Instagram、Facebook和WhatsApp等社交應(yīng)用意外泄露數(shù)據(jù)是一個(gè)非常現(xiàn)實(shí)的威脅。
他解釋稱,“人們喜歡拍照,但有時(shí)他們會(huì)忘記周圍的環(huán)境。所以,經(jīng)常可以在桌子上看到敏感文件,在墻上看到圖表,在便簽上看到密碼,在驗(yàn)證密鑰和未解鎖的屏幕上看到桌面上打開的應(yīng)用程序。所有這些信息都是機(jī)密,可能會(huì)被用于惡意活動(dòng)。”
組織雖然無(wú)法阻止員工拍攝和分享照片,但有必要針對(duì)這個(gè)問(wèn)題加強(qiáng)對(duì)員工的安全意識(shí)教育,強(qiáng)調(diào)這么做帶來(lái)的風(fēng)險(xiǎn),讓員工三思而行。
4. 數(shù)據(jù)輸入腳本類型錯(cuò)誤導(dǎo)致數(shù)據(jù)庫(kù)使用不正確
對(duì)數(shù)據(jù)輸入腳本而言,IP地址或URL的簡(jiǎn)單拼寫錯(cuò)誤會(huì)導(dǎo)致使用錯(cuò)誤的數(shù)據(jù)庫(kù)。這會(huì)導(dǎo)致混合數(shù)據(jù)庫(kù)在備份過(guò)程開始之前需要進(jìn)行清理或回滾,否則將會(huì)發(fā)生個(gè)人身份信息泄露事件。
因此,安全團(tuán)隊(duì)?wèi)?yīng)盡可能利用安全傳輸層協(xié)議(TLS)的身份驗(yàn)證機(jī)制,降低錯(cuò)誤識(shí)別服務(wù)器和數(shù)據(jù)庫(kù)的風(fēng)險(xiǎn),但要明白,這種風(fēng)險(xiǎn)無(wú)法完全消除,因此要采取相應(yīng)的行動(dòng)和準(zhǔn)備,確保準(zhǔn)確存儲(chǔ)相關(guān)的監(jiān)控日志系統(tǒng)。同時(shí),監(jiān)測(cè)對(duì)象也應(yīng)包括成功的事件和不成功的事件。
此外,企業(yè)還應(yīng)對(duì)如何使用生產(chǎn)/預(yù)生產(chǎn)/測(cè)試環(huán)境,實(shí)施一套嚴(yán)格的規(guī)則、流程和安全控制,以減少數(shù)據(jù)混合事件,降低處理真實(shí)產(chǎn)品數(shù)據(jù)時(shí)的影響,并確保因安全問(wèn)題而發(fā)生的問(wèn)題在測(cè)試環(huán)境中都能得到徹底全面的測(cè)試。同時(shí),為服務(wù)器命名以便它們可以相互區(qū)分,而不是過(guò)度使用縮寫,也是另一個(gè)有用的技巧。還可以投資檢測(cè)和監(jiān)控作為補(bǔ)償控制之一,并測(cè)試以確保檢測(cè)工作符合預(yù)期。
5. 證書透明度日志泄露大量敏感數(shù)據(jù)
證書透明度(CT)日志可以讓用戶以更高的信任度瀏覽Web,也可以讓管理員和安全專業(yè)人員快速發(fā)現(xiàn)證書異常,驗(yàn)證信任鏈。然而,由于這些日志的性質(zhì),證書中的所有細(xì)節(jié)都是公開的,并且永久保存,這包括用戶名、電子郵件、IP地址、內(nèi)部項(xiàng)目、業(yè)務(wù)關(guān)系、預(yù)發(fā)布產(chǎn)品、組織結(jié)構(gòu)等。攻擊者可以利用這些詳細(xì)信息追蹤公司,并詳細(xì)列出有效的用戶名或電子郵件地址,甚至在某些情況下,攻擊安全控制措施較少的應(yīng)用系統(tǒng),以便接管系統(tǒng)和橫向移動(dòng)。
由于CT日志中的數(shù)據(jù)是永久性的,建議最好培訓(xùn)開發(fā)人員、IT管理員等使用通用電子郵件帳戶注冊(cè)證書。同時(shí),管理員也應(yīng)培訓(xùn)用戶了解CT日志的內(nèi)容,以幫助避免意外的信息泄露。
6. 看似無(wú)害的USB設(shè)備成為攻擊者的后門
員工可能傾向于購(gòu)買并使用自己的硬件,如USB風(fēng)扇或插在筆記本電腦上的燈,但CyberArk惡意軟件研究團(tuán)隊(duì)負(fù)責(zé)人Amir Landau警告稱,這些看似無(wú)害的設(shè)備可能會(huì)被用作用戶設(shè)備和更廣泛的商業(yè)網(wǎng)絡(luò)的后門。這類硬件攻擊通常有三個(gè)主要的攻擊載體:
惡意設(shè)計(jì)的硬件(設(shè)備上預(yù)裝惡意軟件),其中一個(gè)例子被稱為BadUSB。它可以很輕松地在速賣通(AliExpress)上購(gòu)買,或者人們可以用開源軟件從任何USB設(shè)備上制作自己的BadUSB,比如USB Rubber Ducky;
其次是蠕蟲感染,如USBferry和Raspberry Robin;
第三是硬件供應(yīng)鏈感染,作為供應(yīng)鏈攻擊的一部分,可以在合法硬件中安裝受損軟件或芯片,就像在2018年亞馬遜和蘋果使用的服務(wù)器主板中插入惡意芯片一樣。
Landau表示,在端點(diǎn)層面檢測(cè)這類攻擊很困難,但在某些情況下,防病毒及端點(diǎn)檢測(cè)和響應(yīng)可以監(jiān)控?cái)U(kuò)展設(shè)備的執(zhí)行流程和驗(yàn)證代碼完整性策略來(lái)阻止威脅。此外,特權(quán)訪問(wèn)管理(PAM)解決方案也很重要,因?yàn)樗鼈兡軌蜃柚狗翘貦?quán)用戶使用USB端口,并防止未經(jīng)授權(quán)的代碼。
7. 廢棄的辦公設(shè)備暴露隱私數(shù)據(jù)
當(dāng)一臺(tái)舊的辦公室打印機(jī)停止工作或被更新型號(hào)所取代時(shí),員工可能會(huì)簡(jiǎn)單地將其丟棄以作回收利用。但是,如果沒(méi)有事先擦除Wi-Fi密碼等隱私數(shù)據(jù)就直接丟棄,可能會(huì)讓組織面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
攻擊者可以提取設(shè)備密碼,并使用密碼登錄到組織的網(wǎng)絡(luò)中,以竊取個(gè)人身份信息(PII)。對(duì)此,建議組織應(yīng)該在靜態(tài)和使用/傳輸過(guò)程中對(duì)數(shù)據(jù)進(jìn)行加密,并確保由身份驗(yàn)證流程來(lái)保護(hù)端點(diǎn)設(shè)備的解密密鑰。同時(shí),確保可移動(dòng)介質(zhì)受到有效控制,確保數(shù)據(jù)始終處于加密狀態(tài),并確保可以通過(guò)正式流程和必要的控制措施來(lái)恢復(fù)數(shù)據(jù)。
8. 發(fā)送到個(gè)人賬戶的電子郵件泄露組織和客戶信息
SafeBreach的首席信息官Avishai Avivi講述了一個(gè)事件:作為培訓(xùn)新員工的一部分,培訓(xùn)團(tuán)隊(duì)使用了一個(gè)包含客戶序列號(hào)的真實(shí)電子表格,并簡(jiǎn)單地隱藏了包含所有序列號(hào)的列。然后,他們將修改過(guò)的電子表格提供給受訓(xùn)人員。這名員工想在家里繼續(xù)培訓(xùn),就直接把電子表格發(fā)到了他的個(gè)人郵箱賬戶上,結(jié)果導(dǎo)致了包含客戶社會(huì)安全號(hào)碼在內(nèi)的數(shù)據(jù)泄露事件。
值得慶幸的是,該公司有一個(gè)反應(yīng)性數(shù)據(jù)泄露防護(hù)(DLP)控制系統(tǒng),監(jiān)控所有員工的電子郵件,它檢測(cè)到郵件附件中存在多個(gè)SSN,從而阻止了郵件,并通知了安全運(yùn)營(yíng)中心(SOC)。然而,這件事警醒我們,即便是最真誠(chéng)、最善意的行為也可能會(huì)暴露敏感信息。
對(duì)此,Avivi建議稱,組織不應(yīng)該依賴被動(dòng)的控制措施,而應(yīng)該采用更好的數(shù)據(jù)分類預(yù)防控制措施,全面清楚地掌握SSN數(shù)據(jù)從生產(chǎn)環(huán)境傳輸?shù)脚嘤?xùn)部門中某個(gè)文件的全過(guò)程,這種控制甚至可以阻止員工試圖將附件通過(guò)郵件發(fā)送到個(gè)人帳戶。
參考及來(lái)源:https://www.csoonline.com/article/3675542/8-strange-ways-employees-can-accidently-expose-data.html
