從鏡片反光、新招聘信息到證書透明度日志和廢棄的打印機(jī),員工有各種奇怪的方式會無意中暴露數(shù)據(jù)。
員工經(jīng)常被警告與釣魚郵件、證書盜竊以及使用弱密碼相關(guān)的數(shù)據(jù)暴露風(fēng)險。然而,還有很多“意想不到”的方式同樣會泄露或暴露有關(guān)自己、所作工作或所在組織的敏感信息,而這些方式往往是他們從未意識到的。
在以往的網(wǎng)絡(luò)安全意識培訓(xùn)中,這些風(fēng)險往往并未被挖掘出來,這也導(dǎo)致員工忽略了這些可能會給數(shù)據(jù)安全帶來風(fēng)險的行為。而這些行為一旦暴露出來,就可能對企業(yè)財產(chǎn)安全、聲譽(yù)等構(gòu)成極大威脅。
以下是企業(yè)員工可能意外泄露數(shù)據(jù)的八種不同尋常、出人意料和相對奇怪的途徑,以及解決和減少相關(guān)風(fēng)險的建議。
1. 在視頻會議中,鏡片反射會暴露屏幕數(shù)據(jù)
像Zoom和Microsoft Teams這樣的視頻會議平臺已成為遠(yuǎn)程/混合工作模式的主要手段。然而,一項(xiàng)新的研究發(fā)現(xiàn),佩戴眼鏡的視頻會議參會者可能有通過眼鏡鏡片反射而意外泄露信息的風(fēng)險。
在一篇名為《隱私之眼:在視頻會議中通過鏡片反射偷看文本屏幕的風(fēng)險》的論文中,康奈爾大學(xué)的一組研究人員揭示了一種方法,可以在視頻會議中通過參會者的眼鏡和其他反射物體重現(xiàn)暴露在屏幕上的文本。研究人員使用數(shù)學(xué)建模和人體實(shí)驗(yàn),進(jìn)一步研究了網(wǎng)絡(luò)攝像頭通過眼鏡等反射物,泄露可識別文本和圖形信息的嚴(yán)重程度。
研究人員介紹稱,“我們在受控實(shí)驗(yàn)室環(huán)境下的模型和實(shí)驗(yàn)結(jié)果表明,使用720p網(wǎng)絡(luò)攝像頭可以以超過75%的準(zhǔn)確性重現(xiàn)和識別屏幕上10mm高的文本。我們還進(jìn)一步將這種威脅模型應(yīng)用于具有不同攻擊能力的web文本內(nèi)容,以找到文本被識別的閾值。這項(xiàng)20人參與的研究發(fā)現(xiàn),現(xiàn)在的720p網(wǎng)絡(luò)攝像頭足以讓攻擊者在大字體網(wǎng)站上重建文本內(nèi)容,而日益流行的4K攝像頭將打破文本泄漏的閾值,讓攻擊者可以輕松窺視屏幕上的大多數(shù)文本。”
如果惡意攻擊者掌握這種能力,可能會潛在地威脅到一些機(jī)密和敏感數(shù)據(jù)的安全。對此,該研究也給出了一些緩解建議,包括使用軟件來模糊視頻流的眼鏡區(qū)域,從而防止數(shù)據(jù)的泄露。對于可能的長期防御,則主張使用個體反射測試程序來評估各種環(huán)境下的威脅,并在隱私敏感的場景中遵循最小特權(quán)原則。
2. 職業(yè)資訊更新觸發(fā)釣魚攻擊
在LinkedIn等職業(yè)社交網(wǎng)站上,人們經(jīng)常會更新履歷以反映最新的職業(yè)動向、經(jīng)歷和工作地點(diǎn)。然而,這種看似無害的行為可能會讓新員工遭受所謂的“新招聘短信”網(wǎng)絡(luò)釣魚攻擊。攻擊者會在LinkedIn上搜索新職位,在數(shù)據(jù)中介網(wǎng)站上查找員工的電話號碼,并假裝是公司內(nèi)部的高管發(fā)送網(wǎng)絡(luò)釣魚信息,試圖在受害者新入職的最初幾周欺騙他們。
據(jù)社交工程專家、SocialProof Security首席執(zhí)行官Rachel Tobac介紹,這些信息通常要求提供禮品卡或虛假轉(zhuǎn)賬,但也曾要求提供登錄憑據(jù)或敏感信息。對此,他建議新員工限制發(fā)布有關(guān)新職位的內(nèi)容。這些措施可以有效降低新員工的被詐騙風(fēng)險。與此同時,安全團(tuán)隊(duì)還應(yīng)對新員工進(jìn)行相關(guān)的網(wǎng)絡(luò)安全意識宣傳教育,并介紹企業(yè)的真實(shí)短信或郵件是什么樣子和發(fā)送方式等。
3. 社交媒體、信息應(yīng)用程序的圖片會泄露敏感的背景信息
用戶可能不會認(rèn)為在個人社交媒體和即時通訊應(yīng)用上發(fā)布照片會對企業(yè)敏感信息構(gòu)成威脅,但正如黑莓最著名的威脅研究員Dmitry Bestuzhev所言,通過Instagram、Facebook和WhatsApp等社交應(yīng)用意外泄露數(shù)據(jù)是一個非常現(xiàn)實(shí)的威脅。
他解釋稱,“人們喜歡拍照,但有時他們會忘記周圍的環(huán)境。所以,經(jīng)常可以在桌子上看到敏感文件,在墻上看到圖表,在便簽上看到密碼,在驗(yàn)證密鑰和未解鎖的屏幕上看到桌面上打開的應(yīng)用程序。所有這些信息都是機(jī)密,可能會被用于惡意活動。”
組織雖然無法阻止員工拍攝和分享照片,但有必要針對這個問題加強(qiáng)對員工的安全意識教育,強(qiáng)調(diào)這么做帶來的風(fēng)險,讓員工三思而行。
4. 數(shù)據(jù)輸入腳本類型錯誤導(dǎo)致數(shù)據(jù)庫使用不正確
對數(shù)據(jù)輸入腳本而言,IP地址或URL的簡單拼寫錯誤會導(dǎo)致使用錯誤的數(shù)據(jù)庫。這會導(dǎo)致混合數(shù)據(jù)庫在備份過程開始之前需要進(jìn)行清理或回滾,否則將會發(fā)生個人身份信息泄露事件。
因此,安全團(tuán)隊(duì)?wèi)?yīng)盡可能利用安全傳輸層協(xié)議(TLS)的身份驗(yàn)證機(jī)制,降低錯誤識別服務(wù)器和數(shù)據(jù)庫的風(fēng)險,但要明白,這種風(fēng)險無法完全消除,因此要采取相應(yīng)的行動和準(zhǔn)備,確保準(zhǔn)確存儲相關(guān)的監(jiān)控日志系統(tǒng)。同時,監(jiān)測對象也應(yīng)包括成功的事件和不成功的事件。
此外,企業(yè)還應(yīng)對如何使用生產(chǎn)/預(yù)生產(chǎn)/測試環(huán)境,實(shí)施一套嚴(yán)格的規(guī)則、流程和安全控制,以減少數(shù)據(jù)混合事件,降低處理真實(shí)產(chǎn)品數(shù)據(jù)時的影響,并確保因安全問題而發(fā)生的問題在測試環(huán)境中都能得到徹底全面的測試。同時,為服務(wù)器命名以便它們可以相互區(qū)分,而不是過度使用縮寫,也是另一個有用的技巧。還可以投資檢測和監(jiān)控作為補(bǔ)償控制之一,并測試以確保檢測工作符合預(yù)期。
5. 證書透明度日志泄露大量敏感數(shù)據(jù)
證書透明度(CT)日志可以讓用戶以更高的信任度瀏覽Web,也可以讓管理員和安全專業(yè)人員快速發(fā)現(xiàn)證書異常,驗(yàn)證信任鏈。然而,由于這些日志的性質(zhì),證書中的所有細(xì)節(jié)都是公開的,并且永久保存,這包括用戶名、電子郵件、IP地址、內(nèi)部項(xiàng)目、業(yè)務(wù)關(guān)系、預(yù)發(fā)布產(chǎn)品、組織結(jié)構(gòu)等。攻擊者可以利用這些詳細(xì)信息追蹤公司,并詳細(xì)列出有效的用戶名或電子郵件地址,甚至在某些情況下,攻擊安全控制措施較少的應(yīng)用系統(tǒng),以便接管系統(tǒng)和橫向移動。
由于CT日志中的數(shù)據(jù)是永久性的,建議最好培訓(xùn)開發(fā)人員、IT管理員等使用通用電子郵件帳戶注冊證書。同時,管理員也應(yīng)培訓(xùn)用戶了解CT日志的內(nèi)容,以幫助避免意外的信息泄露。
6. 看似無害的USB設(shè)備成為攻擊者的后門
員工可能傾向于購買并使用自己的硬件,如USB風(fēng)扇或插在筆記本電腦上的燈,但CyberArk惡意軟件研究團(tuán)隊(duì)負(fù)責(zé)人Amir Landau警告稱,這些看似無害的設(shè)備可能會被用作用戶設(shè)備和更廣泛的商業(yè)網(wǎng)絡(luò)的后門。這類硬件攻擊通常有三個主要的攻擊載體:
惡意設(shè)計(jì)的硬件(設(shè)備上預(yù)裝惡意軟件),其中一個例子被稱為BadUSB。它可以很輕松地在速賣通(AliExpress)上購買,或者人們可以用開源軟件從任何USB設(shè)備上制作自己的BadUSB,比如USB Rubber Ducky;
其次是蠕蟲感染,如USBferry和Raspberry Robin;
第三是硬件供應(yīng)鏈感染,作為供應(yīng)鏈攻擊的一部分,可以在合法硬件中安裝受損軟件或芯片,就像在2018年亞馬遜和蘋果使用的服務(wù)器主板中插入惡意芯片一樣。
Landau表示,在端點(diǎn)層面檢測這類攻擊很困難,但在某些情況下,防病毒及端點(diǎn)檢測和響應(yīng)可以監(jiān)控擴(kuò)展設(shè)備的執(zhí)行流程和驗(yàn)證代碼完整性策略來阻止威脅。此外,特權(quán)訪問管理(PAM)解決方案也很重要,因?yàn)樗鼈兡軌蜃柚狗翘貦?quán)用戶使用USB端口,并防止未經(jīng)授權(quán)的代碼。
7. 廢棄的辦公設(shè)備暴露隱私數(shù)據(jù)
當(dāng)一臺舊的辦公室打印機(jī)停止工作或被更新型號所取代時,員工可能會簡單地將其丟棄以作回收利用。但是,如果沒有事先擦除Wi-Fi密碼等隱私數(shù)據(jù)就直接丟棄,可能會讓組織面臨數(shù)據(jù)泄露的風(fēng)險。
攻擊者可以提取設(shè)備密碼,并使用密碼登錄到組織的網(wǎng)絡(luò)中,以竊取個人身份信息(PII)。對此,建議組織應(yīng)該在靜態(tài)和使用/傳輸過程中對數(shù)據(jù)進(jìn)行加密,并確保由身份驗(yàn)證流程來保護(hù)端點(diǎn)設(shè)備的解密密鑰。同時,確保可移動介質(zhì)受到有效控制,確保數(shù)據(jù)始終處于加密狀態(tài),并確保可以通過正式流程和必要的控制措施來恢復(fù)數(shù)據(jù)。
8. 發(fā)送到個人賬戶的電子郵件泄露組織和客戶信息
SafeBreach的首席信息官Avishai Avivi講述了一個事件:作為培訓(xùn)新員工的一部分,培訓(xùn)團(tuán)隊(duì)使用了一個包含客戶序列號的真實(shí)電子表格,并簡單地隱藏了包含所有序列號的列。然后,他們將修改過的電子表格提供給受訓(xùn)人員。這名員工想在家里繼續(xù)培訓(xùn),就直接把電子表格發(fā)到了他的個人郵箱賬戶上,結(jié)果導(dǎo)致了包含客戶社會安全號碼在內(nèi)的數(shù)據(jù)泄露事件。
值得慶幸的是,該公司有一個反應(yīng)性數(shù)據(jù)泄露防護(hù)(DLP)控制系統(tǒng),監(jiān)控所有員工的電子郵件,它檢測到郵件附件中存在多個SSN,從而阻止了郵件,并通知了安全運(yùn)營中心(SOC)。然而,這件事警醒我們,即便是最真誠、最善意的行為也可能會暴露敏感信息。
對此,Avivi建議稱,組織不應(yīng)該依賴被動的控制措施,而應(yīng)該采用更好的數(shù)據(jù)分類預(yù)防控制措施,全面清楚地掌握SSN數(shù)據(jù)從生產(chǎn)環(huán)境傳輸?shù)脚嘤?xùn)部門中某個文件的全過程,這種控制甚至可以阻止員工試圖將附件通過郵件發(fā)送到個人帳戶。
參考及來源:https://www.csoonline.com/article/3675542/8-strange-ways-employees-can-accidently-expose-data.html
