译者 | 晶颜
审校 | 重楼
数据滥用不仅会危及数据安全,还会引发代价高昂的数据泄露事件。
对数据的访问伴随着重大责任,滥用访问权限可能会对组织产生负面影响。当员工为了个人利益或其他未经授权的目的而滥用数据时,可能会危及数据安全,并导致代价高昂的数据泄露。事实上,根据Verizon的《2024年数据泄露调查报告》显示,68%的数据泄露涉及人为因素。
本文通过研究不当数据处理导致严重后果的现实场景,揭示了数据滥用的复杂性及潜在原因,并提供四种有效的最佳实践来检测和防止组织中的数据滥用。
什么是数据滥用?
数据滥用的定义非常简单:以不应该使用的方式使用任何信息。正确使用数据的条款通常在法律、行业标准、公司政策和用户协议中有详细说明。
数据滥用通常与员工数据盗窃有关。然而,与数据盗窃不同的是,在数据滥用的情况下,信息并非总是传递给第三方。
在某些情况下,数据滥用可能导致数据泄露。例如,员工可以将数据复制到个人使用的U盘中,一旦U盘丢失,就会引发数据泄露危机。或者员工可以将数据发送到他们的个人笔记本电脑上,一旦遭遇黑客入侵,也可能威胁数据安全。
数据滥用有哪些类型?
数据滥用类型和其背后的原因之间存在很强的相关性。最常见的数据滥用类型包括以下几种:
1. 为个人利益滥用数据
这种类型的数据滥用涉及某人为了自己的利益而利用敏感数据,通常以牺牲他人为代价。例如,员工可能会访问组织的商业机密或有关客户的信息以开展自己的业务或将数据出售给组织的竞争对手。这样的数据滥用可能会导致财务损失、声誉损害和组织竞争优势的丧失。
2. 粗心大意导致的数据滥用
疏忽、粗心或缺乏适当的培训也可能导致数据滥用。这可能涉及与未经授权的个人共享数据、意外暴露敏感信息或将数据下载到未受保护的个人设备上。糟糕的数据保护实践(如缺乏加密或不适当的云存储配置)也可能导致数据泄露。
3. 数据混合
当组织使用为特定目的收集的个人数据,然后将该数据重新用于另一个目的时,就会发生数据混合,这在大多数情况下违背了数据主体的意愿。一个典型示例是,一家公司为学术研究收集数据,然后出于营销目的与合作伙伴共享这些数据。这种滥用个人数据的行为可能会导致监管罚款和诉讼。
数据滥用通常会在很长一段时间内不被发现,但其后果可能会对组织造成严重损害。在下一节中,我们将分析四个真实世界的数据滥用示例,以及它们对组织及相关人员造成的负面影响。
4个真实世界的数据误用案例
1. 北爱尔兰警方个人信息泄露
受影响实体 | 北爱尔兰警方(PSNI) |
事件类型 | 意外数据泄露 |
后果 |
|
2023年8月,北爱尔兰警察局(PSNI)遭遇了重大的数据泄露事件,致使员工的敏感个人信息被意外发布在网上。由于员工在回应信息自由(Freedom of Information,FOI)请求时出现错误,导致了数据泄露。泄露的信息包括大约1万名北爱尔兰警局官员和文职人员的姓氏、首字母、军衔、角色和工作地点。
事件发生后,一些工作人员被迫重新搬家安置,因为他们担心家人和自己的安全及生命受到威胁。此次泄露还对北爱尔兰警局的声誉造成了损害,并可能导致经济处罚——信息专员表示,该机构可能面临高达75万英镑(合97.1万美元)的罚款。
2. 五角大楼内部人员泄露数据
受影响实体 | 美国国防部(DoD) |
事件类型 | 内部人员数据渗漏(Data exfiltration) |
后果 |
|
2023年4月,联邦调查局逮捕了21岁的杰克·特谢拉(Jack Teixeira),他当时是马萨诸塞州空军国民警卫队的一名成员。在这起数据滥用事件中,特谢拉在网上泄露了高度机密的军事文件。据悉,这名嫌疑人拥有绝密安全许可,一年多来一直在系统地窃取和分享这些敏感文件。
特谢拉泄露的绝密信息包括乌克兰的战争状态、以色列的摩萨德情报机构等等。此次泄密被认为是近年来对美国国家安全最严重的破坏之一,可能损害其与盟国的关系,并暴露敏感的军事行动。最终,特谢拉因未经授权转移和保留机密文件而面临最高25年的监禁。
3. Reddit网络钓鱼攻击
受影响实体 | |
事件类型 | 网络钓鱼攻击 |
后果 |
|
2023年2月,Reddit意识到由一名员工触发的数据泄露事件。根据Reddit的说法,网络攻击者发送了一个内部网站页面的副本,诱使员工提供凭据和第二因素令牌。通过获得员工账户的访问权限,攻击者获得了一些内部文档、代码以及一些内部仪表板和业务系统的访问权限。据悉,此次数据泄露还涉及到公司联系人和员工的信息以及一些广告商的信息。
这起事件是员工网络安全培训不足的一个例子,从而给了网络钓鱼攻击可乘之机。尽管Reddit的安全团队很快删除了攻击者的访问权限,但没有明确的方法来判断攻击者是否设法使用了泄露的数据。这次数据泄露可能会影响公司的声誉,并引发数据隐私法规方面的问题。
4. 瑞士信贷内部攻击
受影响实体 | 瑞士信贷 |
事件类型 | 员工发起的内部攻击 |
后果 |
|
2022年2月,瑞士信贷遭受了由一名员工发起的内部攻击。这名员工将银行客户的敏感数据泄露给了一家德国报纸。
结果,超过1.8万个账户(涉及金额超过1000亿美元)的信息被披露给了《德意志日报》(ddeutsche Zeitung),随后又被大量其他全球媒体和组织所知。记者们迅速传播了这条信息,因为它包含了一些受制裁者的“肮脏账单”数据。事件发生后,瑞士信贷股价下跌约3%。
4个步骤来检测和防止数据滥用
确保静态和传输数据的安全性至关重要,因此组织可以实施以下四个关键措施,以显著降低组织中数据滥用的风险:
1. 管理数据访问
数据访问是潜在滥用的切入点。员工和分包商可以通过下述方式未经授权访问机密或敏感数据:
- 管理员可能会意外地提供访问权限;
- 员工可以使用他们的合法访问权限;
- 恶意的内部人员可以使用共享帐户或同事的密码;
如果没有适当的访问管理,数据可能会被滥用。以下是管理数据访问的一些最佳实践:
(1)部署二级身份验证
识别每个用户以了解谁试图登录系统是很重要的。当员工使用共享帐户(如admin和root)时,情况就会变得复杂。因此,如果使用共享帐户,使用二级身份验证非常重要。
(2)部署多因素身份验证(MFA)
凭据盗窃仍然是入侵帐户最常用的方法之一。多因素身份验证允许你最终验证用户的身份,因为它需要用户提供额外的身份验证因素才能成功登录到系统。
(3)为每个用户帐户分配访问属性或用户角色
一旦验证了用户的身份,你就希望精细地管理他们的访问权限。为此,建议为每个用户帐户分配用户角色或访问属性。访问管理对于特权用户尤为重要,因为他们的特权一旦受到损害,就会带来巨大的风险。
2. 监控用户操作
检测和防止数据滥用的最佳方法之一是对访问数据时发生的情况保持可见性。专用的用户监控解决方案允许你轻松查看数据发生的情况:何时使用、如何使用以及由谁使用。
这种内部威胁缓解方法包括:
(1)收集用户活动日志
这是监视用户操作的最基本方法。记录网络中执行的每个用户操作为你提供了操作的上下文。但是,如果你的公司雇用了数百名员工,那么仅使用活动日志几乎不可能及时检测到数据滥用。
(2)持续用户活动监控(UAM)
UAM可以帮助你在行动中抓住恶意的内部人员。能够评估用户操作周围的环境将使你能够实时做出正确的安全决策。
(3)录像
现代用户活动监控解决方案将连续观察与每次会话的可搜索视频记录相结合。通过这种方式,你可以在几秒钟内找到可疑事件的记录,找出上下文,并确定该操作是否具有恶意意图。
根据Verizon的《2024年数据泄露调查报告》显示,除了系统入侵,特权滥用和各种各样的错误占泄露事件的83%。这正好强调了关注特权用户的行为以及教育员工如何正确处理敏感数据的重要性。
3. 保持知情
管理用户访问和监视用户活动为你提供了大量的活动记录和日志,这些记录和日志对于调查数据滥用及其后果非常有用。然而,这可能不足以实时防止事故发生。
检测和中断数据滥用所花费的时间是影响数据泄露成本的主要因素之一。根据IBM安全部门的《2023年数据泄露成本报告》显示,能够在不到200天内识别和控制数据泄露的组织比那些需要200多天的组织节省了102万美元。
因此,有效防止数据滥用造成的违规行为可以节省大量的时间和资源。以下是帮助你及时发现和防止数据泄露的一些注意事项:
- 同时对大量员工进行监控是一项挑战,而且手动完成该过程可能无法提供有效性。这就是为什么自动警报对于现代用户监控软件来说是必须的。
- 基于规则的警报的效率在很大程度上取决于该规则集是否经过深思熟虑。如果配置正确,规则可以使安全人员避免大量误报。警报太少也是一个警告信号,因为它可能表明你的规则没有涵盖所有可疑的操作。
4. 员工培训
在考虑如何防止数据滥用时,不要低估员工培训的力量。培训员工一般有两个关键步骤:
- 在通用公司政策中涵盖有关数据安全的信息。一个深思熟虑的信息安全政策是关于网络安全的内部程序和标准的可靠信息来源。这是让新人知道他们能用公司数据做什么和不能做什么的最好方式。
- 创建数据安全教育课程。你可以请安全人员分享他们的经验。一个关于网络安全的通用课程总是很有用的,可以提醒员工不要分享他们的凭据,告诉员工新的网络钓鱼方法等等。最重要的是,一定要提醒员工为什么保护敏感数据很重要,以及数据滥用会导致什么后果。
为了加强数据安全性,你还应该创建专门的内部威胁策略。它可以帮助防止员工滥用数据。根据Cybersecurity Insiders发布的《2024年内部威胁报告》显示,全球70%的组织已经或正在构建内部威胁程序。
值得注意的是,根据NIST SP 800-53、HIPAA、GDPR和其他网络安全要求,维护内部威胁和风险管理策略是强制性的。你可以自己实施这些策略,也可以将其作为更广泛的网络安全策略的一部分。
结语
防止数据滥用对于维护敏感信息的完整性和安全性至关重要。实施最佳实践,如监控用户活动、管理用户对数据的访问、支持对内部威胁的快速检测和响应,以及培训员工,可以显著降低数据泄露和信息滥用的风险。
原文标题:What is Data Misuse? 4 Ways to Detect and Prevent Misuse of Information,作者:Vlad Yakushkin
