全球每年都会有大量的爆炸性的数据泄漏事件发生,但是今年的数据泄漏事件特别多,此起彼伏,而且数据泄漏的规模和造成的破坏性影响,一次比一次大。
根据IdentifyTheftResearchCenter中心的数据显示,与年同期相比,今年的数据泄漏事件增长了14%,公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。
作者:红蓝攻防
来源:大数据DT
本文主要讲解3个方面的内容:
简单梳理年上半年全球最大的10起数据泄漏事件;
从红蓝攻防的角度去分析这些数据泄漏事件背后的原因;
从红蓝攻防的角度为企业如何保护好自己的数据给出几点建议。
01年全球10大数据泄漏事件
根据国内知名媒体ZDNet的报道,今年全球发生了如下10起数据泄漏事件,根据数据泄漏规模和影响力倒序排列:
NO.10美国德克萨斯州圣安东尼奥医疗中心
受影响的人数:万
6月下旬,位于美国得克萨斯州圣安东尼奥的BaptistMedicalCenter医疗中心和德克萨斯州新布朗费尔斯的ResoluteHealthHospital医院发生了重大的数据泄漏事件,该事件是美国卫生与公众服务部最近追踪到的、规模最大的数据泄漏事件之一,其中涉及到未经授权访问高度敏感的患者数据。
NO.9美国旗星银行
受影响的人数:万
今年6月,位于密歇根州特洛伊的美国星旗银行称在去年底发生了一次重大数据泄漏事件,客户数据被泄漏,这是该银行发生的第二次数据泄漏事件。
NO.8美国得克萨斯州保险部
受影响的人数:万
今年3月,美国德克萨斯州保险部的数据被泄漏,泄漏的敏感数据包括社保号码、出生日期等个人信息。
NO.7希尔兹医疗集团
受影响的人数:万
今年6月,总部位于美国马萨诸塞州昆西的希尔兹医疗集团(ShieldsHealthCareGroup)数据泄漏,可能影响数十个地区医疗机构约万人,包括姓名、社保号码和保险信息。
NO.6HorizonActuarialServices
受影响的人数:万
HorizonActuarial是一家为美国很多工会福利计划提供技术和精算咨询服务的公司,黑客攻陷了这家公司内部的2台服务器,用户的姓名、出生日期、社保号码和健康计划信息遭泄漏,受影响的福利计划包括美国职业棒球大联盟球员福利计划、全国冰球联盟球员协会健康和福利基金、以及纽约时报福利协会。
NO.5LakeviewLoanServicing
受影响的人数:万
位于美国佛罗里达州CoralGables的LakeviewLoanServicing的数百万客户的高度敏感信息遭泄漏,在暗网挂牌销售,该公司正面临多起诉讼。
NO.4ElephantInsuranceServices
受影响的人数:万
今年5月,总部位于美国弗吉尼亚州Henrico的ElephantInsuranceServicesDE数百万客户的保单信息被泄漏,包括姓名、驾照号码和出生日期等信息。
NO.3FlexBooker
受影响的人数:万
今年1月,总部位于美国俄亥俄州哥伦布市的公司FlexBooker(企业网站嵌入在线预约工具提供商)的AWS服务器遭到入侵,用户的信用卡数据等信息遭泄漏。
NO.2BeetleEye
受影响的人数:万
美国的一家提供在线电子邮件营销工具的公司BeetleEye发生重大数据泄漏,此次事件是由于AWSS3存储桶未进行任何加密且配置错误造成的,该漏洞导致AmazonS3存储桶处于打开状态,泄漏了大约万人的敏感数据。
NO.1CashAppInvesting
受影响的人数:万
今年4月,美国知名投资公司CashAppInvesting的万客户数据被泄漏,由一名前员工下载了公司内部的一份报告引起,泄漏的信息包含客户的全名和经纪帐号等信息。
其实,最近还有一起数据泄漏事件比上面这10起事件还要劲爆,即欧洲某国领导人与俄罗斯总统普京的通话内容被泄漏,原因是该领导人使用的iPhone被植入了侦听软件。
如果仔细分析和追查这些数据泄漏的背后原因,无外乎奇安信出版的畅销书《红蓝攻防:构建实战化的网络安全防御体系》中总结的10个原因。
02导致数据泄漏的10种常见原因
NO.1互联网未知资产/服务大量存在
在攻防演练中,资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。
资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露面不断扩大,政企机构资产范围不断外延。除了看得到的“冰面资产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、僵尸资产等。
在实战攻防演练中,一些单位存在“年久失修、无开发维护保障”的老/旧/僵尸系统,因为清理不及时,容易成为攻击者的跳板,构成严重的安全隐患。
NO.2网络及子网内部安全域之间隔离措施不到位
网络内部的隔离措施是考验企业网络安全防护能力的重要环节。由于很多机构没有严格的访问控制(ACL)策略,在DMZ和办公网之间不做或很少有网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,令攻击方可以很轻易地实现跨区攻击。
大中型政企机构还存在“一张网”的情况,习惯于使用单独架设专用网络,来打通各地区之间的内部网络连接,不同区域内网间也缺乏必要的隔离管控措施,缺乏足够有效的网络访问控制。这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网进行横向渗透,直接攻击到集团总部,或是漫游整个企业内网,进而攻击任意系统。
NO.3互联网应用系统常规漏洞过多
在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击渠道。
通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。
Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。
NO.4互联网敏感信息泄漏明显
网络拓扑、用户信息、登录凭证等敏感信息在互联网大量泄漏,成为攻击方突破点。针对暗网的调查发现,与政企机构网络登录凭证等相关信息的交易正在蓬勃发展。
年第四季度,暗网市场网络凭证数据的交易数量开始有所上升,出售的数量就相当于年全年的总和。年第一季度,暗网市场销售的网络登录的帖子数量比上一季度猛增了69%。暗网出售的网络登录凭据涉及政府机构、医疗机构以及其他社会组织。
实际上,年是有记录以来数据泄漏最糟糕的一年。根据Canalys的最新报告“网络安全的下一步”,年短短12个月内泄漏的记录比过去15年的总和还多。大量互联网敏感数据泄漏,为攻击者进入内部网络和开展攻击提供了便利。
NO.5边界设备成为进入内网的缺口
互联网出口和应用都是攻入内部网络的入口和途径。目前政企机构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对VPN系统等开放于互联网边界的设备或系统,为了避免影响到员工使用,很多政企机构都没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这些系统突破边界直接进入内部网络中来。
此外,防火墙作为重要的网络层访问控制设备,随着网络架构与业务的增长与变化,安全策略非常容易混乱,甚至一些政企机构为了解决可用性问题,出现了“anytoany”的策略。防守单位很难在短时间内梳理和配置几十个应用、上千个端口的精细化访问控制策略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防护形同虚设。
NO.6内网管理设备成为扩大战果突破点
主机承载着政企机构关键业务应用,需重点