员工知道公司基础设施和网络安全工具的所有细节。这就是为什么业界每个月都会报道数百起恶意和无意的内部攻击,导致数据泄露和公司受损。这种攻击通常会造成财务和声誉损失,甚至可能毁掉一个企业。在本文中,我们将讨论由员工或其他内部人员造成的7起重大数据泄露的原因和后果。
内部威胁及其后果
美国国家标准与技术研究院(NIST)特别出版物800-53将“内部人员”定义为“授予访问权限的实体……有可能通过破坏、披露、修改数据和/或拒绝服务来损害信息系统或企业。”
与员工相关的内部威胁主要有三个来源:
- 疏忽或无意的用户;
- 有犯罪意识或恶意的内部人员;
- 窃取用户登录凭据的攻击者;
内部攻击尤为危险,原因有三:
- 内部人员在大多数情况下不会恶意行事。这就是检测有害的内部活动比检测外部攻击更难的原因所在;
- 内部人员了解一个组织网络安全的弱点;
- 内部人员知道他们可以利用的敏感数据的位置和性质。
鉴于这些原因,内部攻击会给组织带来毁灭性的损失。根据波耐蒙研究所(Ponemon Institute)发布的《2020年全球内部威胁成本报告》和《2022年全球内部威胁成本报告》显示,与内部人员相关事件的平均总成本从2019年的1145万美元上升到2021年的1538万美元。
内部攻击可能导致各种负面后果,从网络安全违规处罚到丧失客户信任。以下是现实生活中网络安全事件最常见的后果:
- 丧失客户信任;
- 财务损失;
- 客户数据受损;
- 损害企业声誉;
- 机密泄露;
- 违规罚款;
- 股价下跌;
接下来,让我们来看看7个著名的内部威胁案例,分析它们的结果,并研究这些攻击是如何发生的。
7个由内部威胁导致的现实生活数据泄露案例
我们选择了7起现实生活中导致数据泄露的内部威胁案例。它们说明了内部威胁的共同动机和来源。这些攻击还显示了一起事件对一家公司的实际危害。
案例1:达拉斯警察局因员工疏忽导致数据库泄露
受影响实体 | 达拉斯警察局 |
威胁源 | 疏忽的员工 |
后果 |
|
|
事件回顾
在2021年3月和4月的一系列事件中,由于员工的疏忽,达拉斯市遭受了大量数据损失。一名员工删除了达拉斯警察局收集的870万份重要文件,包括视频、照片、音频、案件笔记和其他物品。大部分被删除的文件都属于家庭暴力组。
后果
近23TB的数据被删除,其中只有约3TB的数据被恢复。该事件的众多后果之一是一些起诉的速度减慢。丢失的存档文件具有证据价值,可以支持家庭暴力案件的定罪。达拉斯地方检察官办公室的约17500起案件可能受到影响。
原因剖析&防范建议
IT工作者没有接受过从云存储中正确移动文件的足够培训。从2018年到事件发生时,这名技术人员只参加过两次有关该市存储管理软件的培训课程。而且,该IT员工在删除文件之前没有验证副本的存在,也不太注意备份。
达拉斯警察局应该有技术来监控所有与敏感数据交互的会话。在这种情况下,他们可能会对文件删除做出反应,以回应实时通知。此外,定期备份数据和培训员工如何处理政府文件也是防止网络安全人为错误,并迅速消除此类内部威胁案件负面后果的有效方法。
案例2:由于受损的第三方应用程序导致万豪数据泄露
受影响实体 | 万豪酒店&度假村 |
威胁源 | 受到妥协的第三方供应商 |
后果 |
|
防范建议 |
|
事件回顾
2020年1月,黑客滥用了万豪用来提供客人服务的第三方应用程序,最终获得了520万份万豪顾客的记录。这些记录包括护照数据、联系方式、性别、生日、忠诚账户详细信息和个人喜好等。万豪的安全团队注意到可疑活动,并于2020年2月底封锁了内部人员造成的安全漏洞。
后果
这次重大数据泄露可能影响了近3.39亿酒店顾客。万豪酒店及度假村最终因违反《通用数据保护条例(GDPR》的合规要求被处罚款1840万英镑。
原因剖析&防范建议
攻击者破坏了两名万豪员工的证书,从而登录了该连锁酒店的一个第三方应用程序。万豪的网络安全系统在两个月后才注意到这些员工档案中的可疑活动。通过第三方供应商监控以及用户和实体行为分析,万豪可以在黑客访问客户数据之前发现漏洞。
案例3:Elliott Greenleaf员工窃取商业机密
受影响实体 | Elliott Greenleaf律师事务所 |
威胁源 | 为个人利益进行的恶意活动 |
后果 |
|
|
事件回顾
2021年1月,Elliott Greenleaf律师事务所的四名律师窃取了该组织的文件,并删除了其电子邮件。
这家宾夕法尼亚州律师事务所的内部人士为了个人利益窃取了敏感文件,目的很明确:帮助Armstrong Teasdale及其竞争对手的律师事务所在特拉华州开设一家新办事处。在恶意行动之后,律师们删除了所有可能提供证据的电子邮件。然而,该公司一直在备份,并找到了所有被删除的电子邮件。
后果
之前在Elliott Greenleaf工作的律师们窃取了该公司大量的工作成果,还有大量的信件、诉状、机密和公司记录,以及客户数据库。
事件发生后,Elliott Greenleaf在特拉华州的竞争能力下降了。他们在威尔明顿的办公室无法运作,不得不关闭。
原因剖析&防范建议
律师们已经计划了大约四个月的恶意行动,复制了该公司的文件和客户数据库。特别是,他们将大量文件下载到个人谷歌文档、Gmail帐户和iCloud。他们还未经授权使用了个人USB设备,但他们的恶意行为没有被发现。
用户活动监控(UAM)工具本可以通过自动警报,让安全团队及时注意到横向移动并做出反应,从而防止恶意行为。在大多数情况下,像这样的真实网络安全案例可以通过正确的技术轻松预防。
案例4:SGMC前员工窃取数据
受影响实体 | SGMC医疗中心 |
威胁源 | 恶意内部活动 |
后果 | 客户数据泄露; |
防范建议 | 部署特权访问管理解决方案; |
事件回顾
2021年11月,南乔治亚医疗中心的一名前员工在辞职后的第二天,在没有明显原因的情况下,将医疗中心系统中的私人数据下载到他的U盘上。这是恶意内部威胁的一个例子,其中内部人员大多是由于愤怒、不满或其他个人原因而损害组织。
后果
患者的检查结果、姓名和出生日期都被泄露。医院必须向所有因泄露而受害的患者提供免费的信用监视和身份恢复等服务。
原因剖析&防范建议
一名前雇员可以合法地访问他想访问的数据,并且在实现其意图的过程中没有遇到任何障碍。然而,南乔治亚医疗中心的安全软件以警报的形式对未经授权的数据下载事件做出了反应,通知网络安全人员有员工将敏感信息复制到USB设备。
就南乔治亚医疗中心而言,这一事件得到了注意并迅速终止。但是,高效的访问管理工具以及严格保密的访问权限可以从一开始就阻止未经授权的访问。特权访问管理解决方案是防止这种事件发生的好方法。
案例5:网络钓鱼员工诈骗Twitter用户
受影响实体 | |
威胁源 | 针对员工的鱼叉式网络钓鱼攻击 |
后果 |
|
|
事件回顾
2020年7月,黑客侵入了130个私人和企业推特账户,每个账户至少有100万粉丝。他们用其中45个账户来推广比特币骗局。被黑的账户包括巴拉克·奥巴马、埃隆·马斯克、比尔·盖茨、杰夫·贝佐斯、迈克尔·布隆伯格、苹果、优步和其他著名个人和公司的账户。
后果
推特用户向诈骗账户转移了至少相当于18万美元的比特币。加密货币交易所Coinbase成功阻止了28万美元的转账。
事件发生后,推特的股价下跌了4%。该公司停止发布新的API来更新安全协议,并对员工进行社会工程攻击教育。
原因剖析&防范建议
Twitter员工成为了一连串鱼叉式网络钓鱼攻击的受害者。黑客收集在家工作的公司员工的信息,与他们联系,谎称自己是Twitter IT管理员,并要求其提供用户凭据。攻击者利用被入侵的员工账户,获得了访问管理员工具的权限。利用这些工具,他们重置了著名Twitter用户的账户,更改了他们的凭据,并发布了诈骗信息。
这个网络安全内部威胁的例子表明,直到骗局消息被媒体发布,Twitter才注意到管理工具中的可疑活动。用户实体和行为分析(UEBA)和特权访问管理(PAM)解决方案可以帮助公司保护对管理工具的访问,并快速检测未经授权的活动。
案例6:社会工程导致Mailchimp发生三重数据泄露
受影响实体 | Mailchimp |
威胁源 | 针对员工的社会工程攻击 |
后果 |
|
防范建议 |
|
事件回顾
整个2022年,Mailchimp及其合作伙伴一直是网络犯罪分子的目标,并遭受了多次攻击。2023年1月,恶意行为者成功实施了一次网络钓鱼攻击,并诱骗了至少一名Mailchimp员工暴露了他们的证书。
后果
此次数据泄露导致至少133个Mailchimp用户账户被泄露。一些受影响的账户属于WooCommerce、Statista、Yuga Labs、Solana Foundation和FanDuel等公司。
原因剖析&防范建议
攻击者将他们的社会工程攻击集中在Mailchimp的员工和承包商身上。员工自身的疏忽或无法识别社会工程攻击,使恶意行为者有可能访问他们的用户帐户。
像这样的员工引发的数据泄露表明,网络钓鱼和其他社会工程技术不应被低估。防止此类攻击需要定期对员工和合作伙伴进行网络安全培训,而不仅仅是依靠安全软件。然而,使用双因素身份验证(2FA)工具可能会阻止那些实施攻击的人成功使用受损的凭据,因为2FA需要额外的身份验证因素。
案例7:供应商遭入侵致使Slack的代码库被窃取
受影响实体 | Slack |
威胁源 | 第三方供应商遭到入侵 |
后果 | 私有代码库被盗; |
防范建议 |
|
事件回顾
2022年12月,Slack的安全团队注意到该公司GitHub账户上存在可疑活动。事实证明,一名恶意行为者窃取了Slack员工的token,并利用它们未经授权地访问了公司的资源。
后果
一项网络安全事件调查显示,恶意行为者设法窃取了Slack的私有代码存储库。这样的资料库通常包含敏感信息。然而,Slack的代言人声称,被盗的存储库中没有客户数据,也没有任何数据可以让作案者访问Slack的主要代码库。与此同时,Slack还没有透露被盗信息的类型,以及数据泄露可能带来的后果。
原因剖析&防范建议
根据Slack的调查,作案者没有利用Slack的任何漏洞。数据泄露是第三方供应商遭到妥协的结果。然而,Slack并没有透露供应商是谁,以及他们向Slack提供了哪些服务或产品。
这个现实生活中的网络安全事件案例是因为网络安全系统在代码库被盗之前没有警告安全人员。使用实时事件响应软件结合UEBA来检测和响应不寻常的行为模式,可能有助于防止此类事件发生。此外,身份管理和双因素身份验证可能会阻止犯罪者访问Slack的GitHub帐户。此外,网络供应链风险管理(C-SCRM)计划可能有助于将事件扼杀在萌芽状态。
原文链接:
https://www.ekransystem.com/en/blog/real-life-examples-insider-threat-caused-breaches