员工泄露数据的8种"意想不到"的方式( 二 ) _泄露数据

用户可能不会认为在个人社交媒体和即时通讯应用上发布照片会对企业敏感信息构成威胁，但正如黑莓最著名的威胁研究员Dmitry Bestuzhev所言，通过Instagram、Facebook和WhatsApp等社交应用意外泄露数据是一个非常现实的威胁。
他解释称， “人们喜欢拍照，但有时他们会忘记周围的环境。所以，经常可以在桌子上看到敏感文件，在墙上看到图表，在便签上看到密码，在验证密钥和未解锁的屏幕上看到桌面上打开的应用程序。所有这些信息都是机密，可能会被用于恶意活动。”
组织虽然无法阻止员工拍摄和分享照片，但有必要针对这个问题加强对员工的安全意识教育，强调这么做带来的风险，让员工三思而行。

文章插图
4. 数据输入脚本类型错误导致数据库使用不正确
对数据输入脚本而言， IP地址或URL的简单拼写错误会导致使用错误的数据库。这会导致混合数据库在备份过程开始之前需要进行清理或回滚，否则将会发生个人身份信息泄露事件。
因此，安全团队应尽可能利用安全传输层协议（TLS）的身份验证机制，降低错误识别服务器和数据库的风险，但要明白，这种风险无法完全消除，因此要采取相应的行动和准备，确保准确存储相关的监控日志系统。同时，监测对象也应包括成功的事件和不成功的事件。
此外，企业还应对如何使用生产/预生产/测试环境，实施一套严格的规则、流程和安全控制，以减少数据混合事件，降低处理真实产品数据时的影响，并确保因安全问题而发生的问题在测试环境中都能得到彻底全面的测试。同时，为服务器命名以便它们可以相互区分，而不是过度使用缩写，也是另一个有用的技巧。还可以投资检测和监控作为补偿控制之一，并测试以确保检测工作符合预期。

文章插图
5. 证书透明度日志泄露大量敏感数据
证书透明度（CT）日志可以让用户以更高的信任度浏览Web ，也可以让管理员和安全专业人员快速发现证书异常，验证信任链。然而，由于这些日志的性质，证书中的所有细节都是公开的，并且永久保存，这包括用户名、电子邮件、IP地址、内部项目、业务关系、预发布产品、组织结构等。攻击者可以利用这些详细信息追踪公司，并详细列出有效的用户名或电子邮件地址，甚至在某些情况下，攻击安全控制措施较少的应用系统，以便接管系统和横向移动。
由于CT日志中的数据是永久性的，建议最好培训开发人员、IT管理员等使用通用电子邮件帐户注册证书。同时，管理员也应培训用户了解CT日志的内容，以帮助避免意外的信息泄露。

文章插图
6. 看似无害的USB设备成为攻击者的后门
员工可能倾向于购买并使用自己的硬件，如USB风扇或插在笔记本电脑上的灯，但CyberArk恶意软件研究团队负责人Amir Landau警告称，这些看似无害的设备可能会被用作用户设备和更广泛的商业网络的后门。这类硬件攻击通常有三个主要的攻击载体：
恶意设计的硬件（设备上预装恶意软件），其中一个例子被称为BadUSB 。它可以很轻松地在速卖通（AliExpress）上购买，或者人们可以用开源软件从任何USB设备上制作自己的BadUSB ，比如USB Rubber Ducky；
其次是蠕虫感染，如USBferry和Raspberry Robin；
第三是硬件供应链感染，作为供应链攻击的一部分，可以在合法硬件中安装受损软件或芯片，就像在2018年亚马逊和苹果使用的服务器主板中插入恶意芯片一样。