一次数据泄露就可能摧毁您多年苦心经营的品牌,收入下滑自不必言。了解最常见的数据泄露类型,以及它们会对企业造成何种影响。
在过去几年里,我们目睹了成千上万起网络攻击事件,数百万用户的隐私遭到泄露。攻击层出不穷,从针对大学校园的黑客攻击,到医疗机构信息泄露,危害程度令人发指。
数据泄露类型
信息被盗
勒索软件
密码猜测
击键记录
Phishing(网页仿冒)
恶意软件或病毒
分布式拒绝服务 (DDoS)
大多数公司无法避免数据泄露的影响,即使他们的防火墙软件像诺克斯堡一样牢不可破。众多行业知名企业,例如 Verizon、NHS(英国国家卫生服务局),甚至雅虎,都曾遭遇用户数据泄露。监管合规旨在保护用户隐私和数据,但政府机构可能难以跟上日新月异的技术,对花样百出的网络犯罪手段防不胜防。
那么,您应该防范哪些类型的数据泄露呢?请阅读下文,我们将带您了解七种最常见的数据泄露类型,以及它们对业务产生的影响。
虽然您可能觉得这很荒谬,但您得承认我们人类会犯错,而且经常犯错。这些错误可能让企业损失数十万甚至数百万美元。
苹果公司也曾是数据泄露的牺牲品:新款 iPhone 的原型机被一名粗心的员工不小心掉落在地上。短短几个小时,这款尚未发布的手机的规格和硬件参数就遍布互联网。
员工将电脑、手机或文件放在不该放的地方然后被盗,这种情况非常普遍。这次是泄露您想保密的新款原型机,下次就可能是泄露客户或患者信息。
从技术角度而言,勒索软件是恶意软件的一个分支,但它值得我们拿出来单独研究一下。
在勒索软件攻击中,您会突然收到一条消息,扬言您手机或计算机上的所有数据都已加密,您无法再进行访问。这时,犯罪分子会威胁您只有交付赎金才能拿回数据,否则就泄露出去。勒索的赎金从数百到数十万美元不等。这里的问题是,您面对的是声名狼藉的罪犯,支付赎金并不保证真能拿回数据,也不能保证他们以后不会公布您的数据。
许多企业聘请风险管理公司来应对此类事件,避免重要或机密材料被公布,甚至删除。
另一个很容易实现但极具破坏性的威胁是密码被盗。此类攻击发生的频率可能超出您的想象。一些公司喜欢在便签上留下计算机的密码,方便他人访问自己的电脑,但这也可能让心怀不轨的人暗地里访问文件。
许多人的电脑之所以被黑客入侵,就是因为他们设置的密码太简单、太容易猜到了。这种类型的数据泄露被称为强力破解,是黑客常用的手段之一。由于人们经常使用街道名称、宠物的名字或生日之类的密码,这会让黑客轻而易举地盗取帐户。
不言而喻,如果有人知道您的密码,他们就可以轻松访问您的文件,找到与您公司相关的任何敏感信息。
网络犯罪分子可能在您的设备中植入(或通过电子邮件发送)名为键盘记录器的恶意软件,这类软件可以记录您在电脑上键入的全部内容。当数据被传回给黑客后,他们会利用这些信息访问您的敏感数据。此类攻击可能发生在您的公司,也可能发生在您的家里。
在这种情况下,无论键入的内容是否显示在屏幕上,它们都会被记录下来。因此,犯罪分子很容易就能获取您的数据库密码、信用卡号和其他敏感信息,例如姓名、健康数据等几乎所有重要信息。
他们一旦拿到密码和企业信用卡信息,转头就会来对付您的公司。他们会用这些信息找到公司的敏感数据并很可能公之于众。
网络钓鱼通常来自第三方黑客,他们会创建一个高度逼真的假网站。例如,一个 PayPal 的镜像网站,并要求您登录该网站进行必要的信息更改。如果您在登录时没发现假网站暗藏玄机,您的密码可能最终落入到黑客手中。
这类诡计在大学校园里比较常见。学生们经常会收到冒充学校的第三方电子邮件,要求他们确认登录详细信息。一旦他们真的登录,黑客就会掌握他们的详细信息,继而为所欲为。我们还曾见到网络钓鱼对 Microsoft 365 应用程序中最广为人知的 Exchange Online 发起攻击。
同样,网络钓鱼也会威胁到您自己或您公司的敏感信息。
恶意软件或病毒传播的目的是清除计算机上的所有数据。这会让任何类型的公司受到伤害,尤其是那些严重依赖数据的公司。例如,如果将恶意软件病毒发送到医院,它可能会清除成千上万名患者的数据。这会造成非常严重的后果,除了延误治疗,甚至可能危及患者生命。
为了防御这类病毒,请勿点击任何来源不明的内容。一些公司会要求客户或潜在客户在发送电子邮件时,不要带上任何附件,直接将内容贴在邮件正文中。这样可以防止他们意外点击任何可能擦除服务器的内容。
这种攻击往往针对大型企业,通常是为了表达某种抗议。例如,像 Anonymous 这样所谓的“正义维和团”如果不喜欢某家制药公司的运作方式,并认为它在利用患者,他们就会发起拒绝服务攻击。
分布式拒绝服务攻击是指同时从多个来源发起攻击。该攻击会造成公司网站拥堵,工作人员无法登录系统,客户无法访问公司的服务。虽然不一定会丢失数据,但它们会迫使公司为处理系统漏洞而不得不中断服务,继而使收入受损。
这种攻击通常不会发生在个人身上,因为它需要调用大量资源并协调从不同来源发起的攻击。
没有万无一失的方法可以保护公司逃脱上述任何一种数据泄露。不过,您可以通过员工培训宣传数据泄露的后果以及他人入侵系统的可能性。
您还可以设置密码过期提醒和计时器,确保员工定期更改密码。提醒员工将敏感信息带离工位时,一定要确保安全。
要深入了解如何保护 SaaS 应用程序数据以及 Veritas 如何有效应对上述攻击,请查看我们的数据保护解决方案。
联系我们,进一步了解我们的勒索软件解决方案,以及我们如何保护您远离此类攻击。