肯睿中國Cloudera：網(wǎng)絡(luò )安全威脅激增，數據使用需更加謹慎

網(wǎng)絡(luò )犯罪分子是指那些故意從事網(wǎng)絡(luò )惡意活動(dòng)的個(gè)人或團體。通過(guò)黑客攻擊、網(wǎng)絡(luò )釣魚(yú)等手段意圖破壞我們的系統、網(wǎng)絡(luò )或數據。他們的動(dòng)機多樣，包括經(jīng)濟利益、政治意識形態(tài)、怨恨、復仇等等。

近年來(lái)，網(wǎng)絡(luò )安全威脅呈現爆炸式增長(cháng)。IBM的威脅情報報告將網(wǎng)絡(luò )釣魚(yú)、利用公開(kāi)應用和利用遠程服務(wù)列為三種最常見(jiàn)的攻擊或威脅手段。在這些安全威脅所帶來(lái)的后果中，五個(gè)最嚴重的分別是敲詐勒索、數據盜竊、憑證竊取、數據泄露和品牌聲譽(yù)受損，超過(guò)40%的影響與數據直接相關(guān)。

但正如該報告中所述，網(wǎng)絡(luò )犯罪的數量和惡意破壞者的規模是根據不完善的數據估算的。由于網(wǎng)絡(luò )犯罪分子的類(lèi)別差異、數據集零散且類(lèi)型繁多以及信息不透明等因素，實(shí)際的網(wǎng)絡(luò )犯罪數量和規模一定遠超報告所顯示的數量。

在主要的垂直行業(yè)中，制造業(yè)、金融服務(wù)和保險業(yè)以及專(zhuān)業(yè)和消費者服務(wù)行業(yè)受到的攻擊最多。消費行業(yè)中的敏感個(gè)人身份信息（PII）數據在想要通過(guò)數據牟利的威脅者眼中就是一塊“肥肉”。而制造業(yè)的流程和供應鏈一旦中斷，就會(huì )導致重大經(jīng)濟損失，使得勒索的威脅程度急劇上升。

根據世界經(jīng)濟論壇的預測，到2025 年，網(wǎng)絡(luò )犯罪造成的損失將達到10.5萬(wàn)億美元，包括對商業(yè)部門(mén)的威脅行為和對關(guān)鍵公共基礎設施發(fā)起的協(xié)同攻擊所造成的影響。因此，網(wǎng)絡(luò )安全，特別是數據保護受到企業(yè)高管和政府領(lǐng)導人的高度重視。

網(wǎng)絡(luò )犯罪的類(lèi)型和示例

我們可以將網(wǎng)絡(luò )犯罪分子的行為和動(dòng)機分為三個(gè)方面：訪(fǎng)問(wèn)途徑、目標行動(dòng)和影響。

訪(fǎng)問(wèn)途徑指網(wǎng)絡(luò )犯罪分子獲得系統或資源訪(fǎng)問(wèn)權限的途徑。最常見(jiàn)的途徑是通過(guò)電子郵箱發(fā)送魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)郵件，此類(lèi)郵件通常附有一個(gè)惡意軟件附件或嵌入外部惡意軟件的鏈接。人類(lèi)因此成為整條安全鏈中最薄弱的環(huán)節，也是網(wǎng)絡(luò )犯罪分子訪(fǎng)問(wèn)系統和網(wǎng)絡(luò )的首選途徑。

第二大常見(jiàn)的訪(fǎng)問(wèn)途徑是利用公開(kāi)應用。網(wǎng)絡(luò )應用讓我們能夠越來(lái)越方便地訪(fǎng)問(wèn)那些必要但高度敏感的信息，如手機銀行、醫療記錄、企業(yè)信息等。企業(yè)和政策制定者仍需要在訪(fǎng)問(wèn)數據和服務(wù)的便捷性、服務(wù)的敏感性，以及訪(fǎng)問(wèn)途徑的規模和數量之間取得平衡。軟件漏洞或配置錯誤都可能導致對公眾開(kāi)放的應用被入侵。被入侵的應用通常包括網(wǎng)絡(luò )和應用服務(wù)器，或是無(wú)意中暴露在互聯(lián)網(wǎng)上的數據庫和網(wǎng)絡(luò )服務(wù)。

一旦網(wǎng)絡(luò )圍著(zhù)犯罪分子通過(guò)初始訪(fǎng)問(wèn)途徑獲得訪(fǎng)問(wèn)權限后，就會(huì )利用這一優(yōu)勢獲得更多的資源訪(fǎng)問(wèn)權限或采取行動(dòng)。最常見(jiàn)的行動(dòng)包括安裝惡意軟件（后門(mén)和勒索軟件）、訪(fǎng)問(wèn)服務(wù)器和遠程工具以及入侵商業(yè)電子郵件。勒索軟件攻擊的目標并不局限于個(gè)人或企業(yè)數據，還可能包括破壞企業(yè)的網(wǎng)絡(luò )服務(wù)，比如身份驗證、授權、虛擬計算、存儲和網(wǎng)絡(luò )等。2019年，勒索軟件的平均部署時(shí)間為兩個(gè)月，到2021年僅為四天，縮短了94%。網(wǎng)絡(luò )犯罪不僅在數量上明顯增長(cháng)，其利用漏洞和獲取大量敏感數據的速度也變得更快。

基因檢測公司23andMe是2023年重大數據泄露事件的受害者之一，其690萬(wàn)用戶(hù)的血統信息遭遇泄露。這家提供客戶(hù)DNA信息的基因檢測公司表示，數據泄露是由于客戶(hù)重復使用密碼造成的。這使得黑客通過(guò)使用其他公司數據泄露事件中公開(kāi)的密碼，對受害者的賬戶(hù)進(jìn)行暴力破解。雖然有人會(huì )說(shuō)，可以通過(guò)應用的身份驗證服務(wù)和暫時(shí)中止賬戶(hù)，檢測出密碼暴力破解行為以阻止網(wǎng)絡(luò )犯罪分子，但這可能會(huì )在無(wú)意中導致賬戶(hù)受到攻擊的用戶(hù)無(wú)法使用服務(wù)。雖然重復使用密碼是用戶(hù)造成的問(wèn)題，但可公開(kāi)訪(fǎng)問(wèn)的應用，尤其是那些可能暴露敏感數據的應用還是應該強制使用雙重身份驗證來(lái)防范此類(lèi)暴力破解攻擊。

另一個(gè)受害者是英國皇家郵政服務(wù)。2023年1月發(fā)生的一起勒索軟件攻擊導致向英國境外發(fā)送信件或包裹的工作中斷數月，還致使敏感數據被盜，包括技術(shù)信息、人事和員工紀律處分記錄、工資和加班費明細，甚至一名員工的新冠疫苗接種記錄。

對澳大利亞來(lái)說(shuō)，不僅2022年是個(gè)多事之秋，Optus以及Medibank Private和AHM都遭遇了重大的數據泄露事件。2023年也并非風(fēng)平浪靜，Latitude financial的數據泄露事件備受關(guān)注。此次數據泄露事件涉及約1400萬(wàn)條記錄，包括Latitude客戶(hù)的駕照和護照號碼。

2023年，中國的數據泄露事件也頻頻發(fā)生。2月，中國廈門(mén)某科技公司信息系統被黑客攻擊，超百萬(wàn)條用戶(hù)信息泄露。通過(guò)售賣(mài)這些個(gè)人信息，黑客團伙非法非法獲利約40萬(wàn)元。同年8月，南昌某高校發(fā)生大量數據泄露案件，當地警方對校方處以85萬(wàn)元罰款。

數據泄露事件中絕大多數被盜的信息都是個(gè)人身份信息，這些信息包含了姓名、地址、社保賬號、駕照、護照、醫療數據、信用卡和密碼等。被盜的信息會(huì )被網(wǎng)絡(luò )犯罪分子掛到暗網(wǎng)或其他論壇上出售，以對目標實(shí)施進(jìn)一步的行動(dòng)。

所以這就是為什么管理機構、監管部門(mén)和政策制定者要對個(gè)人身份信息的存儲和處理進(jìn)行高度監管，并出臺歐盟《通用數據保護條例》（GDPR）、美國《加州消費者隱私法案》（CCPA）和《健康保險可攜性和責任法案》（HIPAA）等法律。

雖然部分數據泄露事件可能是因為企業(yè)未能遵守法規和政策規定而造成的，但更多數據泄露事件是由于網(wǎng)絡(luò )犯罪分子悄無(wú)聲息地獲得了用戶(hù)賬戶(hù)或服務(wù)訪(fǎng)問(wèn)權限。后者只有通過(guò)異常行為或者當網(wǎng)絡(luò )犯罪分子向個(gè)人或企業(yè)發(fā)出錢(qián)財勒索要求時(shí)才能發(fā)現。

隨著(zhù)訪(fǎng)問(wèn)途徑的增加以及企業(yè)的日益分散和復雜化，檢測異常行為變得越來(lái)越困難。行為模型越來(lái)越依賴(lài)于機器學(xué)習（ML）模型，以用于從大量數據中檢測出復雜模式。例如，安全信息事件管理 （SIEM）系統越來(lái)越多地使用從復雜的互聯(lián)系統和設備網(wǎng)絡(luò )中收集的實(shí)時(shí)數據和特征工程。這就要求對實(shí)時(shí)數據進(jìn)行采集、過(guò)濾和引導，以實(shí)現異常檢測。這通常包含時(shí)序特征工程、規范化數據、利用網(wǎng)絡(luò )或地理位置數據來(lái)豐富數據，以及識別和跟蹤首次發(fā)生的相關(guān)事件等措施。針對復雜網(wǎng)絡(luò )和系統的協(xié)同攻擊可能會(huì )持續很長(cháng)時(shí)間，而且網(wǎng)絡(luò )犯罪分子會(huì )設法獲得寶貴的信息來(lái)加強未來(lái)攻擊的“火力”。

總結

數據和數據相關(guān)服務(wù)的訪(fǎng)問(wèn)途徑數量及價(jià)值正在增加，隨之增加的還有網(wǎng)絡(luò )攻擊的數量。如果不能抵御這些攻擊，就可能會(huì )導致后續代價(jià)高昂的補救工作、關(guān)鍵流程中斷、不可挽回的品牌形象受損以及行業(yè)監管機構的罰款。

企業(yè)必須在及時(shí)提供數據服務(wù)訪(fǎng)問(wèn)權限的需求與防御網(wǎng)絡(luò )犯罪分子之間取得平衡。另外，檢測合法用戶(hù)的異常行為也至關(guān)重要，因為這些異常行為可能表明該賬戶(hù)已被入侵。限制數據和系統的訪(fǎng)問(wèn)權限、記錄訪(fǎng)問(wèn)或試圖訪(fǎng)問(wèn)系統的情況將發(fā)揮越來(lái)越重要的作用。利用不斷發(fā)展的ML模型近乎實(shí)時(shí)地做到這一點(diǎn)，將成為企業(yè)在未來(lái)保護自身安全的一項基本能力。