从镜片反光、新招聘信息到证书透明度日志和废弃的打印机,员工有各种奇怪的方式会无意中暴露数据。
员工经常被警告与钓鱼邮件、证书盗窃以及使用弱密码相关的数据暴露风险。然而,还有很多“意想不到”的方式同样会泄露或暴露有关自己、所作工作或所在组织的敏感信息,而这些方式往往是他们从未意识到的。
在以往的网络安全意识培训中,这些风险往往并未被挖掘出来,这也导致员工忽略了这些可能会给数据安全带来风险的行为。而这些行为一旦暴露出来,就可能对企业财产安全、声誉等构成极大威胁。
以下是企业员工可能意外泄露数据的八种不同寻常、出人意料和相对奇怪的途径,以及解决和减少相关风险的建议。
1. 在视频会议中,镜片反射会暴露屏幕数据
像Zoom和Microsoft Teams这样的视频会议平台已成为远程/混合工作模式的主要手段。然而,一项新的研究发现,佩戴眼镜的视频会议参会者可能有通过眼镜镜片反射而意外泄露信息的风险。
在一篇名为《隐私之眼:在视频会议中通过镜片反射偷看文本屏幕的风险》的论文中,康奈尔大学的一组研究人员揭示了一种方法,可以在视频会议中通过参会者的眼镜和其他反射物体重现暴露在屏幕上的文本。研究人员使用数学建模和人体实验,进一步研究了网络摄像头通过眼镜等反射物,泄露可识别文本和图形信息的严重程度。
研究人员介绍称,“我们在受控实验室环境下的模型和实验结果表明,使用720p网络摄像头可以以超过75%的准确性重现和识别屏幕上10mm高的文本。我们还进一步将这种威胁模型应用于具有不同攻击能力的web文本内容,以找到文本被识别的阈值。这项20人参与的研究发现,现在的720p网络摄像头足以让攻击者在大字体网站上重建文本内容,而日益流行的4K摄像头将打破文本泄漏的阈值,让攻击者可以轻松窥视屏幕上的大多数文本。”
如果恶意攻击者掌握这种能力,可能会潜在地威胁到一些机密和敏感数据的安全。对此,该研究也给出了一些缓解建议,包括使用软件来模糊视频流的眼镜区域,从而防止数据的泄露。对于可能的长期防御,则主张使用个体反射测试程序来评估各种环境下的威胁,并在隐私敏感的场景中遵循最小特权原则。
2. 职业资讯更新触发钓鱼攻击
在LinkedIn等职业社交网站上,人们经常会更新履历以反映最新的职业动向、经历和工作地点。然而,这种看似无害的行为可能会让新员工遭受所谓的“新招聘短信”网络钓鱼攻击。攻击者会在LinkedIn上搜索新职位,在数据中介网站上查找员工的电话号码,并假装是公司内部的高管发送网络钓鱼信息,试图在受害者新入职的最初几周欺骗他们。
据社交工程专家、SocialProof Security首席执行官Rachel Tobac介绍,这些信息通常要求提供礼品卡或虚假转账,但也曾要求提供登录凭据或敏感信息。对此,他建议新员工限制发布有关新职位的内容。这些措施可以有效降低新员工的被诈骗风险。与此同时,安全团队还应对新员工进行相关的网络安全意识宣传教育,并介绍企业的真实短信或邮件是什么样子和发送方式等。
3. 社交媒体、信息应用程序的图片会泄露敏感的背景信息
用户可能不会认为在个人社交媒体和即时通讯应用上发布照片会对企业敏感信息构成威胁,但正如黑莓最著名的威胁研究员Dmitry Bestuzhev所言,通过Instagram、Facebook和WhatsApp等社交应用意外泄露数据是一个非常现实的威胁。
他解释称,“人们喜欢拍照,但有时他们会忘记周围的环境。所以,经常可以在桌子上看到敏感文件,在墙上看到图表,在便签上看到密码,在验证密钥和未解锁的屏幕上看到桌面上打开的应用程序。所有这些信息都是机密,可能会被用于恶意活动。”
组织虽然无法阻止员工拍摄和分享照片,但有必要针对这个问题加强对员工的安全意识教育,强调这么做带来的风险,让员工三思而行。
4. 数据输入脚本类型错误导致数据库使用不正确
对数据输入脚本而言,IP地址或URL的简单拼写错误会导致使用错误的数据库。这会导致混合数据库在备份过程开始之前需要进行清理或回滚,否则将会发生个人身份信息泄露事件。
因此,安全团队应尽可能利用安全传输层协议(TLS)的身份验证机制,降低错误识别服务器和数据库的风险,但要明白,这种风险无法完全消除,因此要采取相应的行动和准备,确保准确存储相关的监控日志系统。同时,监测对象也应包括成功的事件和不成功的事件。
此外,企业还应对如何使用生产/预生产/测试环境,实施一套严格的规则、流程和安全控制,以减少数据混合事件,降低处理真实产品数据时的影响,并确保因安全问题而发生的问题在测试环境中都能得到彻底全面的测试。同时,为服务器命名以便它们可以相互区分,而不是过度使用缩写,也是另一个有用的技巧。还可以投资检测和监控作为补偿控制之一,并测试以确保检测工作符合预期。
5. 证书透明度日志泄露大量敏感数据
证书透明度(CT)日志可以让用户以更高的信任度浏览Web,也可以让管理员和安全专业人员快速发现证书异常,验证信任链。然而,由于这些日志的性质,证书中的所有细节都是公开的,并且永久保存,这包括用户名、电子邮件、IP地址、内部项目、业务关系、预发布产品、组织结构等。攻击者可以利用这些详细信息追踪公司,并详细列出有效的用户名或电子邮件地址,甚至在某些情况下,攻击安全控制措施较少的应用系统,以便接管系统和横向移动。
由于CT日志中的数据是永久性的,建议最好培训开发人员、IT管理员等使用通用电子邮件帐户注册证书。同时,管理员也应培训用户了解CT日志的内容,以帮助避免意外的信息泄露。
6. 看似无害的USB设备成为攻击者的后门
员工可能倾向于购买并使用自己的硬件,如USB风扇或插在笔记本电脑上的灯,但CyberArk恶意软件研究团队负责人Amir Landau警告称,这些看似无害的设备可能会被用作用户设备和更广泛的商业网络的后门。这类硬件攻击通常有三个主要的攻击载体:
恶意设计的硬件(设备上预装恶意软件),其中一个例子被称为BadUSB。它可以很轻松地在速卖通(AliExpress)上购买,或者人们可以用开源软件从任何USB设备上制作自己的BadUSB,比如USB Rubber Ducky;
其次是蠕虫感染,如USBferry和Raspberry Robin;
第三是硬件供应链感染,作为供应链攻击的一部分,可以在合法硬件中安装受损软件或芯片,就像在2018年亚马逊和苹果使用的服务器主板中插入恶意芯片一样。
Landau表示,在端点层面检测这类攻击很困难,但在某些情况下,防病毒及端点检测和响应可以监控扩展设备的执行流程和验证代码完整性策略来阻止威胁。此外,特权访问管理(PAM)解决方案也很重要,因为它们能够阻止非特权用户使用USB端口,并防止未经授权的代码。
7. 废弃的办公设备暴露隐私数据
当一台旧的办公室打印机停止工作或被更新型号所取代时,员工可能会简单地将其丢弃以作回收利用。但是,如果没有事先擦除Wi-Fi密码等隐私数据就直接丢弃,可能会让组织面临数据泄露的风险。
攻击者可以提取设备密码,并使用密码登录到组织的网络中,以窃取个人身份信息(PII)。对此,建议组织应该在静态和使用/传输过程中对数据进行加密,并确保由身份验证流程来保护端点设备的解密密钥。同时,确保可移动介质受到有效控制,确保数据始终处于加密状态,并确保可以通过正式流程和必要的控制措施来恢复数据。
8. 发送到个人账户的电子邮件泄露组织和客户信息
SafeBreach的首席信息官AvishAI Avivi讲述了一个事件:作为培训新员工的一部分,培训团队使用了一个包含客户序列号的真实电子表格,并简单地隐藏了包含所有序列号的列。然后,他们将修改过的电子表格提供给受训人员。这名员工想在家里继续培训,就直接把电子表格发到了他的个人邮箱账户上,结果导致了包含客户社会安全号码在内的数据泄露事件。
值得庆幸的是,该公司有一个反应性数据泄露防护(DLP)控制系统,监控所有员工的电子邮件,它检测到邮件附件中存在多个SSN,从而阻止了邮件,并通知了安全运营中心(SOC)。然而,这件事警醒我们,即便是最真诚、最善意的行为也可能会暴露敏感信息。
对此,Avivi建议称,组织不应该依赖被动的控制措施,而应该采用更好的数据分类预防控制措施,全面清楚地掌握SSN数据从生产环境传输到培训部门中某个文件的全过程,这种控制甚至可以阻止员工试图将附件通过邮件发送到个人帐户。
参考及来源:https://www.csoonline.com/article/3675542/8-strange-ways-employees-can-accidently-expose-data.html