資料洩漏是一種在機構內部出現、獨特而不易察覺的的網絡威脅。意外及經常被忽略的數據洩漏可能會避過網絡保安團隊,為惡意威脅奠定基礎。
目錄
資料外洩與資料洩漏
資料外洩與入侵都涉及機構不想見到的資料洩漏。然而,這些威脅的出現方式提供了兩種不同的意義。
資料外洩從惡意攻擊開始。無論攻擊是來自單一黑客或網絡罪犯集團,都須由未經授權方在機構內存取資料。黑客亦透過多種策略來取得這些資料,包括惡意程式、網絡釣魚、利用系統漏洞。然而,無論策略如何,資料外洩都是蓄意的。
另一方面,由於忽略一些簡單錯誤,資料洩漏更為不易察覺和可在內部存在。這在有人不知情地打開一度門時發生,就像錯誤與另一團隊分享檔案一樣。雖然他們未必經常被廣泛報導,但洩漏已日益頻繁但亦更容易預防。
雖然這些威脅從不同地方開始,但資料洩漏仍然是資料外洩的主要原因。事實上,在 2024 年,人為錯誤就造成了 95% 的數據外洩。
數據洩漏的成因是甚麼?
大部分資料外洩都不是由高層次的黑客入侵所引起,而且經常被常見錯誤所引發。以下是一些錯誤:
- 雲端儲存空間配置錯誤:有時雲端儲存空間,如 AWS 或 Azure 數據桶會讓公眾接觸,讓任何人都能存取。
- 未保護代碼:開發人員可能錯誤地將私人儲存庫推向公眾的 GitHub,而沒有意識其危機。
- 向錯誤對象發送電郵:一個經典的人為錯誤案例,就是將敏感資料錯誤發送給不相關的收件人。
- 上載檔案至無安全保護的資料夾:儲存或共享的檔案如沒有適當的存取限制,很容易被發現或盜用。
- 使用弱密碼或重用密碼:不良的密碼習慣,例如重用舊密碼或跳過多重驗證,仍然是一個頻繁出現和代價高昂的錯誤。
- 依賴未經批准的應用程式或影子 IT 工具:員工可能利用非官方軟件來繞過保安政策,增加風險。
這些成因都可以預防,只須正確結合工具、網絡保安培訓及管治。
資料洩漏對法律及財務的影響
根據歐盟通用資料保護法規等框架,機構必須及時報告數據洩漏,並可能要承擔以下責任:
- 罰款
- 資料洩漏賠償
- 長期聲譽損害
除合規義務外,資料洩漏還可能帶來更廣泛的財務後果,具體取決於所曝露數據的類型、洩漏時間長度及影響程度。即使是無意的事故,例如向錯誤收件人發送敏感資料或雲端儲存配置錯誤,都可能帶來長期成本。
適當的文件記錄、快速回應及資料洩漏預防策略有助減輕法律責任。
資料洩漏的類型
資料洩漏事件並不是每次都一樣。它們根據所曝露的數據類型及不當處理方式分為不同類別。以下是一些最常見類型:
- 意外披露:當內部資料如檔案、文件或連結被無意間在組織以外分享時,就會發生這些情況。無論是發送給錯誤的收件人還是公開存取,結果都是敏感內容的意外曝露。
- 雲端配置錯誤:這是由於不正確的存取設定而曝露雲端環境中的資料,導致儲存桶中的檔案可公開存取。
- 憑證曝露:憑證曝露涉及登入資訊洩漏,例如用戶名稱或密碼,是資料外洩的其中一個經典例子。一旦它被洩漏,它們通常會被盜竊至暗網或儲存庫被入侵,讓攻擊者直接進入系統。
- 編碼庫中的硬編碼秘密:此洩漏類型涉及 API 金鑰、SSH 憑證或環境變量被嵌入公共儲存庫或 CI/CD 工作流程中。即使是在入侵過程中被短暫曝露,也足以讓歹徒利用。
- 裝置遺失或被盜:當包含未加密資料的手機、手提電腦或卸除式磁碟遺失時,無論是否蓄意,當資料被他人存取的一刻就會被洩漏。
- 機器學習資料洩漏:敏感資訊可能會在機器學習培訓數據集中無意間出現。如果這些數據集被重用、分享或曝露,那麼嵌入式私人數據也會如此,有時甚至沒有人意識到。
如何防止資料洩漏
有效的資料洩漏防護策略必須結合技術控制與意識。
關鍵預防步驟包括:
- 在用戶端、伺服器及雲端平台部署資料外洩防護方案
- 在靜態及傳輸時加密敏感資料
- 以最低私隱原則執行身份及存取管理政策
- 定期為員工提供數據處理保護培訓
- 審核及整合第三方工具確保合規。
這些行動可顯著降低意外曝露的風險。
如何在網上檢查你的資料有否洩漏
個別人士及機構可透過以下方式主動掃瞄外露資料:
- 資料洩漏檢查程式以監控已遭入侵電郵地址或憑證
- 暗網監控工具
- 雲端保安狀態管理工具偵測錯誤配置
監控有助在攻擊者行動之前偵測曝露情況。
資料洩漏的真實例子
這些案例展示了資料洩漏是如何靜靜地開始,以及當歹徒入侵時,如何演變成更嚴重的資訊保安事件。
TeamTNT 透過 DockerHub 洩漏憑證
雖然網絡犯罪集團通常是利用外洩資料的機構,但他們並不能自行洩漏資料。例如,趨勢科技的研究人員在 2022 年發現一宗雲端保安威脅事件,其中 TeamTNT 不慎洩漏了自己的 DockerHub 資料。TeamTNT 錯誤地在登入 DockerHub 的同時開始了運作,試圖攻擊由趨勢科技所建立的虛假雲環境或「蜜罐」。進一步了解:https://www.trendmicro.com/en_us/research/22/i/security-breaks-teamtnts-dockerhub-credentials-leak.html
雖然該發現涉及犯罪集團,但核心問題是典型的資料洩漏:在公開可取的環境中無意中洩露秘密。這些被洩漏的憑證讓大家了解 TeamTNT 的工具,並為防禦者提供學習及攔截作業的機會。
外露的 Alibaba OSS 數據桶賦能惡意程式
由企業及開發人員使用的雲端儲存平台 Alibaba OSS 不小心將部分 OSS 數據桶設定為可供公眾存取,為攻擊者開啟進入及存取敏感元數據的大門。在這情況下,網路犯罪集團會將看似無害的惡意程式影像挹注在數據桶中,從這些漏洞挖掘加密貨幣,也就是所謂的分散化技術。詳情請瀏覽:https://www.trendmicro.com/en/research/22/g/alibaba-oss-buckets-compromised-to-distribute-malicious-shell-sc.html
該洩漏雖然原來是非惡意的,但很快就成為網絡罪犯的工具。攻擊者利用開放的數據桶來散播惡意程式並啟動進一步的活動。這證明了配置錯誤會如何簡單地飆升至漏洞攻擊。
GitHub 秘密洩漏及加密礦工濫用
在另一宗事故中,開發人員無意間在 GitHub 操作流程中洩露了 API 令牌和驗證憑證。這些秘密原本儲存在環境變量或硬編碼檔案中,然後會傳送至公共儲存庫。進一步了解:https://www.trendmicro.com/en/research/22/g/unpacking-cloud-based-cryptocurrency-miners-that-abuse-github-ac.html
攻擊者掃瞄了 GitHub 取得曝露的憑證,並利用 GitHub 將惡意作業注入自動化流程中,導致未經授權的加密貨幣挖礦。洩漏並不需要執行惡意程式發生,而只是依賴於視野及注意力不足。
防止資料洩漏:資料洩漏防護的角色
資料洩漏防護是防範意外資料曝露的最實用防護之一。它並非網絡保安架構的一部份,而是專門打造的策略,可偵測及防止資料洩漏至受控制環境之外,無論是經由電郵、雲端儲存或用戶端。
資料洩漏防護政策由保安團隊設定,作用是成為防護欄:警示風險行為、監察運作中的敏感資料及防止未經授權轉移。當資料洩漏工具出現潛在資料外洩事件時,它會通知保安團隊及協助評估個案的嚴重性。
企業級資料洩漏防護方案,如資料洩漏防護軟件,提供視野並執行防護管控,而不需破壞合法的工作流程,協助企業在資料洩漏前降低意外及疏忽。
我可以在哪裡獲得資料洩漏防護的協助?
這不僅僅是保護數據,而是管理誰能看到數據。Zero Trust Secure Access (ZTSA) 以“從不信任”規則運作。這意味著,存取是根據實時背景授予,而不僅僅是某人的 IP 位址。ZTSA 透過執行適應性存取政策來補充資料洩漏防護,以確保只有受信任的用戶和裝置才能存取敏感資源,即使在資料洩漏防護規則被觸發之前。他們共同建立多層式防禦,防止錯誤和誤用。Trend Vision One™ Zero Trust Secure Access(ZTSA)能執行身份、裝置及風險導向的存取,能即時調整存取決定,並主動因應用戶行為及保安狀況,以智能及身份為本的防護來備份資料洩漏防護政策。對於混合勞動力而言,這是完整拼圖的重要部分。