四種常見的資料外洩因果及應對方法

遙距工作和遠端存取資料的工作環境其實在外國已流行多時,所以在考慮公司網絡安全的時候,往往加入資料的保護和外洩的風險管理,而且根據研究,企業網絡的內部威脅持續上升,以下將會講解 4 種最常見內部威脅導致資料外洩前因後果,以及企業在這個新工作環境潮流下保護資料的方法。

1. 影子 IT 環境
雖然很多企業都擁有公司正式認可的 IT 工具和設施,但員工有時卻不跟隨,他們因為貪圖方便而建立起「影子 IT」設施,結果導致嚴重的資料外洩。根據調查報告,有授權用戶最常見的不正常活動就是未經批准的解決方法,即是員工以灰色地帶逃避保安的規範,而所謂的影子 IT 可以包括:

  • 軟件服務
  • 雲端科技
  • 網上應用程式

試想像員工把公司的內部檔案存放在不認可的雲端,而且開放存取權限,便意味著資料已經可能無限制地外洩,而問題最嚴重之處在於企業由頭到尾都不察覺,這個盲點令公司無法採取防範措施,網上應用程式和能存取檔案的軟件服務的情況也一樣。

企業或機構應該採取措施限制員工或其他內部關係者,在公司的裝置 (例如桌面電腦和流動裝置) 內下載或存取不認可的內容,例如當發生不正常和具風險的情況,或發現有資料在非認可環境中,DLP 或 ITM 等軟件可以向保安團隊發出警告,公司也要收集關於保安的意見回饋,並安排合適的培訓,同時聆聽員工的意見。

2. 傳統的工具
雖然有很多新的資料外洩的地方,但舊有的風險並沒有完全消失,員工、承辦商和其他內部人士能夠使用物理的工具或傳統的技術,例如:

  • USB 或其他外部儲存裝置
  • 桌上電腦上的電郵
  • 列印工作

以上較傳統的工具經常會被使用,例如在家列印準備介紹的筆記,看起來很常見,但當中的風險一直存在,如果 USB 手指儲存的是機密資料或敏感文件,列印的人在家列印資料後才提出離職,這亦顯示出限制只存在公司內很容易被規避。

為了避免這種資料外洩情況,部份機構會選擇一刀切禁止 USB 裝置,也有機構會選擇部署 USB 守則,確保新入職或舊員工都清楚瞭解相關的使用守則。至於打印文件,可以簡單地實施禁止列印敏感文件,監察可疑的行為 (例如在奇怪的時間進行列印),也在辦公室內提供碎紙機,有時候低階的技術也能幫上大忙。

3. 特權或商業用戶
每個機構都有特別高風險的人士,部份更經常被不同的詐騙針對性攻擊,就像上文提及的 2 種資料外洩方式一樣,高風險人士可以散佈在不同的部門或工種。不過從價值方面考慮,具備特權的用戶意味著擁有接觸和處理敏感資料的大量權力,事實上根據報告,15% 外洩的個案涉及授權使用者的不當使用,其中濫用權限最為常見,其中可以是:

  • 執行命令列變更
  • 存取數據庫

商業用戶也是高風行的用戶,他們同樣能夠存取敏感資料和專利,他們的危險行為可能是:

  • 使用剪下、複製、貼上或其他鍵盤捷徑
  • 下載外來的檔案和文件

特權和商業用往可能有意或無意間做出傷害公司的行為,即使是專業人士也可能點擊入釣魚連結,然後讓帳號甚至伺服器的資料對外流出,令敏感資料或機密意外在社交媒體或其他通訊軟件,使敏感資料從沒離開公司卻已外洩。

對於持有特權的存取,第二重認證工具有助提醒他們的行為可能對公司造成傷害,而這些工具的目標是保護敏感資料,而並非減慢工作流程 (這會讓使用者想辦法進行規避),定期進行審計也可以避免有內部威脅的漏網之魚。

4. 網絡釣魚
在眾多嘗試攻擊企業的方法中,網絡釣魚持續是黑客最常用的策略,當中還有 SMS 釣魚和電話釣魚等變奏版本,根據研究顯示,資料外洩個案中有 3 份之 1 涉及社交工程的攻擊,即使 secure email gateway 已經努力攔截大部份的威脅,但通常每家機構都會有人點擊打開惡意電郵、連結或下載檔案,常見的網絡釣魚包括:

  • 意外地點擊惡意程式
  • 分享密碼
  • 社交工程詐騙

一個小差錯,例點點擊惡意連結,可以造成嚴重後果,釣魚電郵可能傳播惡意程式、間諜程式、加密勒索和其他電腦上的惡意檔案,隨時擴散到整個公司網絡,一旦不幸發生,可能會令公司損失金錢、專利或其他。

對付網絡釣魚的最佳方法是對員工進行相關的培訓,學會分辨電郵真偽的方法,另外,選擇能夠搜尋更多潛在威脅的 secure email gateway 方案也同樣重要,當兩者同時發輝作用時,釣魚電郵更少掉入用戶信箱,而用戶也懂得不點擊惡意的內容。