随着大家对安全的越发重视,员工安全意识的培养也成为了最为重要的关注点之一,行业中有着各类意识培训体系框架,比如从不同层次的培训对象、多形式的培训方式、高频次的沉浸式宣贯,以及培训+考核机制等等。
而在安全意识的培训中,一些不常见的风险情况经常会被忽视,因此员工也就容易忘记某些行为可能会给数据安全带来风险。
接下来,针对这些不寻常、出乎意料并相对奇怪的数据暴露方式做一些简单地介绍。
1、眼镜或会暴露屏幕数据
在国外,Zoom和Microsoft Teams等视频会议平台已成为远程/混合工作的主流,在国内,我们一般会使用钉钉或者腾讯会议。而新的学术研究发现,视频会议时,戴眼镜的参与者可能会因为眼镜的反射而意外暴露会议信息。
2、社交网站的信息更新或会引来钓鱼攻击
拿国外举例,在他们的专业社交网站LinkedIn上,人们常常会发布帖子更新自己的个人资料,比如分享他们最新的职业发展、人生经验或工作地点,然而,这一看似无害的行为可能会为他们带来“新员工短信”的钓鱼攻击。攻击者通常会在LinkedIn上搜索寻找新职位的发布,并在数据代理网站上查找新员工的电话号码,然后假装自己是公司内部的高级管理人员,他们会以发送钓鱼短信的方式在新工作更换之际欺骗这些新员工。
3、照片或会泄露敏感信息
当下,似乎每个人都喜欢分享自己的生活,因此他们可能不会将在个人社交媒体或消息应用程序上所发布的图片视为安全隐患,但正如黑莓最著名的威胁研究员Dmitry Bestuzhev说的那样,在Instagram、Facebook和WhatsApp等社交应用程序上,意外泄露数据的情况并非少数,甚至已成为常态。“人们喜欢拍照,但有时他们会忘记周围的环境。因此社交软件里的那些照片常会包含‘桌子上的敏感文件’、‘墙上的各种图表’、‘便签上的密码和身份验证密钥’、‘桌面上未锁定屏幕的应用程序’等等。所有这些信息都是非常机密的,一旦被攻击者利用则会造成无法预估的后果。”
4、无害小工具或成为攻击者的后门
大多数员工都喜欢购买一些个人用品,例如USB风扇或灯具,并将其和公司笔记本电脑相连充电。对此行业相关人士警告说,这些看似无害的小工具或会成为攻击者的后门,此类硬件攻击通常有三个主要攻击向量:
工具设备上预装了恶意软件,比如BadUSB,BadUSB在AliExpress上可以被轻松购买,或者攻击者也可以从任何USB设备上使用开放源代码(如USB Rubber Ducky)。
蠕虫感染,通过USB设备进行传播,如USBferry和Raspberry Robin。
作为供应链攻击的一部分,恶意软件或芯片会被安装在这些合法的小工具内,就像2018年亚马逊和苹果使用的服务器中那插入主板的恶意微芯片。
5、废弃的打印机会提供Wi-Fi密码
当企业更换打印机时,如果不首先擦除打印机上的数据(如Wi-Fi密码),则容易使企业面临数据泄露的风险。犯罪分子因此提取了密码,并利用它们登录到该公司的网络以窃取个人信息。
6、CT日志暴露了大量敏感数据
CT日志允许用户以更高的信任度浏览web,并允许管理员和安全人员快速检测证书、验证信任链。由于这些日志的性质,证书中所有的细节都是公开的,并会被永久保存。攻击者可以利用这些信息跟踪公司,或编辑有效用户名,编辑电子邮件地址列表,进行钓鱼邮件的攻击。
如何防止这些“出人意料”的数据泄露,包括该如何提高员工的安全意识等?
1、在信息安全中,人的因素是相对不可靠,难以有效管控,同时也是难以预料的。关于数据防泄漏机制,建议应该提前考虑人作为不可控因子,强化对散落数据节点面的收敛,以数据不落地+技术追溯+管理威慑等机制,缩小数据泄漏敞口和路径,对潜在事态提前开展威慑吓阻,控制发生概率,以达到数据的相对安全。
2、企业需要在信息安全工作方面进行不断地建设,通过网络的管控,安全技术的加持,比如防泄密系统的应用,将内网与业务网络进行隔离,通过人-设备-权限相结合的方式进行安全重构等,这样才会为企业带来更完整的防护。
6727
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
