官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
对众多企业而言,来自外部的黑客始终是一个威胁,但有时候,更为严重的风险来自企业内部。根据波耐蒙研究所(Ponemon Institute)的数据,内部威胁平均每年使大型企业和组织损失1792万美元,涉及个人、企业敏感数据等信息。这些威胁的源头往往来自一些员工和合作伙伴。通过以下这些案例,生动展现了这些威胁所带来的巨大危害。
事件一
行业:医疗保健
公司:某医疗包装公司
事件类型:数据破坏
事件日期:2020
公开披露事件:2020
去年,美国联邦检察官判定,该公司一位名叫克里斯托弗·多宾斯的前员工犯有利用计算机辅助进行的犯罪破坏行为,他在被公司解雇后,以之前拥有的管理权限创建虚假账户访问了公司的运输系统,在新冠疫情爆发的高峰期干扰和延迟了了公司对个人防护设备(PPE)的正常发货。克里斯托弗还创建第二个账户编辑或删除了近12万条公司记录,为公司带来超20万美元的损失。
事件二
行业:制造
公司:通用电气公司(GE)
事件类型:知识产权盗窃、欺诈
事件日期:2011-2012
公开披露事件:2019
经过长期的调查和繁杂的法庭诉讼,FBI揭露了两位前GE员工米格尔·塞尔纳斯和让·帕特里斯·德利亚公然窃取公司知识产权和商业机密的行为。最初,参与高度复杂涡轮机制造的性能工程师德利亚通过自身权限下载了涉及该器械的机密性文件,并说服IT部门某员工帮助他获取了成本模型、提案和合同等文件。利用这些信息,他和塞尔纳斯成立了一家竞品公司,不仅在同产品上削弱了GE,也在FBI进行调查的同时正常运行了多年。
事件三
行业:制造
公司:丰田
事件类型:商业欺诈邮件
事件日期:2011-2012
公开披露事件:2019一位从事商业欺诈邮件(BEC)的诈骗者,通过冒充该公司的商业合作伙伴,成功欺骗了欧洲子公司的一名财务人员,将3700万美元汇入了一个外国账户。
这些BEC骗局通常会针对一些目标公司内平时会粗心大意的人员,攻击者会先通过获得公司的网络访问权限进行深入侦察,观察内部员工或员工与合作伙伴间的通信模式,以便进行模仿并筛选出能够被欺骗的潜在目标,并适时发出他们精心准备的邮件陷阱。
事件四
行业:电信
公司:AT&T
事件类型:贿赂安装恶意软件进行欺诈
事件日期:2012-2017
公开披露事件:2019因贿赂可以进入公司系统的公司员工,解锁大量价格昂贵的iPhone手机在AT&T网络之外使用,美国电信供应商AT&T公司为此蒙受了长期的巨额损失。罪犯的主要策略是贿赂呼叫中心员工在AT&T系统上安装恶意软件,使他们能够按要求自动解锁AT&T手机。该计划使AT&T损失了价值2亿美元的用户,涉及200万部解锁手机。巴基斯坦居民穆罕默德-法赫德(Muhammad Fahd)于2018年因该罪行被捕,并在9月初被美国地区法院判处12年监禁。
事件五
行业:金融
公司:第一资本
事件类型:1亿个信用卡申请和账户被入侵
事件日期:2019
公开披露事件:2019亚马逊网络服务(AWS)的一名前软件工程师通过在职时掌握的有关客户云部署弱点,利用AWS的客户第一资本(Capital One)错误配置的防火墙漏洞,获取了特权账户凭证,并窃取和传播了1亿名信用卡申请人和账户持有人的信息。美国司法部已在今年对这起事件提出了七项计算机欺诈和滥用以及访问设备欺诈的指控。
事件六
行业:金融
公司:纽约某信用社
事件类型:恶意删除文件
事件日期:2021
公开披露事件:2021
纽约一家信用社在解雇一名叫朱莉安娜巴里尔的员工后,IT部门没有按照规定停用其账户。她在40分钟的时间内疯狂删除了21.3GB的公司数据, 包括2万个文件和3500个目录,以及公司的抵押贷款申请和反勒索软件。她还访问了一些如董事会记录在内的敏感文件。
事件七
行业:技术
公司:薇塔芙(Vertafore)公司
事件类型:泄露用户敏感信息
事件日期:2020公开披露事件:2020保险软件开发商Vertafore的某员工在存储数据时,将数据文件存储在一个不安全的外部存储服务中,导致2770万德克萨斯州司机的敏感信息被泄露,包括该公司用来为其软件创建保险评级功能的数百万份驾驶执照的信息。这是云存储时代因人为原因造成数据泄露的典型案例。Vertafore因此正面临集体诉讼。
事件八
行业:技术
公司:亚马逊
事件类型:通过访问机密信息进行内幕交易
事件日期:2016-2018
公开披露事件:2020亚马逊税务部门的高级经理拉克沙-博拉利用她掌握的财务信息,编制季度报表,以帮助她的家人通过内幕交易获利。根据美国检察官办公室的说法,拉克沙-博拉向她的丈夫提供了公司未公开的收入和利润信息,他利用这些信息在亚马逊连续11次公布收益之前进行非法股票和期权交易,使这个家庭在过程中获利140万美元。在今年夏天签署的认罪协议中,她丈夫被判处26个月监禁,并被罚款260多万美元。
事件九
行业:零售
公司:加内特爆米花
事件类型:盗窃商业机密
事件日期:2019
公开披露事件:2019根据2019年提交给美国伊利诺伊州北区地方法院的诉讼,芝加哥爆米花零售业的代表——加内特爆米花指控前研发总监艾莎-普特南通过将公司数据复制到U盘,并向自己的个人邮箱发送电子邮件,从公司窃取了5000多份文件,包括产品的成分、配方、公式和方法。 普特南则在去年反诉该公司,声称被解雇和最初的诉讼是对她向上司提出的健康和安全投诉的报复。无论真相如何,该事件为访问和处理敏感知识产权的内在风险提供了一个典型例子。
事件十
行业:政府
公司:美国达拉斯市
事件类型:敏感数据被意外删除
事件日期:2018-2021
公开披露事件:2021有时,内部人员的疏忽对技术基础设施的破坏程度不亚于那些意图报复的恶意人员。据《达拉斯晨报》报道,在一次内部审查中,发现一名IT人员因为删除了超过22TB大小的警察局文件。据称,自2018年以来,该IT人员因为无视了相关数据迁移传输的相关规定,致使大量文件被错误删除。
通过以上案例不难发现,来自企业的内部威胁主要有如下几类:
1.内部人员为获私利获取机密数据
2.涉密离职人员的账号或权限未能及时收回
3.因工作疏忽导致的数据损失或泄露
这些潜在的数据安全“漏洞”,让企业不得不从多角度思考、建立数据安全机制,除了建立防火墙、数据加密存储、完善账号使用制度等提高数据防护的“硬指标”,更要防范诸如社会工程学等方面的隐形渗透,做好人员思想工作,提高人员的安全意识。