盘点著名的网络安全事件及从中吸取的教训

2024-01-11 16:43:39 4HOU_新闻来源：ZONE.CI 全球网 0 阅读模式

相比外部攻击者，那些系统合法访问权限拥有者的疏忽或恶意行为可能会对组织造成更大的破坏。波耐蒙研究所（Ponemon Institute）发布的《2022年内部威胁成本全球报告》显示，由内部人员疏忽、恶意意图和凭据盗窃造成的网络安全事件的平均成本分别为484,931美元、648,062美元和804,997美元。

好消息是，您可以避免成为内部威胁的受害者。这样做的一种方法是从发生在其他组织中的安全事例中学习。在本文中，我们回顾了最近影响世界知名组织的10起大型网络安全事件。继续阅读，了解如何保护您的公司免受各种类型信息安全事件的影响，例如网络钓鱼、特权滥用、内部数据盗窃、知识产权盗窃和第三方供应商攻击等。

最著名的网络安全事例

1、社会工程攻击：Mailchimp、思科

“攻击者很容易伪装成您信任的人！”

根据Verizon发布的《2023年数据泄露调查报告》显示，社会工程攻击占所有数据泄露事件的17%，占网络安全事件的10%，使社会工程成为三大最常见的网络攻击媒介之一。这种攻击以组织雇员为目标，欺骗他们透露个人信息。如果攻击者设法获得员工用于访问组织资源的密码，他们就可以未经授权地访问组织的关键数据和系统。

Mailchimp

2023年1月，知名的电子邮件营销和通讯平台Mailchimp在其基础设施中发现了一个未经授权的用户。他们声称，入侵者进入了Mailchimp用于用户帐户管理和客户支持的工具之一。

入侵者之前曾以Mailchimp员工为目标，并通过社会工程技术获得了他们的账户凭据。之后，恶意行为者使用受损的凭据访问了133个Mailchimp帐户的数据。Mailchimp声称没有任何敏感信息被盗，但这次入侵可能泄露了客户的姓名和电子邮件地址。

思科（Cisco）

2022年5月，跨国数字通信公司思科意识到其网络中存在攻击者。他们的内部调查显示，攻击者进行了一系列复杂的语音网络钓鱼攻击，以访问思科员工的谷歌账户。由于员工的凭据在浏览器中同步，攻击者可以轻松访问思科的内部系统。

在获得初始访问权限后，攻击者试图尽可能长时间地停留在思科的网络中，并提高他们的访问级别。然而，思科安全团队成功地将攻击者从网络中移除。随后，勒索软件团伙Yanluowang在其网站上发布了泄露的文件。据思科称，这次入侵对他们的业务运营没有影响。

经验教训

建立具有明确指示的网络安全政策很重要，但这可能还不够。您还应该进行定期培训，以确保您的员工充分理解该政策的关键规则，并提高他们的整体网络安全意识。如果您的员工认识到社会工程攻击的类型，并知道如何保护他们的公司账户，他们就不太可能落入骗子的陷阱。

特权帐户需要更高级别的保护，因为它们的用户通常可以访问最关键的系统和数据。如果攻击者获得了访问这些账户的权限，那么可能会对一个组织的安全和声誉造成毁灭性后果。

确保及时检测和预防特权帐户下的恶意活动同样至关重要。考虑部署支持多因素身份验证（MFA）、用户和实体行为分析（UEBA）以及持续的用户监控解决方案。

2、特权滥用：红十字国际委员会（ICRC）

“有时，人们会滥用授予他们的特权！”

组织通常有许多具有高级权限的用户，例如管理员、技术专家和管理者。有些特权用户只能访问某些关键资源，例如特定的数据库或应用程序。而其他人可能可以完全访问网络中的每个系统，甚至可以在不引起任何人注意的情况下创建新的特权帐户。如果特权用户存在恶意企图或受到威胁，则可能导致数据泄露、财务欺诈、破坏和其他严重后果。

不幸的是，一般很难检测到具有更高访问权限的用户是否在滥用他们的特权，因为这样的罪犯通常会巧妙地隐藏自身的行为。

红十字国际委员会（ICRC）

2022年1月，红十字国际委员会遭受了网络攻击和大规模数据泄露。据红十字国际委员会前任网络战顾问Lukasz Olejnik称，这可能是人道主义组织历史上最大、最敏感的一次入侵事件。这次数据泄露导致超过51.5万名因冲突、移民和其他灾难而与家人失散的弱势群体的数据泄露。

起初，人们认为这次入侵是由针对该组织的一个分包商的攻击造成的。然而，一项调查显示，这次攻击是专门针对红十字国际委员会的服务器。恶意行为者破坏特权帐户，使用横向移动技术来升级他们的特权，并伪装成管理员来获取敏感数据。

经验教训

组织有不同的方法来成功防止类似红十字会经历的事件。特别是，您可以通过启用MFA和手动批准最关键资产的访问请求来保护组织的特权帐户。

许多组织还拥有由多人使用的特权帐户，例如管理员或服务管理帐户。在这种情况下，可以使用二次身份验证来区分这些帐户下的各个用户的操作。

此外，详细的用户活动记录和彻底的审计可以简化安全事件调查过程。

3、数据泄露：Pegasus Airlines

“保持隐私很困难，但泄露却很容易！”

组织在数据保护方面投入了大量的精力和资源。然而，有时一个错误——疏忽的行为，或缺乏关注——都可能意味着所有的努力都是徒劳。

员工的无意行为——例如使用不安全的设备、使用不正确的安全配置或无意中共享数据——通常会导致数据泄露。如果及时发现，可能不会造成危害。然而，当被恶意行为者发现时，这类错误为数据泄露铺平道路的可能性更高。Pegasus Airlines就是这种情况。

Pegasus Airlines

2022年6月，Pegasus Airlines公司发现他们的一个数据库配置错误。调查发现，一名航空公司员工错误地配置了安全设置，暴露了6.5TB的公司宝贵数据。由于AWS存储桶配置不当，2300万份包含飞行图表、导航资料和机组人员个人信息在内的文件可供公众查看和修改。

经验教训

为了确保您的员工不会犯类似的错误，确保定期进行网络安全培训，并在公司建立安全政策。确保使用数据库配置的员工知道配置数据库的正确方法，并了解避免数据暴露的最佳实践。

定期的安全审计可以帮助组织及时识别和处理数据库及系统中的错误配置或漏洞。通过定期审计基础设施的安全性，组织可以防止安全漏洞或员工的错误行为被恶意行为者利用。

在AWS上启用用户活动监视也可以帮助组织迅速识别可疑事件并做出响应，降低关键数据从云环境中被盗的风险。

4、内部数据盗窃：Cash App Investing

“内部人员是我们倾向于信任的人！”

与外部攻击者不同，如果内部人员拥有足够的权限，他们几乎可以毫不费力地访问和窃取组织的敏感数据。这些内部人员可能包括现任或前任员工、第三方供应商、合作伙伴和被妥协用户。

根据Verizon的《2023年数据泄露调查报告》显示，内部人员可能出于经济利益和间谍目的、出于意识形态原因或出于怨恨而窃取数据。对于组织来说，内部数据盗窃可能会造成财务损失、声誉损害和客户信任丧失，以及法律责任。

Cash App

2021年12月，Block, Inc.披露了其子公司Cash App发生的网络安全事件。一名前员工下载了包含800多万Cash App投资客户信息的内部报告。

该公司没有说明这名前员工为何以及在多长时间内仍然可以访问敏感的内部数据，但声称被盗报告不包括任何个人身份信息，如用户名、密码或社会安全号码。

经验教训

保护组织敏感数据的第一步是限制用户对它的访问。考虑实现“最小特权原则”，以建立强大的访问管理，并保护关键系统和有价值的数据免受可能的损害。

用户活动监控和审计可以帮助网络安全团队发现员工的可疑行为，比如访问与职位无关的数据或服务，访问公共云存储服务，或向私人账户发送带有附件的电子邮件。

一旦员工的合同被终止，确保一个适当的离职程序。它应该包括停用帐户、VPN访问和远程桌面访问、更改密码以及从电子邮件组和通讯组列表中删除该员工的帐户。

5、知识产权盗窃：雅虎、Pfizer、Proofpoint

“商业机密是许多网络罪犯的主要目标！”

知识产权是组织可能拥有的最具价值的数据类型之一。聪明的想法、创新的技术和复杂的公式给企业带来了竞争优势。毫不奇怪，恶意行为者经常以受害者组织的商业机密为目标。

雅虎

2022年2月，雅虎的一名高级研究科学家Qian Sang在收到雅虎竞争对手the Trade Desk的工作邀请后窃取了该公司的知识产权。事件发生两周后，在一项取证分析中，雅虎发现这名臭名昭著的员工将57万份文件从公司笔记本电脑下载到了两台个人外部存储设备上。被盗文件包含AdLearn（雅虎的实时广告购买引擎）的源代码，以及雅虎Github存储库中的其他文件。

辉瑞（Pfizer）

2021年10月，一名在辉瑞工作了15年的员工窃取了该公司1.2万份机密文件，其中包括COVID-19疫苗、辉瑞和BioNTech之间的关系以及实验性单克隆癌症治疗的数据。

辉瑞公司起诉这名前雇员将包含商业机密的文件上传到私人Google Drive账户和个人设备上。考虑到辉瑞的竞争对手XencorXencor此前曾向这位员工提供过工作机会，因此判断这名罪犯有可能打算将窃取的信息传递给Xencor。

Proofpoint

2021年1月，Proofpoint的前全国合作伙伴销售总监窃取了该公司的商业机密，并将其与竞争对手分享。这些文件包含了与Abnormal Security公司（该员工新入职的公司）竞争的战略和策略。Proofpoint方面声称，这名心怀恶意的员工尽管在入职之初就签署了竞业和招募禁止协议，但还是拿走了一个装有专有文件的U盘。

经验教训

首先，组织需要确定哪些信息是最具价值的知识产权，它位于何处，以及谁真正需要访问它。

当涉及到技术专家且不得不让他们访问相关资源时，您应该只授予他们完成工作所需的确切访问权限。建议使用高级访问管理解决方案，防止未经授权的人员访问您的知识产权。

此外，组织可以使用强大的用户活动监控以及用户和实体行为分析（UEBA）工具来加强对组织知识产权的保护。这些解决方案可以帮助检测企业网络中的可疑活动，确保对安全事件做出快速响应，并收集详细的证据以供进一步调查。

6、第三方供应商攻击：T-Mobile、大众汽车

“分包商通常具有与内部用户相同的访问权限！”

拥有一个包含众多分包商、供应商和第三方服务的复杂供应链是当今组织的常态。然而，允许第三方访问您的网络会带来网络安全风险。原因之一是您的第三方可能并不总是遵循所有必要的安全程序。因此，攻击者完全可能通过利用供应商的漏洞来获取组织的资产。

T-Mobile

2023年1月，电信供应商T-Mobile在其系统中检测到恶意活动。事实证明，一个恶意用户滥用了T-Mobile供应链上的一个API。在2022年11月25日至2023年1月5日期间，攻击者从3700万客户账户中窃取了个人数据。

T-Mobile方面表示，被盗的信息不包括身份证号、税号、密码和个人识别码、支付卡信息或任何其他财务数据。然而，这一事件仍然泄露了客户的账单地址、电子邮件、电话号码、出生日期和T-Mobile账号。

大众汽车

2021年5月，大众汽车集团透露，恶意行为者通过攻击与大众汽车经销商合作进行数字销售和营销的供应商，访问了一个不安全的敏感数据文件。此次数据泄露影响了大众集团子公司奥迪的300多万现有和潜在客户。