[调研]多方数据泄露所致损害迅速升级

数据泄露

2年前

　　聚合数据丢失影响的企业更多，但供应链攻击造成的损害更大。Cyentia Institute《IRIS海啸》报告

　　数据科学公司Cyentia Institute新发布的分析报告揭示：未准备好应对供应链攻击的公司会将自己置于多方数据泄露的风险之中，而一次攻击就可能会导致多达800家公司遭入侵。

　　报告专注排名前50的多方数据泄露事件，发现大型数据泄露平均涉及31家企业和机构，造成9000万美元损失，而典型网络安全事件所致损失一般在20万美元左右。Cyentia表示，虽然系统入侵影响的企业和机构数量最多（57%），但勒索软件和数据清除器事件造成的损失最大，占所录损失的44%。

　　此外，Cyentia声称，涉及有效账户且由民族国家黑客组织实施的攻击所造成的单次事件损失也大得多。

　　Cyentia数据科学家John Sturgis表示，数据分析表明，企业应进一步确保自身供应商和承包商不会在其网络上为黑客打开方便之门。

　　“即使你从未想过成为民族国家黑客组织的直接目标，从哪些供应商可能被黑客盯上，以及该如何管理自身暴露面（即使是第三方暴露面）的角度来思考，也不失为一个真正行之有效、值得尝试的方法。”

　　这一分析结果是Cyentia《信息风险洞察研究》（IRIS）报告的一部分，使用了保险数据提供商Advisen的数据。Advisen的网络损失数据库囊括了近10万起网络事件。Cyentia综合了根据三个不同标准加以衡量的30起大型多方事件：已发生费用总额、受影响的个体数量和受影响的组织数量。然后根据综合总数和可用数据量选择了排名前50的多方事件。

　　从大型多方数据泄露事件中得出的教训是，公司的网络安全和风险缓解工作需要关注针对企业的攻击者和针对第三方的攻击者，避免攻击影响波及这些供应商的下游客户。Cyentia联合创始人Wade Baker表示，出于这个原因，公司需要做的不仅仅是对供应商的安全进行粗浅的审查。

　　Wade Baker称：“任何一家企业或机构对资源充足且意志坚定的一方（例如民族国家或某些网络犯罪团伙）所能做的事情都是有限的。但是，我认为，在风险管理中纳入更多供应链或以第三方为中心的思维会有所帮助。我的意思可不是填写问卷。”

Kaseya数据泄露榜单

　　分析发现，许多托管服务提供商使用的Kaseya虚拟系统管理员（VSA）服务器遭到破坏是其中最大型的攻击，该事件在7月份影响了至少800家下游企业。报告称，第二大攻击是2012年信用卡处理商Global Payments遭遇的网络攻击事件，影响了678家企业。

　　与此同时，损失最大的漏洞包括2017年NotPetya数据清除器攻击，该攻击中，乌克兰软件公司Intellect Service出品的会计软件遭攻击者植入恶意软件，进而感染其他公司。所致损失排在第二位的事件：美国联邦贸易委员会（FTC）于2019年对Facebook处以50亿美元的罚款，原因是该平台存在隐私和安全漏洞，允许应用从平台收集用户信息，侵犯了用户隐私。

　　根据分析，信息和专业公司通常是多方数据泄露的初始渠道。

　　排名前50位的攻击影响到的所有企业中，几乎全部（97%）遭到了外部攻击，外部攻击所致损失占据了所有攻击损失的69%。根据Cyentia的分析，虽然网络犯罪团伙发起的攻击占受影响企业所遭攻击的80%，但民族国家黑客组织发动的相对较少的攻击却涵盖了总损失的58%。

　　不过，内部人在造成破坏方面也发挥了巨大作用——不是作为攻击者而是作为入侵渠道。报告称，内部人员和第三方造成或间接促成了前50大安全事件中的34起，占所录得损失的99%。

　　Cyentia在报告中写道：“最重要的是，不要假设你的员工和第三方会伤害你，这么做并不会建立起健康或安全的业务关系。但也不应该假设只要大家相亲相爱就一切都会好起来。”

　　Cyentia《信息风险洞察研究》（IRIS）报告：点击查看