
数据泄露是如何发生的?



为了证明网络犯罪分子入侵数据库的速度有多快,Travelers的网络欺诈调查团队开发了一个基于公共开源平台的模拟商业网站,该网站有一个共同的弱点,这将使其成为网络犯罪分子的主要目标。在最近的一次活动中,该团队演示了如何在几分钟内侵入该网站、下载敏感数据和破坏网站主页。
示范,旅客的网络欺诈专业Kurt Oestreicher能够将命令输入用户名和密码字段,这让他获得行政访问网站,下载信用卡应用程序文件并替换首页形象要求100万美元。
随着黑客工具包的出现,包括用于防御网络的渗透测试工具包,黑客能够迅速识别出他们可以利用的弱点。了解这些漏洞以及如何防范它们,可以帮助企业保护自己的数据不受那些寻找有价值的个人数据的窃贼的侵害。
“电脑攻击并不是魔法,”旅行者网络欺诈专家、负责网络调查的前联邦调查局特工克里斯·豪泽解释说。“它们是利用某些漏洞进行的一系列离散攻击。”
SQL注入攻击
“震撼家具”模拟网站是用免费的开源软件程序Drupal构建的,它有一个商店信用卡的在线应用程序。在这里,消费者将输入敏感信息,包括他们的社会保险号、出生日期和收入,这些信息将存储在数据库中,很容易受到SQL注入攻击。
SQL注入攻击利用了软件中的漏洞,用户在其中输入数据。Drupal的漏洞允许黑客在用户名和密码字段中输入代码。从那里,黑客可以分配一个管理用户名和密码,并在服务器上执行命令,包括下载敏感数据。
“如果我们把震惊家具作为一个典型的商业实体的例子,我们的数据显示,他们可能没有一个应对攻击的计划,”旅行者网络主管蒂姆·弗朗西斯说,他表示,中小企业往往是准备最少的。“他们一开始就缺乏一些资源和专业知识来充分防止这些攻击的发生,当这些攻击真的发生时,他们往往是最不可能做出反应的。”
一个可以避免的问题
“SQL注入是一种非常常见的攻击模式,”Hauser说,他解释说,这种攻击允许黑客在数据输入字段中输入恶意代码。“它被认为是唾手可得的果实,是最可预防的电脑黑客形式之一。”
开源软件已经发现了这个漏洞,并发布了一个“补丁”来修复它,但并不是所有的企业都实行及时的补丁管理。2015年Verizon数据泄露调查报告发现,10个常见漏洞和暴露(cve)占2014年漏洞利用的97%。该报告还发现,99%的被利用漏洞是在CVE被公开一年多后被攻破的。
提供数据泄露危机服务的NetDiligence公司的马克·格雷西格表示,供应商管理不善是未能捕捉到这一可预防的黑客攻击的部分原因。“通常情况下,客户将他们的计算业务外包给第三方承包商、供应商和云计算,而这些实体正在遭遇不幸,”格雷辛格说。“这些第三方实体负责照顾、保管和控制投保人的数据。未来几年,对供应商进行尽职调查将变得更加重要。”
管理漏洞
实施漏洞管理程序可以帮助公司系统地防御已知的漏洞,而不是响应一次性的威胁。弗朗西斯还指出,公司会对员工进行培训,并进行桌面演练,计划如何应对攻击。一个违反教练可以是管理数据事件的重要组成部分,Francis说,他作为第一反应者,与运营商的理赔专业人员一起,帮助公司对事件进行分类。
网络保险还可以在事件发生前帮助企业,为企业提供风险管理工具和建议,并获得数据安全领域的漏洞教练、取证顾问和其他专业人士的帮助,帮助企业提高信息安全。
更多的准备和预防

网络风险压力测试[工具]
你们公司可以做些什么来更好地管理网络风险?来看看我们的四部分问卷吧。

11个步骤帮助保护您的企业免受网络勒索
网络攻击所造成的敲诈勒索对于所有的商业类型和规模都变得越来越普遍。

数字取证侦探如何调查数据泄露
数字法医侦探帮助企业进行数据泄露调查,以适当收集证据,并帮助防止进一步的损害。