译者 | 刘涛
审校 | 重楼
在网络安全领域,当讨论潜在威胁时,垃圾信息挖掘(Dumpster Diving)可能不是第一个浮现在脑海中的词语。尽管许多企业在防火墙、杀毒软件和入侵检测系统等方面投入了大量资金,但却往往忽略了一些与物理安全漏洞相关的、非常真实且常常被低估的安全隐患。
“垃圾信息挖掘”指的是网络犯罪者搜索被丢弃的文件或数码硬件的一种行为,目的是形成敏感的信息宝库,从而可能被用作恶意用途。
本文探讨了网络安全领域中“垃圾信息挖掘”的概念、其潜在危害,以及如何保护您的企业免受这种常被忽视的威胁。
网络安全中垃圾信息挖掘的起源
网络安全领域,“垃圾信息挖掘”的概念来源于更广泛的现实场景中垃圾箱搜索的行为,这种行为起源于数字时代之前。在网络安全的背景下,垃圾信息挖掘是恶意行为者从废弃材料中获取敏感信息的一种策略,特别是以实体形式。
虽然“垃圾信息挖掘”一词经常用于网络安全环境,但它本质上是传统做法的延伸,适用于利用企业物理安全漏洞。不同于传统意义上的“垃圾箱寻宝”,传统垃圾箱“寻宝”指的是在垃圾或丢弃物品中寻找贵重物品的行为,通常是个人寻找丢弃的物品、食物或文件数据以外的潜在有价值的东西。
数字化时代的到来以及电子产品的普及,使得垃圾信息挖掘在网络安全领域的应用越来越广泛。网络犯罪分子可能会针对废弃的硬盘、笔记本电脑、USB盘或其他数字存储介质来获取有价值的数据,如机密文件、密码或敏感的商业信息。
在网络安全领域,垃圾信息挖掘的做法强调了整体安全措施的重要性。它提醒人们,信息安全不仅局限于数字安全,还包括物理安全上的考虑。因此,无论是在数字领域,还是在硬件实体层面,企业必须通过实施保护敏感数据的政策和措施来应对这一经常被低估的威胁。
什么是网络安全中的垃圾信息挖掘?
垃圾信息挖掘是一种网络安全领域的信息搜集方式,指的是网络犯罪分子在现实世界的垃圾箱、回收容器,以及数字化的垃圾文件夹中搜索废弃的文件或硬件,以寻找可能包含有用信息的数据。这种做法涉及使用低技术和高技术手段来恢复、提取被丢弃文件中的数据。
垃圾信息挖掘威胁行为者(Dumpster Diving Threat Actors,简称DDTA)针对的数据类型
垃圾信息挖掘可以发现各种敏感数据,包括打印的文件、旧硬盘、废弃的笔记本电脑、USB驱动器和其他存储设备。网络犯罪分子正在寻找任何可能包含有价值信息的物品,例如机密文件、密码、知识产权或个人识别信息(PII)。
最容易受到DDTA威胁的企业
来自不同行业和部门的企业都可能受到DDTA的威胁。垃圾信息挖掘不限于特定类型的企业,因为恶意行为者可以针对任何处理敏感或有价值信息的实体。这些企业必须充分认识到垃圾信息挖掘的潜在风险,并采取积极主动的措施来保护敏感信息。包括实施强大的物理安全措施,教育员工,以及制定数据处置政策,以减少DDTA带来的风险。以下是最容易受影响的企业:
- 公司和企业:大型公司和企业经常处理众多敏感信息,包括知识产权、财务记录和客户数据。垃圾信息挖掘可能对这些企业带来威胁,尤其是在处理过期的文件或电子设备时。
- 金融企业:处理高度敏感的财务信息及个人资料的银行、信用社及金融企业。垃圾信息挖掘可能导致客户数据、账户详细信息和财务记录被盗。
- 医疗保健提供者:医疗保健企业存储病人档案、病史和个人健康信息。垃圾信息挖掘可能导致隐私泄露、身份盗窃或医疗欺诈。
- 政府企业:政府企业处理机密和敏感信息。垃圾信息挖掘可能危及国家安全或泄露政府机密行动。
- 教育企业:学校、学院和大学保存学生、教师和学术研究的记录。垃圾信息挖掘可能会泄露个人信息或有价值的研究数据。
- 律师事务所:律师事务所经常处理客户的机密信息、法律文件和案件档案。垃圾信息挖掘会损害律师-委托人的利益和敏感的法律问题。
- 零售商:零售企业处理客户付款信息,并可能拥有客户数据库。垃圾信息挖掘可能导致客户数据和付款细节被盗。
- 研发公司:参与研发的企业可能拥有专有信息和商业机密。垃圾信息挖掘可能导致有价值的知识产权被盗。
- 科技公司:科技公司经常处理与产品设计、软件代码和专利相关的敏感信息。垃圾信息挖掘会损害其创新和产品开发。
- 非营利企业:非营利企业可能会保存捐赠者材料、财务记录或包含敏感细节的捐赠提案。垃圾信息挖掘会影响这些企业的声誉和捐赠者对它们的信任。
- 专业服务提供商:各种专业服务,如会计、工程和咨询公司,维护机密的客户数据。垃圾信息挖掘会导致客户信息和商业战略的曝光。
- 制造商:制造公司可能拥有机密的制造流程、供应链信息或产品规格。垃圾信息挖掘可能会危及它们的竞争优势。
- 媒体和娱乐公司:媒体和娱乐企业创作内容,包括脚本、故事板和未发布的作品。垃圾信息挖掘可能导致未经授权访问创意资产。
- 关键基础设施:一些重要的关键基础设施,如能源、供水和交通,可能由于垃圾信息挖掘而暴露出安全漏洞。
如何识别DDTA和传播途径
确定网络安全中可能存在的 DDTA及传播路径,涉及到对可能参与垃圾信息挖掘人员的方法、动机和特征的认识。识别DDTA需要一种结合物理安全措施、员工培训和持续警惕的积极主动的方法。
通过理解潜在威胁行为者的动机与策略,并采取强有力的安全措施,企业就能更好地应对这一常常被忽视的风险。
帮助您识别这些威胁的关键步骤包括:
- 了解动机:首先要弄清楚为什么有些人会为了不正当的动机而进行垃圾信息的挖掘。通常的动机包括身份盗窃,商业间谍活动,经济利益或者是搜集竞争情报。
- 威胁参与者画像:根据动机识别潜在的威胁行为者。比如,不满的前员工可能通过垃圾信息挖掘寻求报复或获取经济利益,而来自竞争对手的公司间谍可能是为了获取有价值的商业机密。
- 识别漏洞:评估企业的物理安全漏洞。寻找处理过程中的薄弱环节,例如不安全的垃圾箱、敏感文档的不当处置或员工缺乏对数据处置的意识。
- 员工培训:培训员工并使其认识到正确处理文件和数据的重要性。让他们意识到与垃圾信息挖掘相关的风险,并鼓励企业内的安全文化。
- 实施安全措施:投资物理安全措施,如垃圾箱上锁、监控摄像头和访问控制,以防止未经授权的可疑人员进入处置区。
- 安全数据销毁:实行数据销毁规范措施,包括销毁敏感文件,并对电子储存设备进行物理破坏,以便难以恢复数据。
- 定期审核:对处置区进行定期审核,以检查篡改或未经授权访问的迹象。这些审核有助于发现和预防潜在威胁。
- 威胁情报:随时了解您所在行业或地区与垃圾信息挖掘相关的最新消息。威胁情报可以洞察恶意行为者使用的策略。
- 事件响应计划:制定事件响应计划,其中包括处理潜在垃圾信息挖掘事件的程序。如果怀疑敏感信息被泄露,这个计划应该概述需要采取的步骤。
- 与执法部门合作:在发生垃圾信息挖掘事件时,与执法部门合作,并向他们提供任何有助于识别和逮捕威胁参与者的信息或证据。
- 员工报告:鼓励员工举报与垃圾信息挖掘相关的任何可疑行为,或潜在违法行为。他们可以成为识别威胁的宝贵信息源。
- 监控暗网和在线论坛:一些威胁参与者可能会试图在暗网或地下论坛上出售或交易被窃取的数据。考虑监控这些渠道,以获取与您所在企业的任何相关信息。
垃圾信息挖掘的危害
垃圾信息挖掘的后果非常严重;但本文只集中讨论以下几点:
身份盗窃和欺诈:与垃圾信息挖掘相关的最直接风险之一就是身份盗窃。网络犯罪分子可以利用找到的信息冒充个人,开假账户或实施金融欺诈。
商业间谍活动:在公司里,垃圾信息挖掘可能导致知识产权、商业战略和机密客户信息被盗。竞争对手可能会利用这些数据来获得竞争优势。
数据泄露:垃圾信息挖掘可能成为大规模数据泄露的出口。攻击者可以通过拼凑从垃圾中收集到的信息,构建出对企业安全弱点更全面的视角。
企业用于减轻/遏制垃圾信息挖掘威胁的方法
垃圾信息挖掘是网络安全领域中一个现实且经常被低估的威胁。虽然企业在数字安全措施上投入了大量资金,但他们绝不能忽视物理安全遭到破坏的潜在后果。
减轻和遏制垃圾信息挖掘威胁需要采取一系列积极主动的措施,包括严格执行数据处置政策,对员工进行教育,加强物理安全措施,进行员工培训,并制定相关政策和程序。通过执行这些措施,企业可以显著降低与垃圾信息挖掘相关的风险,保护敏感信息不落入坏人之手。
这种积极主动的物理安全措施与数字安全措施相辅相成,保护了企业的重要数据。因此,这将进一步解决这种常被忽视的威胁,使有条件的企业能够加强整体网络安全,降低数据泄露和身份盗窃的风险。
企业常使用以下方法来减少垃圾信息挖掘的威胁:
安全文件处理:实施安全文件处理规范措施,包括在处理前销毁敏感文件。确保员工意识到正确处理文件的重要性。
数据加密:加密电子存储设备上的敏感数据,以便即使这些设备被发现也无法读取数据。此外,旧的硬盘及储存设备,也会在加密数据前物理销毁。
物理安全措施:加强垃圾处理区域的物理安全措施。使用外人打不开的上锁的垃圾箱或容器。考虑安装监控摄像头来监视垃圾处理区域。
访问控制:限制进入垃圾箱或垃圾桶所在的区域。使用访问控制措施,例如刷卡系统或锁定大门,限制未经授权的人员进入。
员工培训:教育员工垃圾信息挖掘的风险,以及正确处理数据的重要性。定期开展安全意识的培训,提高员工的安全意识。
文件保存制度:为文件保存和处理制定明确的制度。确保文件仅在必要时保存,并在其使用寿命结束时妥善处置。
定期审核:对处理区域进行定期审核,以发现被篡改或未经授权访问的迹象。这有助于检测和防范潜在威胁。
物理销毁服务:考虑委托专业的销毁公司来销毁敏感文件。这些服务在文件被销毁前,通常为其提供安全的容器和监管链。
垃圾箱锁:在垃圾箱上加锁来防止被轻易访问。锁可以成为对潜在DDTA的简单而有效的物理威慑。
数据清单和分类:在企业内建立维护敏感数据的清单,并根据其敏感程度进行分类。这有助于确定哪些数据需要额外的保护和适当的处理。
事件响应计划:制定专门用于处理垃圾信息挖掘事件的响应计划。如果怀疑敏感信息已泄漏,则应包括所采取的措施。
与执法部门合作:在发生垃圾信息挖掘事件时,与当地执法企业合作,并为其提供任何有助于识别和逮捕DDTA的信息或证据。
实行干净办公桌制度:确保员工保持工作区整洁,不要让敏感文件或电子设备无人看管。
威胁情报和监控:随时了解您所在行业或地区与垃圾信息挖掘相关的已知事件。威胁情报可以提供对恶意行为者所用手段的识别。
最后的想法
总之,值得注意的是,在数字威胁和网络安全挑战占主导地位的时代,物理层面的安全问题很容易被忽略。垃圾信息挖掘,一种看似过时的做法,其实依旧是一个巨大的威胁,如果被低估,可能会使个人和企业面临重大风险。
成功的垃圾信息挖掘攻击潜在后果包括身份盗窃、商业间谍活动、数据泄露和金融诈骗等。因此,企业必须采取积极的措施来保护自己的敏感信息,维护自己的利益。
本文介绍的这些预防措施,对于减少垃圾信息挖掘威胁至关重要。安全文件处理、数据加密、物理安全措施、访问控制、员工培训和事故响应计划,都是应对这种风险综合策略中不可缺少的组成部分。通过在安全协议中纳入这些预防措施,企业可以显著降低敏感数据落入不法分子手中的可能性。
垃圾信息挖掘清楚的提醒人们,网络安全不仅限于数字领域。物理世界和数字世界之间的界限往往模糊不清,这使得企业必须同时加强这两个方面的安全态势,这一点至关重要。忽视物理安全漏洞会给企业带来灾难性后果,尤其是在处理机密数据、专有信息和个人身份信息时。在网络安全世界中,这种威胁仍然是切实存在和持续的。
通过认识其风险,了解潜在的DDTA和传播途径,并采取有效的预防措施,企业可以实施重要的步骤保护其敏感信息,并进一步建立针对现代安全威胁的全方位防御体系。在当前的数据安全之战中,警惕和准备是成功的关键,垃圾信息挖掘是任何企业都不能忽视的威胁。
译者介绍
刘涛,51CTO社区编辑,某大型央企系统上线检测管控负责人。
原文标题:Dumpster Diving in Cybersecurity: A Deep Dive into a Neglected Threat,作者:Aleke Francis AO
