由于技術進步無疑讓我們的生活更加便捷,我們與外界分享的敏感數據量也急劇增加。然而,這些進步也有代價——我們的個人數據被更多地暴露。
那么,敏感數據是如何被暴露的?
當組織在不知情的情況下泄露其客戶的私人信息,導致敏感數據意外破壞、更改或分發時,就會發生敏感數據泄露。
個人身份信息 (PII)(例如財務、業務和個人數據)并不是唯一需要保護的敏感信息。需要嚴格保護的其他形式的敏感數據包括:
重要的是要記住,敏感數據暴露不同于數據泄露,盡管這些術語經常互換使用。
數據泄露是指第三方懷有惡意,未經授權訪問敏感信息。這種情況通常發生在敏感數據暴露時;然而,即使沒有預先暴露,泄露仍然會發生。
另一方面,組織可能會暴露敏感數據,但其信息并未遭到泄露。暴露并不意味著一定會遭到泄露,但暴露會大大增加泄露的幾率。
您越了解數據容易泄露的原因,您的組織就越有能力減輕針對這些敏感信息的潛在攻擊。由于 GDPR 和 CCAP 等法規要求組織保護敏感數據,否則將面臨嚴重后果,因此,了解貴公司的敏感文件可能在哪些地方遇到麻煩至關重要。
數字數據有幾種不同的狀態,為了更好地了解攻擊發生的地點,我們需要首先快速瀏覽一下它們。
許多 Web 應用程序通常將靜態數據存儲在服務器、文件、網絡和數據庫中。雖然這些數據似乎不太容易受到攻擊,但這些信息的安全性完全取決于保護它們的協議。網絡攻擊(例如 SQL 注入或惡意負載)可用于規避安全措施并獲得對存儲數據的未經授權的訪問。
由于數據在服務器、渠道和應用程序編程接口 (API) 之間交換,因此存在被第三方攔截的風險。網絡犯罪分子利用兩個應用程序或服務器在未加密的情況下進行通信時存在的安全漏洞。一種常見的攻擊被稱為中間人 (MITM),攻擊者會攔截并監控流量和通信。
與動態數據或靜態數據不同,使用中數據反映了組織 IT 基礎架構中當前發生的活動。這意味著它可以隨時被主動更新、處理或刪除,而不是簡單地存儲起來以供日后訪問。處于這種狀態的數據同樣容易受到攻擊,甚至更有可能由內部攻擊發起。
現在您知道了數據可能在哪里受到攻擊,讓我們看看這些攻擊是如何發生的方式。
雖然 Web 應用程序和 Web 界面都有自己的漏洞,但Gartner預測,到 2022 年,API 將成為主要的攻擊媒介。為了幫助防止暴露,OWASP建議您采取這些最低限度的措施來防止加密故障(敏感數據暴露的另一個名稱)。
雖然這些步驟提供了一個很好的起點,但采取高級措施將確保您的數據得到良好的保護。我們建議采取一些高級安全措施。
隨著世界的發展周期不斷加快,組織絕不能為了滿足數字化轉型的需求而犧牲安全性。
文章來源:Sensitive Data Exposure: What It Is and How to Avoid It