在暗网中企业易发生重大数据泄露事件

今天小编分享的互联网经验：在暗网中企业易发生重大数据泄露事件，欢迎阅读。

每年都会有大量的公司发生重大数据泄露事件，例如 2022 年 Medibank 和 Optus 的数据泄露、Twitter 的数据泄露、Uber 和 Rockstar 的数据泄露以及 2023 年 T-Mobile、MailChimp 和 OpenAI 的数据泄露。在 2022 年，卡巴斯基实验室列出了全球 700 家来自不同行业的公司，然后在暗网上搜索，试图分析这些公司遭受攻击的可能性有多大？

研究发现，暗网里的帖子都是关于出售受攻击帐户、内部数据库和文档，以及访问公司基础设施。虽然暗网确实促进了各种数据类型的销售，例如，银行卡信息、驾驶执照和身份证照片等，但本文重点还是放在了与企业特别相关的信息上。研究发现 700 家公司中有 223 家在暗网上被提及，泄露数据的主题也不同。

各行业分布

这意味着三分之一的公司在与销售数据或访问相关的暗网帖子中被引用，即使是网络安全成熟度高的公司也避免不了被黑客攻击。

本文提供了一个统计概述，包括所有暗网帖子，涉及 2022 年 1 月至 2023 年 11 月期间出售、购买或免费传播受攻击帐户的数据。

数据泄露

数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，因为所有有一定规模的公司都使用机密数据，泄露会影响公司本身、员工和客户。

暗网上每月大约有 1700 个新的帖子出现，涉及销售、传播或购买泄露数据。

2022 年 1 月至 2023 年 11 月与数据库出售 / 购买相关的消息数量

应该注意的是，并不是每条消息都代表一条最新出现的泄漏，其中有些是重复的广告相同泄漏。

一个组合报价的示例

另一种流行的泄露类型是收集公共数据的数据库，如姓名、个人资料、id 和电子邮件，这些数据来自流行的社交网络。它们是开发攻击的宝贵来源。2021 年，超过 7 亿 LinkedIn 用户和 5.33 亿 Facebook 用户的个人信息被抓取并发布在暗网上。

泄露的 LinkedIn 数据库分布示例

基础设施的访问

以下是网络攻击者获取企业基础设施初始访问权限以进行攻击的最常见行为：

1. 利用軟體漏洞。例如，对企业 web 资源的攻击，利用跨网站组件的 1 日漏洞，SQL 注入，访问易受攻击的 web 应用程式控制面板等。

2. 获得合法的公司证书。例如，使用窃取日志中的数据或密码挖掘。

3. 针对员工的网络钓鱼攻击。例如，带有恶意负载的电子邮件。

特别要提的是盗用合法账户的方法。这些驻留在受感染设备中的恶意程式收集各种帐户和支付数据、cookie 檔案、授权令牌等，并保存到日志中。网络攻击者扫描这些日志，寻找他们可以利用和赚钱的数据，一些人在寻找信用卡数据，另一些人在寻找網域名账户，社交网络账户等，他们把这个阶段称为加工。在整理完日志后，他们要么在论坛上公开交换自己的发现，要么把它们卖给个人买家。

关于漏洞 ( 例如 SQL 注入 ) 和合法凭据 ( 例如 RDP/SSH ) 的信息，对于收入可观的公司来说，定价会非常不同，因为它们提供了不同的成功攻击概率。出售帐户以访问远程管理接口 ( RDP、SSH ) 意味着已经获得了对公司网络基础设施系统的访问权限，而漏洞仅仅提供了实现类似级别访问的机会。即使涉及到同样的问题，比如 SQL 注入，也有许多因素影响攻击的潜在发展，比如易受攻击的主机位置 ( 例如，公司网络或云伺服器 ) ，预期的漏洞利用技术，数据库容量等，

基础设施访问受欢迎的原因很简单，复杂的攻击几乎总是包括几个阶段，例如侦察、对基础设施的初始访问、获得对目标系统或特权的访问，以及实际的恶意行为 ( 数据盗窃、破坏或加密等 ) 。不同的阶段需要不同的专业知识，因此网络攻击者往往具有专业知识，容易获得访问权限的人可能在攻击的发展中面临困难。在这种情况下，购买初始访问权限简化了攻击，对于经验丰富的网络罪犯来说很划算。

对于希望降低与基础设施访问销售相关的风险的企业来说，第一个挑战是了解销售情况。与其他类型的数据相比，这种数据类型的巨大区别在于，网络攻击者不喜欢在消息中提及公司的名称，以免失去访问权限，即使有人提到了名字，社区也会建议他们不要分享多余的信息。

对提供出售的帖子发表评论

在这种情况下，如何跟踪此威胁？网络攻击者通常会在信息中加入一些属性，比如地理位置、行业、公司规模和年收入。