根据卡巴斯基安全解决方案的数据,南非在2020年前七个月经历了近1000万次恶意软件攻击和惊人的4300万个潜在有害应用程序(PUA)。该国的平均安全漏洞使公司损失了4020万兰特(折合270万美元)。
南非数据泄露的三大原因是恶意或犯罪攻击(48%)、人为错误(26%)和系统故障(26%)。
在数据时代,企业和个人需要优先考虑信息安全。数据是新时代的“黄金”——它非常有价值,而且很容易找到。但是,犯罪分子也越来越容易欺骗公司将敏感数据交给他们。本案例中成为此类欺诈受害者的公司是Experian SA。
Experian 数据泄露洞察
Experian SA是一家数据收集和分析公司,其产品和服务范围从信用分析到网络犯罪及欺诈分析。
一名自称是某知名公司董事的骗子对该公司实施欺诈。据Experian SA首席执行官称,诈骗者提供了南非公众的“2500万姓名和身份号码”,Experian对此进行了验证。诈骗者还提供了大约790,000家企业的数据。
骗子说服Experian并共享这些个人信息和公司有关数据,包括公司注册详细信息、一般业务信息、公司联系方式及信用档案信息等。对于近25,000个商业实体,还与诈骗者共享了银行账号。
调查和指控
Experian调查了违规行为,锁定了诈骗者,并通过Anton Piller命令展开刑事调查——一种取代正常记录发现规则的民事搜查令。此类命令使申请人能够在没有通知的情况下搜查被告的住所,普通人如果有有效指控的证据,也可以使用此手令。通过执法人员批准Piller命令,该公司通过跟踪用于向Experian发送电子邮件的IP地址找到并扣押诈骗者用于犯罪的设备。
取证的工作原理
计算机取证应用调查和分析技术从计算设备收集和保存证据。他们旨在记录证据的监管链并创建分析以在法庭上出示指证。计算机取证过程包括以下五个阶段:
- 鉴别
第一阶段是确定调查的目的并获得开展调查的资源。Experian的目标是查明犯罪是什么?如何实施?何时、何地、由谁实施?
- 保存
下一阶段是从诈骗者的设备中分离出数据并加以保存和分析。用于犯罪的笔记本电脑会以“活”或“死”状态被取回,这意味着它的硬盘驱动器仍在运行(活动)或已关闭(死机)。
调查人员会拍下犯罪现场的照片,以显示笔记本电脑被取回并记录在何时何地。可以为照片分配编号,用以帮助执法人员跟踪从现场拍摄的内容。
然后将笔记本电脑放在一个数字证据袋中,意在阻止任何网络访问或更改其上存储的数据。
- 恢复
SATA设备将直接连接到笔记本电脑,读取并复制其硬盘驱动器上的数据,并将数据“粘贴”到连接的硬盘驱动器上以供取证之用。
- 分析
然后将提取的数据复制到另一台笔记本电脑上进行取证调查和分析。
让数据泄露无所遁形
Experian等案例的一个教训是,黑客仍然愿意以个人为目标——包括公司员工或他们的客户——并且很容易欺骗你交出有价值的数据。我们都是人,是人都会犯错。
传统数据安全最明显的一个瑕疵是强调通过技术手段来加强安全防护,而忽略了“人”的主导作用。人是所有数据泄露行为的主导者,人是数据防护中最薄弱的环节。鉴于此,全息网御倡导通过行为数据来驱动信息安全,采用日志及实时捕获网络流量等多种方式获取数据,并通过机器学习自动化、智能化、快速准确的监测数据的异常流动,通过将用户、数据、设备及应用相关联生成四位一体的全息图。通过智能监控告警及时发现敏感(重要)数据的异常访问、上传、下载及邮件传输等,然后通过四位一体的全息数据画像进行溯源取证,让数据泄露无所遁形。
文件全息图:
文件追踪:
上图仅仅是通过文件全息图和文件追踪对数据溯源,除此之外,OnFire全息风险感知系统,还对数据进行发现、分级、分类,并抽取与数据关联的用户、设备、应用的信息,形成“情报”发送给数据分析平台,使全息风险感知系统可以提供数据的生命周期画像(什么时间,什么地点,谁(人员、设备),通过什么应用,访问了什么数据)。四个维度通过任意维度溯源均可关联到其它维度,OnFire可以用于数据监测、风险评估、数据溯源取证及安全审计等各个方面。
本文案例引用于:https://www.kurtosys.com/lessons-from-a-data-breach-forensic-analysis-experian-sa-case-study/