物理介质窃取听起来很传统,但它的有效性和危害性一点不比高科技攻击差。很多企业和个人在更换设备时,以为删除文件或格式化硬盘就能把数据清掉。但实际上普通的文件删除和格式化只是删除了文件的索引信息,数据本身仍然保存在硬盘的存储介质上。使用专业的数据恢复工具,即使是已经被格式化过的硬盘也能恢复出大量的原始数据。这些残留数据可能包含公司机密文件、客户信息、财务数据和员工隐私。一个被随手扔掉的硬盘,可能就是你公司所有秘密的集合。
故事:2022年有安全研究人员在二手市场上购买了一批二手硬盘和U盘,结果发现其中相当大比例的设备中仍然保存着之前所有者的数据。有些硬盘上甚至存有银行的交易记录、公司的财务数据和医疗机构的患者信息。其中一个从网上购买的二手企业级硬盘中存储了一家制造企业过去三年的全部生产数据,包括工艺流程参数、供应商信息和客户名单。这些数据如果被竞争对手买到后果将不堪设想。出售这些硬盘的人或机构显然只是简单地删除了文件或进行了快速格式化,根本没有做真正的数据擦除。更让人震惊的是这些硬盘中有些来自政府机构和金融机构。
泄密链路分析:废旧设备在处置前没有进行安全的数据销毁处理。普通用户甚至很多IT管理员认为文件删除和格式化就能彻底清除数据,但这是一个严重的误解。回收或购买二手设备的人使用免费或低价的数据恢复工具就能恢复大量已删除文件。对于曾被用作RAID或企业级存储的设备,恢复出来的数据量可能非常庞大。获得的数据可以直接用于商业竞争、身份盗窃和诈骗活动。同时被恢复的数据也可能暴露企业的内部网络架构和安全设置,为更进一步的黑客攻击提供非常有价值的情报。
警示:设备报废前进行安全的数据销毁是不可省略的步骤。对于机械硬盘可以采用物理破坏的方式,比如拆解盘片或用强力消磁设备消磁处理。对于固态硬盘可以使用安全擦除指令,或者进行全盘加密后销毁密钥。对于企业来说应该建立完善的设备报废管理制度,所有存储介质在报废前必须经过安全的数据销毁流程。对于包含高度敏感数据的设备,建议采用物理粉碎的方式彻底破坏存储介质。不要以为格式化就能解决问题,格式化只是数据被隐藏了而已,数据恢复工具能在很短时间内把那些被你认为已经删掉的东西全部找回来。真正的数据安全是物理安全,而不是逻辑上的删除。如果你不确定数据是否完全清除了,最保险的做法是物理破坏掉存储介质。
