为何重要

个人数据是一种宝贵的资产,既可用于合法目的,也可用于恶意目的。汇总和出售个人身份信息 (PII) 的数据经纪人会将数字风险带入个人和企业的实体世界。

问题陈述

  • 互联网上充斥着大量数据掮客,他们在几乎没有监督的情况下收集、挖掘、出售和转售你的个人信息。您的地址、电话号码和电子邮件等公开数据经常被用于网络攻击、社交工程和网络钓鱼攻击、身份盗用以及跟踪或骚扰等人身威胁。

  • 备受瞩目的个人和高管经常成为攻击目标,这使得 PII 风险成为一种责任。想想你的律师助理、记者、公司高管、法官、政府官员等。

  • 数据经纪人既可能是合法的,也可能是非法的,他们通过空壳公司开展业务,在监管部门打击之后,这些公司又会改头换面,重新出现。这就使得威胁的存在具有持久性和粘性。

  • 全球数据隐私法差异很大(在某些情况下,甚至在同一国家内也是如此),使得数据经纪人可以利用监管较少的地区进行数据托管和汇总。

  • 删除数据就像打地鼠。即使成功删除了数据,通过在线活动、公共记录和商业交易也会不断产生新的数据,从而导致重复曝光。

  • 大多数人低估了自己的风险,或认为现有的隐私措施(如 VPN 或广告拦截器)能提供全面保护。

市场解决方案

数字足迹管理(DFM,Digital Footprint Management)产品市场

  • 数字足迹管理平台专门从事从公共记录、数据中介网站和搜索引擎结果中识别和删除个人数据的工作。

  • 主动管理你的数字足迹可以限制攻击者收集侦察数据的能力,使社交工程、欺骗和鱼叉式网络钓鱼攻击更加困难。

  • 数字足迹管理平台就是要最大限度地减少个人和组织的网上曝光率,降低攻击面。

您可能听到的术语

  • Data Broker 数据经纪人:收集、汇总并向营销人员、执法人员或任何愿意付费的人出售个人数据的公司。

  • Digital Footprint数字足迹 :个人在网上留下的数据痕迹,从社交媒体资料到公共记录。

  • Doxxing :恶意发布个人隐私或身份信息,意图造成危害。

  • 退出请求:个人请求从数据中介数据库中删除其数据的程序。

  • 个人身份信息 (PII,Personally Identifiable Information):任何可识别特定个人的数据(如姓名、地址、电话号码、社会安全号)。

相关产品类别

  • 攻击面管理(ASM)

  • 数据隐私

  • 数据保护

  • 人网络安全

生态系统和竞争格局

数字足迹管理生态系统包括一系列提供不同水平服务的参与者,从全自动解决方案到自动化与人工监督相结合的混合模式。

数字足迹管理是一个不断发展的产品类别,可以有多种形态,包括:

  • 一次性数据删除服务

  • 持续监测和清除服务

  • 全面管理的服务

  • 具有用户控制功能的 SaaS 门户网站

  • 仅限移动应用程序的体验

  • 在线声誉管理平台

  • 不良商业评论删除服务

  • 一套 DIY(自我管理)隐私工具和指南

  • 与其他网络安全工具或产品捆绑的一部分

  • 或以上任何或所有内容的组合

数字足迹管理平台将 "产品与服务 "模式从中间分开,将自动化与人工验证相结合,确保准确有效地清除数据。

数字足迹管理平台可提供以下优势

  • 数据经纪人退出管理:从人员搜索网站、数据中介平台和聚合数据库中系统地删除 PII。

  • 搜索引擎去索引:向搜索引擎发送请求,取消包含敏感数据的特定 URL 的索引,从而降低可见度。

  • 持续发现、监控和重新删除:持续监控现有数据中介网站,不断提出退出请求,以减少数字足迹,并不断发现包含您个人数据的新数据中介来源。

  • 风险和暴露扫描:量化评估:显示个人或组织在删除数据前后的在线风险暴露程度。

  • 暗网监控:监控以检测地下论坛中的 PII 泄漏。

玩家

界定这一领域具有挑战性,因为它在历史上一直是一种 B2C 产品。只是在过去几年中,它才开始向 B2B 领域迁移。虽然 B2B 和 B2B 领域之间的交叉并不常见,但在一些领域还是有可能发生,这就是其中之一。如果网络问题横跨您的个人生活和商务生活,这种交叉就会特别成功。

少数专注于 B2B 领域的公司(可能也有 B2C 产品):

  • Array (HelloPrivacy)

  • Atlas Privacy

  • DeleteMe

  • IDX

  • Ironwall (Surfshark)

  • Optery

  • Picnic Corporation

少数直接面向 B2C 领域的企业(可能也有相关的 B2B 产品):

  • AVG Breach Guard

  • Incogni

  • Mozilla Monitor

  • Norton Privacy Monitor / Reputation Defender

  • PrivacyBee

  • PrivacyDuck (closed)

少数企业只在 C 级和行政级别开展工作,并提供数据移除服务,作为其他定制服务或威胁监控平台的补充:

  • 360 Privacy

  • Blackcloak

  • Hush

  • Nisos

  • ReliaQuest

在数据删除、个人网络安全等方面具有相似但相邻能力的几家公司:

  • Agency

  • MineOS

  • IdentityGuard

  • Sunday Security (closed)

  • PrivacyBunker

还有一些糟糕的球员在两边踢球:

  • Avast Breachguard - 美国联邦贸易委员会因 Avast 在未经同意的情况下出售消费者浏览数据而处罚 Avast 1650 万美元。

  • OneRep - Krebs on Security 发现,OneRep 的首席执行官创办了多个数据经纪网站,从而有效地为 OneRep 的产品创造了供求关系。

知名融资动态

在这一领域,出现了大量的收购和合并:

2019

  • IdentityGuard 被 iSubscribed (Aura)、WndrCo 和 General Catalyst 收购,收购金额未透露。

  • 赛门铁克以 107 亿美元的价格将其企业安全业务出售给 Broadcom 之后,诺顿 LifeLock 从赛门铁克剥离。

2022

  • IDX 被 ZeroFox 收购,收购金额未披露。

  • 诺顿 LifeLock 与 Avast 合并成立 Gen Digital。

2024

  • IDX 已从 ZeroFox 剥离,然后卖给了 Kingswood Capital Management,具体金额未透露。

  • Incogni 被 Surfshark(拥有 Ironwall)收购,收购金额未透露。

投资回报率和成本效益分析

虽然数字足迹管理平台传统上一直面向个人销售,但其商业价值正变得越来越明显。公开的员工数据越多,企业安全和商业声誉面临的风险就越大。

  • 切断攻击链。减少员工数据的暴露意味着减少网络钓鱼、鱼叉式网络钓鱼和社交工程攻击的切入点。

  • 减少商业电子邮件破坏(BEC)。网络犯罪分子在数据中介网站上窃取数据,冒充高管,以财务、人力资源和应付账款部门为目标。减少这些数据可降低 BEC 的有效性。

  • 防止诽谤和有针对性的骚扰。保护 C-suite 高管、董事会成员和高风险员工免遭公开曝光。

  • 降低供应商和供应链风险。网络犯罪分子利用公共数据模仿供应商、假冒员工并实施发票欺诈。当攻击者无法轻易绘制组织结构图或识别关键人员时,有针对性的诈骗风险就会降低。

挑战

在任何产品类别中,细节都很重要,尤其是在高度分散的市场中。以下是一些需要注意的事项:

  • 高级持久性数据。任何数据移除服务都无法百分之百地清除个人数据。要保持较低的曝光率,就需要持续数据发现和退出流程。删除数据的再生和重新传播是区分优秀平台和伪装优秀平台的最后一公里问题。

  • 验证很重要。了解数字足迹管理平台如何验证身份非常重要。前期验证做得越好,数据发现就越准确、越彻底,反过来,数据移除请求也就越准确。否则,删除的可能是错误人员的数据,而不是您的数据。

  • 优化退出。公司并不总是能始终如一地管理退出请求,从而导致严重的质量差距。许多企业依赖于 "盲目退出自动化",即在不核实个人数据是否确实在数据经纪商网站上的情况下,发送退出请求的批量提交流程。这种方法的问题在于,一些数据经纪商会自动拒绝来自已知参与者的批量退出请求。更糟糕的是,有些数据经纪商要求多步验证流程,包括电子邮件确认、身份证验证甚至公证文件(你明白为什么数据经纪商有问题了吗?)这是一种通过广泛的删除覆盖范围来伪造 "质量 "的欺骗行为。

机会

  • 捆绑保险。数据移除服务将越来越多地与网络安全保险、威胁情报平台和员工保护计划捆绑在一起。

  • B2B 扩展。随着威胁暴露管理在企业领域变得更加全面,数据清除将被纳入内部风险防范战略。对于数字足迹管理提供商来说,目标攻击风险高的公司(金融机构、媒体公司、公共部门机构)是尚未开发的市场。

  • 高管保护计划。作为企业安全套餐的一部分,为 C 级高管、董事会成员和公众人物提供数据删除服务。

  • 员工福利。数据删除是一项高价值的员工福利,尤其是在存在声誉或人身安全风险的行业。

  • 人工智能优势。人工智能和代理模式的进步将简化退出流程,降低运营成本并扩大规模。谁能率先解决这个问题,谁就能拥有独特的商业模式和定价优势。

  • 服务扩展。将数据移除与托管安全服务提供商(MSSP)、事件响应公司和合规咨询公司整合,将开辟新的收入和覆盖模式。

反驳意见

与任何技术投资一样,您的情况可能会有所不同。

  • 个人漠不关心。虽然企业看到了为高风险员工移除数据的价值,但个人消费者往往认为这些服务昂贵或非必需,并低估了他们的个人风险。

  • 隐私蠕变。这类技术跨越了企业和个人世界的界限,使个人数据隐私渗入日常工作,因此采用这类技术具有挑战性。

最终想法

随着隐私问题的升级和发展,企业和高风险个人将越来越需要可扩展的自动化解决方案,以跟上积极的数据中介生态系统的步伐。

你的攻击面不仅仅是你的企业资产,还有你的员工。

如果员工的 PII 可以随意获取,您的组织仍然会暴露在风险之中。现在是时候让安全领导者将数字足迹管理作为另一层防御纳入企业内部了。

原文链接:

https://www.returnonsecurity.com/p/understanding-digital-footprint-management

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。