一、数据泄露概述
1、数据泄露简介
数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。
确认是否为数据泄露安全事件的主要依据以下三条基本原则:
(1)违反机密性
(2)违反可用性
(3)违反完整性
2、数据泄露途径
1)外部泄露
(1)供应链泄露(自身供应链和第三方供应商)
(2)互联网敏感信息泄露
如搜索引擎、公开的代码仓库、网盘、社交网络。
(3)互联网应用系统泄露
企业相关的互联网系统存在缺陷,如商城系统、VPN系统等,攻击者利用未授权访问、数据遍历、sql注入等漏洞,造成数据被动泄露。
2)内部泄露
(1)内部人员窃密(主动泄密)
(2)终端木马窃取
(3)基础支撑平台泄露
(4)内部应用系统泄露
3、数据泄露防范
针对外部数据泄露:
(1)做好自身供应链和第三方供应商
(2)做好互联网应用服务的安全配置并定期巡检
(3)互联网应用系统正式上线前应进行全面的渗透测试
针对内部数据泄露:
(1)对系统运维人员等做好访问控制
(2)建立终端准入机制,统一部署杀毒和终端管控文件
(3)进行安全意识培训
二、常规处置方法
1、发现数据泄露
1)外部反馈
2)监管通报
3)自行发现
2、梳理基本情况
明确数据泄露的类型,以及泄露数的表现形式、存储位置等。
3、判断泄露途径
若泄露数据存储于互联网可访问的服务器,可能是外部人员非法入侵泄露;
若数据存储于内部网络,且仅有少部分管理人员才能访问,可能是内部人员恶意披露或是通过未授权访问窃取的。
除此以外,还有很多泄露事件需要通过服务器的web访问日志和系统日志进一步分析,结合内网安全态势进一步判断,才能梳理出相对准确的数据泄露途径。
三、常用工具
1、Hawkeye(开源GitHub数据泄露监控系统,通过监控GitHub代码库,可及时发现员工托管公司敏感信息到GitHub的行为并预警,降低数据泄露风险)
2、Sysmon(是Windows系统服务和设备驱动程序,可监视系统活动并将其记录到Windows事件日志中)
四、技术操作指南
1、初步研判
1)收集基础信息
5W+1H(了解泄露了什么数据,在什么位置可以访问和下载到相关的日志,数据泄露的大致时间,可以接触到这些数据的人员,为什么会泄露,如何泄露的)
2)网络环境确认
专用生产网络:
(1)与外部完全隔离
(2)通过专用线路与外部系统进行数据交换
(3)通过VPN与互联网进行数据交换
(4)通过网闸等隔离手段与互联网进行数据交换
互联网环境网络:
(1)部分重要资产直接暴露于互联网中
(2)所有重要资产直接暴露于互联网中
3)已有安全措施确认
重点对以下内容进行确认:
(1)专用数据泄露类产品
(2)安全审计类产品
(3)入侵检测类产品
(4)流量分析类产品
(5)确认应用系统、服务器、终端等日志情况
2、确定排查范围和目标
(1)终端、服务器、应用系统、网站,对于数据量大、访问频率高的要重点排查。
(2)确定导致数据泄露的原因;追溯责任人。
3、建立策略
1)判定数据泄露事件类型(主动/被动)
(1)对于专用生产网络数据泄露事件,可初步定性为主动泄露事件
(2)对于互联网环境网络数据泄露事件,可初步定性为被动泄露事件
2)确立应急响应处置策略
(1)对于主动泄露事件,可优先排查数据保护、监控类产品日志,发现人员异常操作和访问行为
(2)对于被动泄露事件,需要利用各种技术手段,排查与泄露数据相关的应用系统、服务器、终端等是否遭受入侵,是否感染可窃取数据的病毒木马。
4、系统排查
1)专用数据泄露防护类产品日志排查
分析通过电子邮件、QQ等网络途径进行数据外发的日志、重要终端文件的打印、复印等。
2)安全审计类产品日志排查
分析针对重要服务器、数据库、应用系统的访问日志等。
3)入侵检测类产品日志排查
提取在排查范围内的服务器、终端、应用系统等的告警日志。
4)流量分析类产品日志排查
分析重要服务器、终端、应用系统等的流量数据
5)应用系统、服务器、终端等日志排查
|