超级会员免费看
本文详细介绍了数据泄露应急响应的六个步骤,包括初步研判、判断泄露途径、确定排查范围、系统排查、处置过程和使用如Hawkeye、Sysmon等工具进行监控。通过对日志分析和安全产品利用,帮助识别泄漏源头并制定应对策略。
【应急响应篇】数据泄露应急响应指南
1.初步研判
发生数据泄露事件后,首先需要及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等
2.判断泄露途径
通过目前已确定泄露的数据,逐一排查和确认可能的数据流转路径,判断数据是由外部人员非法入侵或未授权访问窃取的,还是由内部人员恶意披露或违规操作导致的。可通过数据的存储位置、可访问数据的人员属性和内部网络安全态势情况进行初步确认
- 若泄露数据存储于互联网可访问的服务器,业务系统未经过专业的上线安全评估,则数据很可能是通过外部人员非法入侵泄露的
- 若泄露数据存储于内部网络,且仅有少部分管理人员才能访问,内部网络安全良好,则数据很可能是由内部人员恶意披露或是通过未授权访问窃取的
3.确定排查范围和目标
将可能涉及被泄露数据的终端、服务器、应用系统、网站等均纳入排查范围,对于数据量大、访问频率高的还应纳入重点排查范围
例如,在发生邮件系统数据泄露时,由于邮件系统基本需要映射至互联网, 因此可以以外网域名和 IP 地址作为中心点进行排查,梳理邮件系统的 IP 地址列表、端口信息和子域名等信息;梳理邮件系统是否存在关联应用系统(如单点认证、OA 等),确认业务系统间数据是否
订阅专栏 解锁全文
扫一扫
394
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
