数据泄露典型判例分析报告

最新推荐文章于 2024-07-08 16:35:23 发布

glb111

最新推荐文章于 2024-07-08 16:35:23 发布

阅读量596

点赞数

文章标签：人工智能大数据网络

本文链接：https://blog.csdn.net/glb111/article/details/129113804

版权

声明

本文是学习数据泄露典型判例分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

研究背景

近年来，数据安全已经成为网络安全行业聚焦点最高的一个细分领域。随着“云大物移智”的快速发展，数据已经成为企业的重要生产资料，数据驱动业务决策也成为实践业务创新的核心手段。随着数据交易的常态化，勒索软件开发市场的规模化，数据衍生服务的体系化，在低成本高收益的诱惑下，政府，企业的核心数据保护均面临着来自内外部的巨大风险。

当前数据泄露途径呈现出多元化和隐蔽化的特点，数据实战监控面临挑战。为了更精准的制定数据监控策略，更有效的落实数据安全防控一体化机制，提升数据安全防护的投入产出比，奇安信集团网络安全部以中国裁判文书网（http://wenshu.court.gov.cn）自2011年-2019年10月发布的所有与数据泄露相关的典型判例（包含侵犯公民个人信息、网络安全法、非法获取公民个人信息等关键字）的150份裁判文书样本数据，从泄露数据类型、泄露人身份、泄露动机和泄露渠道等维度对样本数据进行解读整理，还原泄露过程，识别关键因素。希望此项研究能够为政企机构数据保护策略的制定提供一些有价值的参考。

泄露类型分析

我们对判例样本中的数据泄露类型进行了分类分析，发现泄露数据主要包含为5大类，分别是用户数据、客户数据、源代码、商业机密数据和政企涉密文件。5类数据在数据泄露判例中的占比如下图：

github5.com 专注免费分享高质量文档

数据泄露类型分布图显示，用户数据是数据泄露重灾区，占数据泄露35%，也符合地下产业链常见数据交易类型的特点，相关判例所涉及的数据泄露量均是百万或千万级的。此类泄露事件一经报道，被公众所知，对企业的声誉、客户满意度、市场占有量、股价以及企业合规都会产生极其负面的影响。

在分析用户数据泄露这类事件时，我们发现攻击者往往是精准定向获取数据后卖给特定买家，交易极其隐蔽，难以追踪溯源。在数据经过脱库-洗库-撞库-制作字典等环节之后，失去其核心价值，便在黑市上进行交易，形成一条完整的黑色产业链。

商业机密数据和政企涉密文件的泄露更多的是企业或者政府单位。这类事件造成的经济损失是最大的，其次是声誉损失，导致公众满意度下降，客户对企业信任度下降。政企机构的客户数据泄露是近几年来同类型企业在进行恶意竞争，市场抢占时所关注的核心类资源。任何一个在企业内部工作的员工，或多或少都能够接触到企业内部各种类型的数据。如何有效甄别数据敏感度，如何对不同敏感度数据实施差分保护，如何在不降低工作效率的前提下控制访问权限，如何保证数据访问和操作均具备可审计性，这是数据安全防护建设需要重点考虑的内容。

泄露角色分析

我们对判例样本中的数据泄露人身份角色角度进行了分类，发现泄露人员角色主要分为2大类7子类，一类是内部人员，一类是外部人员。其中内部人员又分为在职普通岗位、在职重要岗位、在职技术人员、待离职人员、离职人员；外部分为合作伙伴和黑客，不同角色在数据泄露中的分布如下图：

github5.com 专注免费分享高质量文档

从泄露角色分布图可以看出，泄露的发生无外乎外部人员的主动攻击和内部人员的有意或无意泄露。其中数据泄露角色80%来自内部人员，外部人员中90%的攻击来源是黑客，黑客利用漏洞直接脱库，或者开展社会工程学攻击，获取高权限的账户直接对数据库进行操作，从而达到数据窃取的目的。外部人员中第三方合作伙伴也是最常见数据泄露角色，由于业务合作需要共享数据，而下游合作厂商的数据保护意识或数据保护能力存在偏差从而导致数据泄露，这也是近年来攻击者更愿意从数据产业链的下游发起攻击，从而窃取数据的原因。

内部在职人员造成的数据泄露呈现高速增长趋势，待离职员工和已离职员工造成的数据泄露大多都发生在求职阶段。无论是新东家要求夹带机密数据离职，还是员工自己主动留存窃取资料给自己增加谈判筹码，都会对原所在企业造成损失。另外近一两年随着互联网信息互通共享，合作者或者竞争厂商未经允许私自利用共享信息牟利的案例也呈增长趋势。

企业应在趋于完善的安全防护体系之上，强化内部数据保护宣导，加强特权账号管理、核心操作审计，提升内部用户行为分析、回溯能力。从流量、终端、应用各个方面建立预防为主，监控为辅的数据安全能力机制。

泄露动机分析

我们对判例样本中的数据泄露动机进行了分类，发现泄露动机主要有以下几类：牟利、不正当竞争/利用、公开/成名、增加求职筹码和误操作。泄露动机占比如下图所示：

github5.com 专注免费分享高质量文档

牟利永远是数据窃取的最强原动力，无论是窃取核心数据售卖获得直观的经济收益，还是拥有核心数据增加求职筹码的间接收益，总之有利可图才会使人铤而走险。这三类动机（牟利、增加求职筹码、不正当利用）造成了80%的数据泄露案件。针对动机的发现和提前预判，可以通过员工网络流量，上网行为、数据操作行为偏差值综合判定，如员工近期大量浏览求职网站，可判断其有离职倾向，从而就可以调整安全策略，对该员工的某些数据访问操作采取以阻断防护、监控审计为主的数据防护策略。

剩余两成数据泄露案件大多是由员工误操作引起的，且越是技术人员的误操作所造成的影响和破坏越是严重。针对误操作，应尽可能在高权限用户的关键操作环节，增加复核审批手段。

泄露渠道分析

泄露渠道是数据监控的重点环节。我们对判例样本中数据泄露的渠道进行了分类，发现泄露渠道主要包括：移动存储介质（U盘）、即时通讯工具（QQ/微信）、网盘类工具（百度网盘）、邮件、拍照截图共5大类。数据泄露渠道分布如下图：

github5.com 专注免费分享高质量文档

移动存储介质（U盘/移动硬盘/存储卡）占据近半壁江山，也符合其拷贝量大、传输速度快的特点。其次即时通讯、网盘类工具、邮件也常用于数据外发或数据备份，拍照常见于不能直接获取到此类数据，只具备查看权限的案例，例如拍照生产车间关键设备的参数数据。

目前对于数据泄露渠道的监控市面上均有成熟的产品和方案，无论是从终端上做文章（终端DLP、EDR、数字水印、透明文档加密），还是从网络流量或日志分析作为切入点（上网行为管理、邮件服务器审计日志），数据安全不应脱离于具体业务，需要与业务场景高度耦合。这些除了数据安全的基础能力建设之外，有一批懂运营会分析，服务意识强的安全人员，积极在企业内部推动数据安全的各项举措，从而构建有效（真正产生价值）的数据安全体系。