网络安全应急响应----7、数据泄漏应急响应

李沉肩

已于 2022-03-22 07:40:17 修改

阅读量1.1w

点赞数 10

分类专栏：应急响应文章标签：数据泄露数据泄露应急响应

于 2022-03-22 07:38:00 首次发布

本文链接：https://blog.csdn.net/sycamorelg/article/details/123516930

版权

应急响应专栏收录该内容

11 篇文章 127 订阅

订阅专栏

文章目录

一、数据泄露简介
二、数据泄露途径
- 1、外部泄露
- 2、内部泄露
三、数据泄露应急响应方法
四、数据泄露防御
- 1、数据外部泄露防范
- 2、数据内部泄露防范

在这里插入图片描述

一、数据泄露简介

数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。

确认是否为数据泄露安全事件主要依据以下三条基本原则：
1、违反机密性：未授权或意外披露机密数据。
2、违反可用性：意外丢失数据访问权或对机密数据造成不可逆转的破坏。
3、违反完整性：机密数据未授权或意外变更。

二、数据泄露途径

1、外部泄露

外部泄露是指数据通过非企业自身系统进行泄露，如攻击者通过入侵企业内部系统、广泛收集网络信息等方法获取敏感信息。
1、供应链泄露
1、自身供应链泄露：自身供应链是指企业自身产品生产和流通过程中的采购部门、生产部门、仓储部门、销售部门门等组成的供需网络。如电商体系中的物流系统、仓储管理系统、支付系统等，往往包含企业大量敏感信息，该类系统被恶意攻击者入侵，可造成数据泄露。
2、第三方供应商泄露：企业由于业务需要，使用或者购买了第三方服务，如供应商代码仓库、供应商外包人员服务、供应商提供的SaaS服务等。恶意攻击者通过入侵相关系统，造成数据泄露，或是第三方供应商为了牟取利益泄露数据。

2、互联网敏感信息泄露
1、搜索引擎：企业违规将敏感数据上传至公开的互联网网站，随后搜索引擎收录企业相关网站，导致数据通过搜索引擎泄露。
2、公开的代码仓库：企业相关研发运维人员违规将代码主动上传至公开的代码仓库，如GitHub、Gitee等，导致数据泄露。
3、网盘：企业相关人员违规将未加密的敏感数据主动上传至公开网盘，并进行分享，导致数据泄露。
4、社交网络：企业相关人员通过社交网络违规或无意识地披露敏感数据，导致数据泄露。

3、互联网应用系统泄露
企业相关的互联网系统存在缺陷，如商城系统、VPN系统、邮件系统等，恶意攻击者利用未授权访问、数据遍历、管理弱密码、SQL注入等漏洞，造成数据被动泄露。

2、内部泄露

内部泄露是指数据通过企业自身系统进行泄露。
1、内部人员窃密(主动泄密)
企业内部人员非法窃密，并将数据售卖给他人牟利。如客服人员、内部研发运维人员、数据运营人员等，通过自身权限获取企业数据以转售。

2、终端木马窃取
企业内部人员的办公终端被植入木马，造成数据被窃取。如员工在办公终端.上插入来历不明的U盘，使用非正规渠道下载的盗版软件，单击钓鱼邮件的诱导内容等，导致终端被控制，造成数据泄露。

3、基础支撑平台泄露
部署在企业内部的基础支撑平台，如包含企业敏感数据的ES平台、Redis缓存数据库、数据仓库等基础平台，因被攻击，而导致数据泄露。

4、内部应用系统泄露
攻击者利用未授权访问、数据遍历、管理弱密码、SQL注入等漏洞，攻击企业内部的业务应用系统，获取相关数据。

三、数据泄露应急响应方法

1、发现数据泄露

1.1、外部反馈
外部反馈主要是指通过互联网披露、客户投诉、第三方机构通告等形式获知机密或隐私数据已遭泄露，数据在小范围已经流传，造成了一定程度的负面影响，对所在单位可能造成经济损失和声誉影响。

1.2、监管通报
监管通报主要是指具有执法权的监管机构发现影响民生和公共安全的数据泄露事件，对数据泄露的主体进行通报处罚，泄露的数据一般为大量个人隐私数据。

1.3、自行发现
自行发现主要是指单位、个人或自身供应链发现内部敏感、秘密信息被非法披露至互联网，存在流传的迹象，可能会被竞争对手恶意利用且对单位造成声誉影响。

2、梳理基本情况

与相关人员交流，明确数据泄露的类型，以及泄露数据的表现形式、存储位置、关联系统等，根据现状判断数据是如何泄露的，并缩小排查范围。
发生数据泄露事件后，首先可了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等。

1、了解数据泄露的现状，可从以下六方面(5W+1H)：
	(1)、What：了解泄露了什么数据，泄露数据的表现形式及量级;
	(2)、Where：了解在什么位置可以访问和下载到相关的泄露数据;
	(3)、When：了解数据泄露的大致时间;
	(4)、Who：了解可以接触到这些数据的人员;
	(5)、Why：了解为什么会泄露该数据，该数据泄露后可能造成的影响;
	(6)、How：根据了解的现状初步判断数据是如何泄露的，缩小排查范围;

2、分析涉及数据泄露的信息系统的网络架构，判定组网类型：
专用生产网络：
	(1)、与外部完全隔离;
	(2)、通过专用线路与外部系统(非互联网)进行数据交换;
	(3)、通过虚拟专用网络(VPN) 与互联网进行数据交换;
	(4)、通过网闸等隔离手段与互联网进行数据交换。

互联网环境网络：
	(1)、部分重要资产直接暴露于互联网中;
	(2)、所有重要资产直接暴露于互联网中。

3、确认已有安全措施
快速确认现场网络环境中安全措施配备、管控范围及功能配置情况，为后续确立处置策略提供依据和支撑。
	(1)专用数据泄露防护类产品：确认数据泄露行为监测、预警、阻断情况；
	(2)安全审计类产品：确认数据库审计、应用审计、运维操作审计情况；
	(3)入侵检测类产品：确认入侵攻击监测、预警情况；
	(4)流量分析类产品(如天眼) : 确认攻击和异常行为监测、预警情况；
	(5)确认应用系统、服务器、终端等日志情况。

3、确定排查范围和目标

依据收集的基础信息，分析和确定本次应急响应的范围和目标，可依据如下原则。
1、将可能涉及被泄露数据的终端、服务器、应用系统、网站等均纳入排查范围，对于数据量大、访问频率高的还应纳入重点排查范围。
2、应急响应目标的确定主要可分为两类：一是，确定导致数据泄露的原因，以进行改进、提升；二是追溯责任人。

例如：在发生邮件系统数据泄露时，由于邮件系统基本需要映射至互联网，因此可以外网域名和IP地址作为中心点进行排查，梳理邮件系统的IP地址列表、端口信息和子域名等信息；梳理邮件系统是否存在关联应用系统(如单点认证、OA等)，确认业务系统间数据是否存在流转关系(如中间库、共用数据库等)。

4、判断泄露途径

4.1、主动泄露

主动泄露是指企业内部研发、运维、第三方人员，以及自身供应链，利用获得的业务系统、应用、服务器权限或接口，获取企业敏感信息、用户个人信息，并利用电子邮件、QQ、MSN等方法进行数据外发，利用移动存储介质、打印、复印等方法进行数据外带，从而导致数据泄露事件的发生。对于主动泄露事件，可优先排查数据保护、监控类产品日志，发现人员异常操作
和访问行为。
在应急响应处置中，依据不同产品的功能和特性，可参考的排查顺序如下图：
在这里插入图片描述

注意:
1、依据实际情况，在不具备某项条件的情况下，可后步变前步，依次排查;
2、排查未果，可按被动泄露事件处置策略依次排查;
3、对于供应链泄露情况，可对比被泄露数据与提供给供应链的数据，查看是否存在差别(如不同的数据标签、数据内容等)，从而进行判定，或在企业授权的情况下，分别对供应链企业进行排查确认。

4.2、被动泄露

被动泄露是指企业因遭受入侵、感染病毒木马等，而导致的数据泄露。对于被动泄露事件，需要利用各种技术手段，排查与泄露数据相关的应用系统、服务器、终端等是否遭受入侵，是否感染可窃取数据的病毒木马。
针对被动泄露事件，在应急响应处置中，可参考的排查顺序如下图：
在这里插入图片描述
注意:
1、依据实际情况，在不具备某项条件的情况下，可后步变前步，依次排查;
2、排查未果，可按主动泄露事件处置策略依次排查;

通过目前已确定泄露的数据，逐一排查和确认可能的数据流转路径，判断数据是由外部人员非法入侵或未授权访问窃取的，还是由内部人员恶意披露或违规操作导致的。可通过数据的存储位置、可访问数据的人员属性和内部网络安全态势情况进行初步确认。
若泄露数据存储于互联网可访问的服务器，业务系统未经过专业的上线安全评估，则数据很可能是通过外部人员非法入侵泄露的。
若泄露数据存储于内部网络，且仅有少部分管理人员才能访问，内部网络安全良好，则数据很可能是由内部人员恶意披露或是通过未授权访问窃取的。
除上述两种比较典型的数据泄露形式外，还有很多数据泄露事件需要安全人员通过服务器Web访问日志和系统日志进一步分析，结合内网安全态势进一步判断，才能梳理出相对准确的数据泄露途径。

5、系统排查

依据确立的应急响应处置策略，开展事件排查，发现并记录异常行为或事件，初步定性数据泄露事件产生的原因。
1、专用数据泄露防护类产品日志排查
分析通过电子邮件、QQ、MSN等网络途径进行数据外发的日志，依据被泄露数据的特征、时间、量级等要素，发现异常的数据外发行为;分析重要终端的文件打印、复印，以及通过U盘等移动存储介质进行数据拷贝的日志，依据被泄露数据的特征、时间、量级等要素，发现异常的文件打印、复印及数据拷贝行为。

2、安全审计类产品日志排查
分析针对重要服务器、数据库、应用系统的访问日志，依据被泄露数据的关键字段、特征、时间、量级等要素，发现异常的数据操作和访问行为，如针对被泄露数据的查询、导出操作等。

3、入侵检测类产品日志排查
提取在排查范围内的服务器、终端、应用系统等的告警日志，并进行分析，发现可能窃取数据的攻击行为。重点排查和分析SQL注入、Webshell等可获取数据的攻击日志。

4、流量分析类产品日志排查
分析重要服务器、终端、应用系统等的流量数据，发现可能窃取数据的攻击行为、异常访问与操作行为、病毒木马等。

5、应用系统、服务器、终端等日志排查
对终端、服务器(包括操作系统日志、中间件日志、数据库日志等)、进程、脚本程序、账号等进行排查和分析，发现可能窃取数据的入侵行为、病毒木马及异常的历史操作命令等；对应用系统、网站、服务器、终端等进行扫描、测试，发现可利用的、可能导致数据泄露的安全漏洞，如SQL 注入漏洞、远程命令执行漏洞、任意文件上传漏洞、鉴权及越权漏洞等；对应用系统日志(应用系统具备日志功能)进行分析，发现人员的异常操作和访问行为。

四、数据泄露防御

1、数据外部泄露防范

应对数据外部泄露：
1、做好自身供应链(如物流、仓储、支付系统)和第三方供应商(如海外购、第三方商店)的数据访问控制，尤其需要完善审计措施。
2、做好互联网应用服务的安全配置并定期巡检，避免违规共享内容被搜索引擎收录。规范数据存储和共享，杜绝内部机密数据通过互联网存储和传输。建立邮件和社交网络使用规范，建立红线机制并设定奖惩措施，防微杜渐。
3、互联网应用系统正式上线前应进行全面的渗透测试，尽可能避免存在未授权访问、管理弱密码、SQL注入等漏洞，导致数据泄露。

2、数据内部泄露防范

应对数据内部泄露：
1、业务系统运营人员和运维研发人员等的访问权限应做好访问控制，建立相应角色并根据需求最小化原则分配访问权限，指派专员对业务系统的访问进行审计。
2、建立终端准入机制，统一部署杀毒和终端管控软件。
3、通过安全意识培训，培养员工良好的终端使用习惯，避免数据通过终端被窃取。
4、内部应用系统正式交付前应做好全面的软件测试，避免存在隐藏的数据调用接口。并在正式上线前做好渗透测试，避免攻击者通过数据遍历、未授权访问和SQL注入等漏洞批量获取数据。

李沉肩

关注

10
点赞
踩
57

收藏

觉得还不错? 一键收藏
打赏
0
评论
网络安全应急响应----7、数据泄漏应急响应

文章目录一、数据泄露简介二、数据泄露途径1、外部泄露2、内部泄露三、数据泄露应急响应方法1、发现数据泄露2、梳理基本情况3、确定排查范围和目标4、判断泄露途径4.1、主动泄露4.2、被动泄露5、系统排查四、数据泄露防御1、数据外部泄露防范2、数据内部泄露防范一、数据泄露简介数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。确认是否为数据泄露安全事件主要依据以下三条基本原则：1、违反机密性：未授权或意外披露机密数据。2、违反
复制链接

扫一扫