数据泄漏案例分析报告
2020-05-21
OWASP北京分会负责人、CISSP、CCIE、高级职称、国家三级荣誉证书(技术贡献类)、金融行业证券、基金资质认证;2010年进入金融行业,十年信息安全从业经验。具有金融行业(券商、银行、互联网金融)、智能出行、健康医疗等行业信息安全负责人经验。
曾在多家国家机构、国企、私企等担任信息安全顾问、安全专家团岗位。擅长安全体系建设、企业内部合规审计、漏洞发掘、安全加固、业务安全、漏洞修复等。
1、个人信息数据一直是黑灰产重要趋势:
攻击者认为传统数据存储企业整体安全意识和安全能力较低,攻击成功率更高。
个人信息核心价值更高。
个人信息流通性更强,变现能力更强。
2、整体行业分析:
数据泄漏风险主要来源于内部人员,无意识泄漏占比逐渐降低,牟利为主要动机。
数据泄漏的内容包含企业核心竞争能力、研究报告、基础数据、系统代码等,员工数据
用户数据泄露特点为影响范围广、数据量大,呈现出数据量大,影响范围广的特点,对受害企业而言,直接成本高,间接成本更高。
受害企业特点:具有或部分具有安全技术能力,整体资源投入不足,相比防护手段而言,缺少监控手段、外部情报获取分析能力。
第一章 报告总述和目的
第二章 安全合规事件统计分析
第三章 攻击及泄漏事件统计分析
第四章 数据泄漏类型统计分析
第五章 数据泄露角色统计分析
第六章 数据泄露动机统计分析
第七章 数据泄露渠道统计分析
希望此报告能够为各位对数据安全风险的识别、数据保护策略的制定、资源的配置等提供参考。
近年来,国家各部位、行业监管机构和企业对数据安全有了较高的认识,从2017年6月1日中国第一部《网络安全法》颁布,习大大提出“没有网络安全,就没有国家安全”的重要态度,全行业对安全的重视程度得到了提高。对企业而言,安全的需求从合规驱动和需求驱动发生联动反应。对企业而言:数据安全日渐成为核心业务系统体系运转的基石,基础设施安全则成为企业业务运转稳定的有力保障,网络安全的重要性已经毋庸置疑,通过历年案例和安全事件的分析,可以发现对整体安全行业来说数据安全已经成为网络安全行业聚焦点最高的一个细分领域。而对企业而言数据一直以来是重要生产资料,数据驱动业务决策也成为实践业务创新的核心手段。随着数据交易的常态化,勒索软件开发市场的规模化,数据衍生服务的体系化,在低成本高收益的诱惑下,企业的核心数据保护均面临着来自内外部的巨大风险。
当前数据泄露途径呈现出多元化和隐蔽化的特点,数据实战监控面临挑战。通过对国际国内重要数据泄漏案件从泄露数据类型、泄露人身份、泄露动机和泄露渠道等维度进行解读整理,还原泄露过程,识别关键因素,为了更精准的制定数据监控策略,更有效的落实数据安全防控一体化机制,提升数据安全防护的投入产出比提供支撑。
中国网络安全的2019年由漏洞披露、个人隐私、数据安全、关键基础设施保护、经济博弈、网络犯罪、国家安全等核心内容构成,个人隐私、贸易保护、数据安全与国家安全为2019年全球各国家网络安全相关政策法规的关注重点。网络安全已经深入到个人、企业、社会、政府等各个层面。
自2018年5月25日GDPR生效以来至2019年5月,欧洲经济区各国家监管机构共上报了206,326例案件,其中64,684件涉及数据泄露通知,共判处了约5600万欧元的行政罚款。如何确定数据的权属,如何合理的跨境流动,又如何在保护个人隐私的前提下,充分发挥数据的价值,仍将是国家在安全法规和执法管控上将要完善的内容。
表1《2019中国法规发布》
如下表格2《2019年攻击事件》,从摘选的事件可以看出,信息或数据泄露事件连年加剧。据风险数据公司RBS统计,仅在2019年前9个月的时间里,公开泄露事件已发生5183起(较去年同期增长33.3%),数据泄露条数达79亿(较去年同期增长112%)。原因非常简单,世界正在走向大数据、云和万物互联的数字化时代,而数字化的信息泄露程度加剧是常态。毫无疑问,2019年再次成为大规模信息泄露的又一年。根据整体数据,安全团队做了如下分析:
数据时代与数字世界的来临,信息数据已从资产保护对象成为重要的经济生产工具。数据安全面临的威胁前所未有,数据安全与身份安全保护的难度也将面临巨大挑战。
勒索软件攻击持续泛滥,多集中在地方政府、医疗、制造业等网络安全水平较低的行业。为了索取更大的经济利益,勒索软件会根据目标定制针对性的勒索软件。
电子邮件欺诈(BEC)这种基于社会工程学的攻击已经超出传统网络安全技术攻防的范畴
2019年堪称“网络安全罚款元年“。仅Facebook、Equifax、英国航空和万豪国际四家企业,因个人隐私与信息泄露的罚款金额就接近90亿美元(据统计,2019年国内网络安全市场规模约为600亿元左右)。
从近日土耳其黑客团队、藏独分子等叫嚣对国内视频系统、医疗系统等进行攻击,到委内瑞拉的大停电事件,伊朗导弹发射控制系统遭攻击瘫痪,意味着网络战争成为国家的标准手段,关键基础设施成为国家间网络战争的方向,而医疗更是关键基础设施的核心。
表格2《2019年攻击事件》
通过对国际、国内数据泄露类型进行了分类分析,发现泄露数据主要包含为5大类,分别是用户数据、客户数据、源代码、商业机密数据和政企涉密文件。5类数据在数据泄露判例中的占比如下图:
数据泄露类型分布图显示:
用户数据是数据泄露重灾区,占数据泄露35%,也符合地下产业链常见数据交易类型的特点,相关判例所涉及的数据泄露量均是百万或千万级的。此类泄露事件一经报道,被公众所知,对企业的声誉、客户满意度、市场占有量、股价以及企业合规都会产生极其负面的影响。此类案件攻击者往往是精准定向获取数据后卖给特定买家,交易极其隐蔽,难以追踪溯源。在数据经过脱库-洗库-撞库-制作字典等环节之后,失去其核心价值,便在黑市上进行交易,形成一条完整的黑色产业链。
通过对案例和样本中的数据泄露人身份角色角度进行了分类,发现泄露人员角色主要分为2大类7子类,一类是内部人员,一类是外部人员。其中内部人员又分为在职普通岗位、在职重要岗位、在职技术人员、待离职人员、离职人员;外部分为合作伙伴和黑客,不同角色在数据泄露中的分布如下图:
从泄露角色分布图可以看出,泄露的发生无外乎外部人员的主动攻击和内部人员的有意或无意泄露。其中数据泄露角色80%来自内部人员,外部人员中90%的攻击来源是黑客,黑客利用漏洞直接脱库,或者开展社会工程学攻击,获取高权限的账户直接对数据库进行操作,从而达到数据窃取的目的。外部人员中第三方合作伙伴也是最常见数据泄露角色,由于业务合作需要共享数据,而下游合作厂商的数据保护意识或数据保护能力存在偏差从而导致数据泄露,这也是近年来攻击者更愿意从数据产业链的下游发起攻击,从而窃取数据的原因。
内部在职人员造成的数据泄露呈现高速增长趋势,待离职员工和已离职员工造成的数据泄露大多都发生在求职阶段。无论是新东家要求夹带机密数据离职,还是员工自己主动留存窃取资料给自己增加谈判筹码,都会对原所在企业造成损失。另外近一两年随着互联网信息互通共享,合作者或者竞争厂商未经允许私自利用共享信息牟利的案例也呈增长趋势。
企业应在趋于完善的安全防护体系之上,强化内部数据保护宣导,加强特权账号管理、核心操作审计,提升内部用户行为分析、回溯能力。从流量、终端、应用各个方面建立预防为主,监控为辅的数据安全能力机制。
泄露动机主要有以下几类:牟利、不正当竞争/利用、公开/成名、增加求职筹码和误操作。泄露动机占比如下图所示:
牟利永远是数据窃取的最强原动力,在暗网交易平台,通过卧底和钓鱼发现驾照售价约为 170 美元、一套完整病历650美元一个制造完整的身份(一个由完整的 PHI 和一位死者其他的身份数据构成的身份)可以卖到 1000 美元。相比之下,信用卡号在黑市上只卖几美分。无论是窃取核心数据售卖获得直观的经济收益,还是拥有核心数据增加求职筹码的间接收益,总之有利可图才会使人铤而走险。
这三类动机(牟利、增加求职筹码、不正当利用)造成了80%的数据泄露案件。针对动机的发现和提前预判,可以通过员工网络流量,上网行为、数据操作行为偏差值综合判定,如员工近期大量浏览求职网站,可判断其有离职倾向,从而就可以调整安全策略,对该员工的某些数据访问操作采取以阻断防护、监控审计为主的数据防护策略。
剩余两成数据泄露案件大多是由员工误操作引起的,且越是技术人员的误操作所造成的影响和破坏越是严重。针对误操作,应尽可能在高权限用户的关键操作环节,增加复核审批手段。
泄露渠道是数据监控的重点环节。我们对判例样本中数据泄露的渠道进行了分类,发现泄露渠道主要包括:移动存储介质(U盘)、即时通讯工具(QQ/微信)、网盘类工具(百度网盘等)、邮件、拍照截图共5大类。数据泄露渠道分布如下图:
移动存储介质(U盘/移动硬盘/存储卡)占据近半壁江山,也符合其拷贝量大、传输速度快的特点。其次即时通讯、网盘类工具、邮件也常用于数据外发或数据备份,拍照常见于不能直接获取到此类数据,只具备查看权限的案例,例如拍取屏幕显示患者信息等。
目前对于数据泄露渠道的监控市面上均有成熟的产品和方案,无论是从终端上做文章(终端DLP、EDR、数字水印、透明文档加密),还是从网络流量或日志分析作为切入点(上网行为管理、邮件服务器审计日志),数据安全不应脱离于具体业务,需要与业务场景高度耦合。这些除了数据安全的基础能力建设之外,有一批懂运营会分析,服务意识强的安全人员,积极在企业内部推动数据安全的各项举措,从而构建有效(真正产生价值)的数据安全体系。
数据安全建设只是方式,不是结果。
知其然不如知其所以然,当你有效识别自身资产、资产重要性、面临的风险、适用的方法,那么,一切水到渠成。
马斯洛需求模型适用于企业对安全的需求,把握好企业的需求层级去进行安全建设,有的放矢。
(来源于: 张坤 土夫安全学院)
京公网安备11010102004565号