数据泄露典型判例分析报告.pdf

数据 泄露 典型 判例 分析报告 奇安信 集团 网络安全部 2019 年 12 月 17 日 主要观点 个人用户数据是 数据 泄露 的 主要类型 ，由此 导致了大量通信网络诈骗的泛滥 。 用户数据 泄露呈现 出数据量大，影响范围广的特点 。由于基础资源变现能力强 ,在 地下产业链 中 ， 用户数据 的交易 非常活跃 ， 成为数据泄露的重灾区。 数据 泄露 风险 主要来自于内部人员，而牟利是造成数据泄露的主要动机 。 内部人员 泄露 占数据 泄露 角色分布的 80%，而其中在职人员 占比 67.5%,离职人员占比 32.5%。内部人 员因其身份的合法性，是数据安全监控体系最具挑战的部分 。防范 内部 人员的 数据泄露， 技术上需要结合多种监控手段 ，外部情报 ； 管理上需要联动审计、人力资源、 法务等部 门，进行多方验证。 关键词： 数据，泄露，判例 ，监控 目 录 第一章 研究背景 . 1 第二章 泄露类型分析 . 2 第三章 泄露角色分析 . 3 第四章 泄露动机分析 . 4 第五章 泄露渠道分析 . 5 1 第一章 研究背景 近年来， 数据安全 已经成为 网络安全行业聚焦点最高的一个细分领域。 随着 “ 云大物移 智 ” 的快速发展，数据已 经成为 企业的重要生产资料，数据驱动业务决策也 成为 实践业务创 新的核心手段。随着数据交易的常态化，勒索软件开发市场的规模化， 数据衍生服务的 体系 化，在低成本高收益的诱惑下，政府，企业的核心数据保护均面临着来自内外 部 的 巨大 风险 。 当前 数据泄露途径呈现出多元化和隐蔽化的特点， 数据实战监控面临挑战。 为了更精准 的制定数据监控策略，更有效的落实数据安全防控一体化机制，提升数据安全防护的投入产 出比 ， 奇安信 集团 网络安全 部 以 中国裁判文书网（ ）自 2011 年 -2019 年 10 月发布 的所有 与 数据泄露相关的典型判例 （ 包含 侵犯公民个人信息 、 网络安全法 、 非 法 获取公民个人信息 等关键字 ） 的 150 份 裁判文书 样本数据，从 泄露 数据类型、 泄露 人身份、 泄露 动机和 泄露 渠道等维度对样本数据进行解读整理 ， 还原泄露过程，识别关键因素 。希望 此项研究能够 为 政企机构 数据保护 策略的制定 提供 一些 有价值的参考 。 2 第二章 泄露 类型分析 我们对判例样本 中 的 数据泄露类型进行了分类分析，发现泄露数据主要 包含 为 5 大类， 分别是用户数据、客户数据、源代码、商业机密数据和政企涉密文件 。 5 类数据在 数据 泄露 判例 中的 占比如下图： 数据泄露类型分布图 显示， 用户数据 是数据泄露重灾区， 占 数据泄露 35%，也符合地下 产业链常见数据交易类型的特点 ，相关判例 所涉及的 数据泄露量均是百万或千万级的 。 此类 泄露 事件 一经报道，被公众所知，对企业的声誉、客户满意度、市场占有量、股价以及企业 合规都会产生 极其 负面的影响。 在分析用户数据泄露这类事件时， 我们发现 攻击者 往往是 精准定向获取数据后卖给特 定买家，交易极其隐蔽，难以追踪溯源。在数据经过脱库 -洗库 -撞库 -制作字典等环节之后， 失去其核心价值，便在黑 市 上进行交易， 形成一条 完整的 黑色产业链 。 商业机密数据和政企涉密文件的泄露更多的是 企业或者政府单位。 这类事件造成的经 济损失是最大的 ，其次是声誉损失，导致公众满意度下降，客户对企业信任度下降。 政企机 构 的 客户数据泄露是近几年来 同类型 企业 在进行恶意 竞争 ，市场抢占 时 所关注的核心类资 源 。 任何一个在 企业 内部工作 的员工，或多或少都 能够 接触 到企业内部各种类型的数据 。 如 何 有效甄别数据敏感度，如何对不同敏感度数据实施差分保护，如何在不降低工作效率的前 提下控制访问权限，如何保证数据访问和操作均具备可审计性，这是数据安全防护建设需要 重点考虑的内 容。 3 第三章 泄露角色分析 我们对判例样本 中的 数据 泄露人身份角色角度进行了分类，发现泄露人员角色主要分 为 2 大类 7 子类，一类是内部人员，一类是外部人员。其中内部人员又分为在职普通岗位、 在职重要岗位、在职技术人员、待离职人员、离职人员 ； 外部分为合作伙伴和黑客，不同角 色在数据泄露中的分布如下图： 从泄露角色分布图可以看出， 泄露 的 发生无外乎外部人员的主动攻击和内部人员的 有 意或无意 泄露 。 其中数据泄露角色 80%来自内部人员， 外部人员中 90%的 攻击来源是黑客， 黑客 利用漏洞直接脱 库 ，或者开展社会工程学攻击， 获取高权限的账户 直接对数据库进行操 作，从而达到数据窃取的目的。外部人员中第三方合作伙伴也是最常见数据 泄露 角色，由于 业务合作需要共享数据，而下游合作厂商的数据保护意识或数据保护能力存在偏差从而导致 数据泄露，这也是近年来攻击者更愿意从数据产业链的下游发起攻击，从而窃取数据的原因。 内 部 在职人员 造成的数据泄露呈 现 高速增长 趋势 ， 待 离职员工和已离职员工造成的数 据泄露大多都发生在 求 职阶段 。 无论是新东家要求夹带机密数据离职，还是员工自己主动留 存窃取资料给自己增加 谈判 筹码，都 会对原所在企业造 成 损失 。另外近一两年随着互联网信 息互通共享，合作 者或者竞争厂商未经允许私自利用共享信息牟利的 案例也呈增长趋势。 企业 应在趋于完善的安全防护体系之上，强化内部数据保护宣导，加强特权账号管理、 核心操作审计，提升内部 用户行为分析、 回溯能力。从流量、终端、应用各个方面建立预防 为主，监控为辅的数据安全能力机制。 4 第四章 泄露动机分析 我们对判例样本 中的 数据 泄露动机进行了分类，发现泄露动机主要有以下几类：牟利、 不正当竞争 /利用、公开 /成名、增加求职筹码和误操作。泄露动机占比如下图所示 ： 牟利 永远是数据窃取的最强原 动力，无论 是窃取核心数据售卖获得直观的经济收益，还 是拥有核心数据增加求职筹码的间接收益，总之 有利可图才会使人铤而走险。这三类动机 （牟利、增加求职筹码、不正当利用） 造成了 80%的 数据泄露案件 。针对动机的发现和提前 预判，可以通过员工网络流量，上网行为、数据操作行为偏差值综合判定，如员工近期大量 浏览 求职网站，可判断其有离职倾向，从而就可以调整 安全 策略，对该员工的某些数据访问 操作 采取 以 阻断防护 、 监控审计为 主 的数据防护策略。 剩 余 两成数据泄露案件大多是由员工误操作引起的，且越是技术人员的误操作所造成 的影响和破坏越是严重。 针对误 操作，应尽可能在高权限用户的关键操作环节，增加复核审 批手段。 5 第五章 泄露渠道分析 泄露渠道是数据监控的重点环节 。 我们对判例样本 中 数据泄露 的 渠道进行了分类，发 现泄露渠道主要包括：移动存储介质（ U 盘）、即时通讯工具（ QQ/微信）、网盘类工具 （百度网盘）、邮件、拍照截图共 5 大类 。数据 泄露渠道分布如下图： 移动存储介质（ U 盘 /移动硬盘 /存储卡）占据近半壁江山，也符合其拷贝量大、传输速 度快的特点。其次即时通讯、网盘类工具 、邮件 也常用于数据外发或数据备份，拍照常见于 不能直接获取到此类数据，只具备查看权限的案例，例如拍照生产车间关键设备的参数数据。 目前对于数据 泄露 渠道的监控市面上均有成熟的产品和方案，无论是从终端上做文章 （终端 DLP、 EDR、数字水印、透明文档加密），还是从网络流量或日志分析作为切入点（上 网行为管理、邮件服务器审计日志），数据安全不应脱离于具体业务，需要与业务场景高度 耦合 。 这些除了数据安全的基础能力建设之外，有一批懂运营会分析，服务意识强的安全人 员，积极在企业内部推动数据安全的各项举措，从而构建有效（真正产生价值） 的数据安全 体系。