资源描述
nullnullnullnull中国政企机构数据安 全风险 研究报告 主要观点 公众对数据安全事件,特别是数据泄露事件的关注日益增强。 2019 年以来,在安全 内参收录的全球 420 起数据安全事件报道中,约 96.7%的事件为数据泄露事件。 由数据丢失、数据破坏所引发的生产安全问题也日益凸显。 2019 年以来,在奇安信安 服团队处置的 686 起与数据安全相关的应急响应事件中,约有六成的事件会导致数据丢失 或数据破坏。同时,这些事件约有一半左右发生在业务专网。 综合公开报道与应急响应事件分析来看,互联网、 IT 信息技术、政府和医疗卫生领域, 是数据安全事件多发的重灾区。而从网站安全漏洞来看, IT 信息技术与互联网等行业,被 报告的可能造成数据泄露风险的漏洞数量最多,潜在的数据安全风险最大。 实名信息的泄露 仍然是数据泄露事件的主角,但是,在过去两年间,人脸、指纹等生 物识别信息的泄露事件也开始受到越来越多的关注。这些信息不仅与用户行为等隐私信息 密切相关,而且一旦泄露,往往无法挽回。 数据安全事件常常会引发数字品牌的损失,此类事件中,约 90%与文化版权数据的盗 版有关。未来。数字版权保护问题必将受到越来越多的关注。 暗网是非法数据交易的重要平台。仅 2019 年 1 月至 2020 年 2 月,就有 6357 则交易信 息,约 11.7 亿条数据在某暗网交易平台上进行交易。其中,被交易最多的是棋牌、博彩、 娱乐城类账户信息 (43.4%) 和 券商、股民、理财、网贷类账户信息 (20.5%)。 安全分离学习技术将非常有助于解决数据隐私保护与数据价值挖掘之间存在的巨大矛 盾。这种技术秉承了由方滨兴院士提出的“数据不动程序动”、“数据可用不可见”的安全 理念。同时,科学的进行特权访问安全防护 将 更好的守护企业的数据大门,守护核心资产 在数据泄露事件中,内鬼盗卖和供应商泄露等问题值得特别关注。 摘 要 据统计 2019 年 1 月 -2020 年 8 月,安全内参共收录全球政企机构重大数据安全报道 420 起,其中 2019 年 286 起, 2020 年 134 起( 1-8 月); 数据泄 露相关安全事件高达 406 起, 占 96.7%。 2019 年 1 月 -2020 年 8 月,全球政企机构重大数据安全事件中, 19.3%为互联网行业; 14.0%为 IT 信息技术行业; 10.7%为政府机构事业单位。 从政企机构重大数据安全事件发生的原因来看,四成安全事件是由于外部攻击导致的, 但也有 14.0%的事件是由于内部人员违规操作。 13.1%的重大数据安全事件是由于合作 伙伴泄漏(主要指供应商和服务商)。 2019 年 1 月 -2020 年 6 月,安服团队参与和协助处置 的涉及 数据 安全的 事件共 686 起 , 占应急响应处置事件总数的 49.1%。 从损失类型来看,涉及到数据安全事件的 686 起应 急响应中,造成数据丢失的事件有 254 起,占 37.0%,排名第一 在涉及到 数据 安全事件 的政企机构中,政府 机构事业单位 是应急响应 处置的数据安全 事 件 最多的 行业 , 为 169 起, 其次是 医疗卫生行业 ,为 118 起 ; 公检法行业 ,为 48 起 。 2019 年 1 月 -2020 年 7 月, 天际友盟的数字品牌保护服务 团队 , 共参与和协助处置涉及 到 数据安全类的 事件 93 起 ,涉及 文化版权数据盗版、知识付费数据泄漏、文档数据泄 漏和代码数据泄漏四大 数据泄漏风险类型。 数据泄露的原因多种多 样,根据天际友盟应急响应 服务中的统计,造成数据泄露的常见 原因主要为第三方(供应链)泄漏,占比 30.1%。 2020 年 1 月 -2020 年 8 月 ,补天平台共收录的网站漏洞 31965 个 , 其中 可导致 数据泄露 问题 的网站漏洞 3173 个,占 9.9%。 从行业分布来看, 15.0%厂商为 IT 信息技术行业, 排名第一,其次为互联网行业,占比 13.7%;制造业占比 12.9%。 从 某暗网交易平台 上 , 我们抽样 收录了 2019 年 5 月 -2020 年 2 月 以来 发布 的 6357 则 交 易信息 约 11.7 亿条 可交易 数据 , 其中售卖内容最多 、成交量最大 的 均 为 棋牌、博彩、 娱 乐城类 账户信息 ; 泄漏途径多来自于 黑客渗透 +“拖库”的方式 (13.6%) 关键词 : 数据安全 、 网站漏洞 、 应急 响应 、 补天 、 数字品牌保护 、 暗网 、 数据泄露 、 目 录 主要观点 .2 摘 要 .3 研究背景 .6 第一章 综述 .7 一、 全球公开数据安全公开事件分析 . 7 二、 国内数据安全应急响应事件分析 . 9 三、 数字品牌安全事件分析 . 11 四、 国内网站潜在数据泄露风险分析 . 13 五、 全球数据安全现状 . 14 第二章 网络数据非法交易 . 15 第三章 数据安全典型案例 . 19 一、 行政执法典型案例 . 19 二、 数据安全事件典型案例 . 20 三、 数字品牌安全事件典型案例 . 26 第四章 数据安全保护的新技术与实践 . 31 一、 安全分离学习技术 . 31 二、 特权访问安全防护 . 36 附录 1 全球数据安全公开事件案例集 . 41 附录 2 奇安信行业安全研究中心 . 44 附录 3 奇安信集团安服团队 . 45 附录 4 补天漏洞响应平台 . 46 附录 5 奇安信安全监测与响应中心 . 47 附录 6 奇安信数据安全子公司 . 48 附录 7 关于 天际友盟数字品牌保护 . 49 研究背景 近年来,数据已成为产业发展的创新要素,不仅在数据科学与技术层次,而且在商业 模式、产业格局、生态价值与教育层面,数据都能带来新理念和新思维。大数据与现有产 业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展 现出广阔的前景,使得生产更加绿色智能、生活更加便捷高效,逐渐成为企业发展的有力 引擎,在提升产业竞争力和推动 商业模式创新方面发挥越来越重要的作用。 一些信息技术领先企业向大数据转型,提升对大数据的认知和理解的同时,也要充分 意识到大数据安全与大数据应用也是一体之两翼,驱动之双轮,必须从国家网络空间安全 战略的高度认真研究与应对当前大数据安全面临的复杂问题。如:数据安全保护难度加大、 个人信息泄露风险加剧等。 数据技术时代,数据成为业务发展核心动力,也成为黑客的主要目标。对于数据拥有 者来讲,数据泄露几乎等同于经济损失。在开放的网络化社会,蕴含着海量数据和潜在价 值的大数据更受黑客青睐, 近年来也 频繁 爆发 信息 系统 邮箱账号 、社保 信息、银行卡号等 数据 大量被窃的安全事件 。分布式 的系统部署、 开放的 网络环境 、 复杂的数据应用 和众多 的 用户访问, 都使得 大数据 在保密性 、 完整性 、可用性等 方面面临更大 的挑战。 为更加充分的研究政企机构数据安全风险,奇安信行业安全研究中心联合天际友盟、 补天漏洞响应平台、奇安信安服团队、奇安信安全监测与响应中心、奇安信数据安全子公 司针对政企机构数据安全状况及风险展开深入研究。 研究分别从公开事件、应急事件、网站漏洞、暗网、数字品牌风险等几方面,针对数 据安全(包括数据泄露、数据篡改、数据破坏等)展开深入的研究。希望该项研究能够对 全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。 第一章 综述 一、 全球公开 数据安全公开事件 分析 本篇报告中所提到的数据安全事件,多指代数据泄漏、数据篡改、数据破坏等情况。 (一) 全球 数据安全事件 综述 近年来, 全球政企 机构均 发生了 大量 的重大 数据 安全相关 事件 ,据统计 2019 年 1 月 - 2020 年 8 月, 安全内参共收录 全球政企机构重大数据安全报道 420 起 , 其中 2019 年 286 起, 2020 年 134 起( 1-8 月) 。其中数据泄露相关 安全 事件 高达 406 起,占 96.7%。 (二) 数据安全事件行业分类 2019 年 1 月 -2020 年 8 月,全球政企机构重大数据安全事件中, 19.3%为互联网行业; 14.0%为 IT 信息技术行业; 10.7%为政府机构事业单位。 下图给出了 2019 年 1 月 -2020 年 8 月全球政企机构重大数据安全事件所涉及到的十大 行业分布。 (三) 数据安全事件的发生原因 从 2019 年 1 月 -2020 年 8 月,政企机构重大数据安全事件发生的原因来看,四成安全 事件是由于外部攻击导致的,但也有 14.0%的事件是由于内部人员违规操作 。 13.1%的重大 数据安全事件是由于合作伙伴泄漏(主要指供应商和服务商)。 内鬼作案是数据安全事件 发生的重要途径。我们不仅要 防外也要防内,做好数据操作的 审计,防止非授权信息读取,防止越权的敏感信息读取,包括一些过度的数据读取其实也是 一种泄露,比如 : 在办一些业务的时候本来只用知道该用户的姓名、性别及年龄,但是在相 关资料上还能看到 其 联系方式 、 工作单位等信息,这样的过度读取或者暴露个人信息的行为 也不合适。 (四) 数据安全事件的影响 根据 数据的敏感度, 我们 把 政企 机构泄露 的信息划分 为以下几个类型 : 1)实名信息:如姓名、电话、身份证、银行卡、家庭住址等信息。 2)帐号密码:如各类网站登录帐号密码、游戏帐号密码、电子邮箱帐号密码等。 3)保单信息 : 如保单号、保险信息、车险信息等 。 4)行为记录:如聊天记录,购物记录、差旅信息等。 5) 机密文件: 如 财务信息、 合同 信息 、风险投资 信息等。 6)人脸指纹:如人脸照片、指纹信息等。 从 2019 年 1 月 -2020 年 8 月 全球 重大 数据 安全 事件 发生 的 主要类型 来看, 32.4%的 事件 涉及 实名信息 数据 ; 13.1%的 事件 涉及行为记录 ; 12.9%的事件 涉及账号密码 。 值得一提的是, 涉及人脸指纹的数据安全事件占比 3.6%,智能识别越来越便利,使得更多的人脸指纹安全 问题暴露出来。 二、 国内数据安全应急响应事件分析 通常来说,应急响应泛指安全技术人员在遇到突发事件后所采取的措施和行为。而突发 事件则是指影响一个系统正常工作的情况。这里的系统即包括主机范畴内的问题,也包括网 络范畴内的问题,例如:黑客入侵、信息窃取、拒绝服务攻击、网络流量异常等。 本节 主要根据安服团队应急响应现场处置 时 ,涉及到的 政企机构 数据丢失 、 敏感数据泄 露 、数据篡改以及数据破坏等相关 事件 (下文 统称为 数据 安全 事件 ) 进行分析。 (一) 数据安全事件的应急 响应 2019 年 1 月 -2020 年 6 月,安服团队共为全国各地多家大中型政企机构,提供了网络安 全应急响应服务,参与和协助处置各类网络安全应急响应事件 1396 起 。其中,涉及到 数据 安全 事件共 686 起 ,占应急响应处置事件总数的 49.1%,近半数的应急相应服务与数据安全 相关 。 (二) 数据安全事件的类型 从损失类型来看,涉及到数据安全事件的 686 起 应急响应中,造成数据丢失的事件有 254 起,占 37.0%,排名第一;造成数据破坏的事件有 156 起,占 22.7%,排名第二;其次 为数据篡改( 78 起, 11.4%)、数据泄露( 53 起, 7.7%)。具体分布如下图所示。 从失陷区域来看, 48.3%的数据安全事件影响业务专网;其次为办公终端( 19.1%);内 部服务器、数据库( 13.8%)与外部网站、内部网站( 10.1%)。具体分布如下: (三) 数据安全事件的行业分布 在涉及到 数据 安全事件 的政企机构中,政府 机构事业单位 是应急响应 处置的数据安全 事 件 最多的 行业 , 为 169 起 , 其次是 医疗卫生行业 ,为 118 起 ; 公检法行业 ,为 48 起 。 下图给出 了部分关键行业 应急 响应 数据泄露事件 的情况 。 三、 数字品牌安全事件分析 随着现代企业的数字化进程,对数字风险防护管理的需求,正与日俱增。企业的数字 足迹、数字资产甚至高管的个人形象,都有可能成为攻击目标。保护关键数字资产与数据 免受外部威胁,提升在线业务运营稳健性,其价值毋庸置疑。 根据 Gartner发布的 2020的 新兴数字风险与安全新趋势 报告中的第六种新型趋势, 消费者正通过越来越多的触达点来与品牌互动,从社交媒体到零售。消费者在触达点的安 全感受程度会成为商业差异。这些触达点的安全性,通常由不同团队管理,各自运营并关 注着不同的业务单元。不过,企业正在逐步建立跨职能的信任与安全 团队( trust and safety teams),以洞察整体互动过程,保障消费者与企业品牌互动时每一步的基本安全。 数字品牌保护服务, 正式在这一数字风险的新趋势下诞生。所谓数字品牌保护, 是指 通过持续自动监测互联网存量数据和流量数据,及时发现存在的钓鱼仿冒、 品牌与 知识产 权侵权 、数据与版权泄露、威胁误报等数字风险 ,并通过高效的处置、下线等关停措施, 实现对网络欺诈和未经授权的品牌滥用的有效打击,帮助企业保护数字化的品牌价值。 自 “DBP 数字品牌保护 ”服务推出以来 , 天际友盟为近百家不同领域的企业和机构提供 品牌保护 服务 ,通过智能的监控和快速处置,降低企业面临的品牌欺诈 和数据泄露危害 , 维护 企业 数字品牌价值。 在企业面临的数字品牌风险中,数据相关的安全风险因其敏感性和业务价值,尤为特 殊关键。 2019 年 1 月 -2020 年 7 月, 天际友盟的数字品牌保护服务 团队 , 共为全国各地多 家大中型政企机构,提供了 风险监测与 应急响应 处置 服务,参与和协助处置各类网络安全 应急响应事件。 本服务阶段中, 涉及到 数据安全类的 事件共 93 起 ,涉及 文化版权数据盗版、 知识付费数据泄漏、文档数据泄漏和代码 数据泄漏四大 数据泄漏风险类型。 其中, 文化版 权数据盗版类又分为四个子类型,具体分布如下图所示: 由上图可知, 文化版权数据盗版 类风险占处置总量的 89.2%。 文化版权数据盗版 一般 指影视文创类文化作品,如电影、音乐、图像等,具 有 独立文化 版权 的特定数据类型的泄 露。文化版权因为受众广泛,一直是黑产热衷的窃取目标,会遭到离线 盗 取 或 在线 盗播 等 形态的攻击,形成数据泄露的事实和商业损害。 另外,知识付费类数据泄漏占处置总量的 7.5%。随着互联网的发展, 知识已经成为一 种付费商品,会以文字、新品、视频等数据形态表现,以讲义、课件、培训等方式展示,为 广大消费者所使用,也因其独有的价值,会被盗取并二次分发泄漏,在各类平台上散播, 给企业带来商业损失。知识付费数据泄露即指此类数据的泄露。 数据泄露的原因多种多 样,根据天际友盟应急响应服务中的统计,造成数据泄露的常 见原因主要为 合作伙伴 泄漏,占比 30.1%,具体分布如下图所示 : 四、 国内网站潜在数据泄露风险分析 网站漏洞是当前 的网络安全 威胁之一,已对 政企机构 造成 诸多 危害 , 比如 :数据库数据 泄露、网页篡改、网页被挂马、 服务器 被恶意操作 等 。 本 节 将以补天平台 2020 年 1 月 -2020 年 8 月 收录的可导致数据泄露的漏洞为基础,对 补天平台网站漏洞对数据安全的威胁 进行简单 分析 。 2020 年 1 月 -2020 年 8 月 ,补天平台共收录的网站漏洞 31965 个 , 其中 可导致 数据泄露 问题 的网站漏洞 3173 个,占 9.9%。 从行业分布来看,补天平台收录的可导致数据 泄露 问题相关漏洞中, 15.0%厂商为 IT 信 息技术行业,排名第一,其次为互联网 行业,占比 13.7%;制造业占比 12.9%。具体 TOP10 分布如下图所示。 需要说明的是 ,政府 、 金融 和医疗 等行业漏洞涉及的信息多数为实名制信 息, 其泄漏影响可能会更大 。 五、 全球数据安全现状 随着经济与社会的数字化转型逐步深化,数据对提高生产效率的倍增作用日益凸显,已 经 成为最具时代特征的新型生产要素。当前,大数据、云计算、人工智能等 新一代信息技术 与人类的生产生活深度的融合,数据爆发式增长,海量集聚,大数据发展日新月异,对我们 经济社会的发展产生了深远的影响。 与此同时,数据安全问题也愈发严重。系统被加密勒索、巨大数量的数据泄露、财务数 据被曝光、敏感信息被买卖等事件在公开报道中比比皆是,甚至是人脸指纹信息也岌岌可危, 这些都给社会带来了极大的冲击。 例如,某 酒店预订 系统 被黑,导致 3.8 亿条 数据泄露; 11.9 亿份敏感信息医疗图像 暴露 在互联网 ;瑞典六年间 270 万医疗通话记录泄露,内容包含社会保险号; 教育机构办公电脑 因被加密勒索,导致无法正常教学 从全球数据 安全事件发生原因来看,外部黑客攻击是数据安全事件发生的主要原因之一, 如:利用弱口令爆破攻击篡改数据 、有组织的 窃取 数据 、 使用 勒索病毒 进行数据破坏等 。其 次为内部威胁, 14%的数据安全事件是由于内 部人员违规操作或内鬼泄露。可见,做好数据 安全不仅要防外也要防内。 同时,随着人脸识别和 AI 技术的飞速发展,人脸指纹相关数据 的安全问题也应受到重视。从行业分布来看,主流媒体公开报道的大事件 中 , 19.3%的数据 安全问题来自互联网行业,排名第一,其次是 IT 信息技术;政府机构事业单位排名第三。 总体而言,在国家鼓励促进数据技术和数据市场发展创新的同时,如何对承载数据的网 站、系统和基础设施加强安全保护,如何对数据的收集、存储、开发、利用、共享 等行为进 行规范管理,以保障相关数据 主体 的利益,维护个人权益、商业利益和公共利益,维护城市 安全和国家安全,也成为现今社会的一个严峻考验。 第二章 网络数据非法交易 “ 暗网 ” ( Darknet 或 DarkWeb)指只能通过特殊软件、授权或对电脑作特别设置才能访 问 的 ,在流行的搜索引擎上无法查到的特殊网络。这种特殊网络的服务器地址和数据传输通 常都是 “ 隐身 ” 的,难以通过常规技术手段查找检索, “ 暗网 ” 成员的相互联络具有极端私 密性,一般技术手段很难拦截,即便拦截也难以破译。 暗网由于自带“隐身”属性,成为了大多数犯罪份子的主要集中地。很多被黑客窃取或 者公司内鬼泄漏的数据一般都会在暗网出售。总体来讲,暗网虽然在网络规模上,跟明网相 比要小得多,但大多数非法信息交易都集中在暗网。 从 某暗网交易平台 上 , 我们抽样 收录了 2019 年 5 月 -2020 年 2 月 以来 发布 的 6357 则 交 易信息 约 11.7 亿条 可交易 数据 ,及交易情况。本章 将 对暗网上非法数据 的交易 情况进行总 结 和简要 分析 。 基于对暗网市场近四个月数据买卖贴进行的分析与调研,我们得出经常于暗网上被交易 的数据类型及规模的结论: (一) 暗网信息售卖内容分布 由以上图表可知,暗网上所出售的五类最常见的数据为: 1. 棋牌、博彩、娱 乐城类 账户信息 (43.4%) 2. 券商、股民、理财、网贷类 账户信息 (20.5%) 3. 公民个人 信息 等实名信息 (9.5%) 4. 企业、 员工实名信息 (4.1%) 5. 电商类网站、 APP 数据 等行为记录 ( 1.6%) (二) 暗网交易信息成交量分布 由以上图表可知,最受暗网买家欢迎的五类数据是: 1. 棋牌、博彩、娱乐城类 账户信息 (62.5%) 2. 券商、股民、理财、网贷类 账户信息 (20.2%) 3. 公民个人 信息 等实名信息 (3.5%) 4. 车主类 实名 信息 (3.0%) 5. 投资理财类网站、 APP 数据 等行为记录 (1.8%) (三) 暗网交易数据规模分布 (注:未标明具体条数的信息未纳入统计范围) 由以上图表可知,于暗网上售卖的数据量最大的五类数据为: 1. 电商类网站、 APP 数据 等行为记录 (17.2%) 2. 公民个人 信息 等实名信息 (11.2%) 3. 棋牌、博彩、娱乐城 类账户信息 (10.3%) 4. 券商、股民、理财、网贷类 账户信息 (3.1%) 5. 车主类 实名 信息( 1.0%) (四) 暗网交易泄漏途径分布 由以上图表可知, 82% 的交易贴并未说明卖家是经何种方式窃取了被出售数据。 经过对说明了数据窃取途径的交易贴进行统计发现,最常见的窃取手段为: 1. 黑客渗透 +“拖库”的方式 (13.6%) 2. 内鬼主动泄露 (2.9%) 第三章 数据安全典型案例 一、 行政执法典型案例 (一) 某医院两护士贩卖产妇和新生儿信息被刑拘 2019 年 4 月,某市公安局下属地区网安大队成功侦破一起侵犯公民个人信息案。经调 查为母婴摄影店提供信息的“上线”是该市某医院的两名护士。网安大队随后将贩卖公民个 人信息的关某、张某成功抓获,二人对利用职务便利,获取产妇及新生儿信息贩卖给周某并 从中获利的犯罪事实供认不讳。关某、张某已被依法刑事拘留, 对周某予以行政处罚。 (二) 某证券公司未按规定制定网安制度被非法侵入 2019 年 4 月,某证券投资咨询有限公司计算机信息系统被人非法侵入,被窃取并泄露 公民个人信息上万条。当地网安大队立即启动“一案双查”机制,对该公司进行现场检 查,包括公司内部安全管理制度和防范计算机病毒、网络攻击的技术措施落实情况、日志 留存情况等,发现该公司未按规定制定网络安全制度。 2019 年 6 月,公安分局依据网络 安全法第二十一条、第五十九条之规定,对该公司处以行政警告处罚。 (三) 某机关党建网页面跳转赌博网站被查 2019 年某党政机关开设的党建网未落实网络安全管理制度和技术保护措施,导致遭黑 客攻击入侵,网站页面跳转为赌博网站,致使党建网无法正常运行访问而被迫关闭。警方 在黑客攻击入侵行为开展立案调查的同时,依法对该单位未履行网络安全保护义务开展查 处。 2019 年 4 月,警方依据网络安全法第 21 条、第 59 条规定,对该单位予以警告, 并责令其限期整改,落实网络安全等级保护制度。 (四) 机构制度不完善使用户被劫持至违法网站 2019 年 2 月,接有关部门通报,境内 400 多万台家用路由器 DNS 地址被篡改至某省多 个 IP 地址,造成用户访问部 分网站时被劫持至涉黄涉赌网站。经初查,相关 IP 地址涉及 当地两家互联网数据中心。警方启动“一案双查”工作机制,发现两家数据中心存在应急 处置制度不完善、部分网络日志少于 6 个月、为部分未提供真实身份的用户提供接入服务 等违法行为。 2019 年 5 月,警方依据网络安全法第 21 条、第 24 条、第 25 条规定, 对两家互联网数据中心予以警告,责令停止部分接入服务业务。 (五) 某应用导航系统遭黑客攻击 某智慧便民服务有限公司建设运营的应用导航系统,遭黑客攻击破坏造成不良影响。 经查,该公司未落实网络安全等级保护制度,未制订网络安全事件 应急处置预案等。 2019 年 7 月,当地警方依据网络安全法第 21 条、第 25 条、第 59 条规定,对该公司予以罚 款 5 万元,对公司主管人员予以罚款 2 万元,责令限期整改,落实网络安全等级保护制 度。 (六) 某医疗美容医院网站挂色情信息被处罚 2019 年 3 月,某市某医疗美容医院将门户网站托管在该市一家第三方公司,因未采取 任何安全防护技术措施导致黑客用暴力破解方式获取了该网站后台管理权限并在其官方网 页发布色情信息,造成不良社会影响。当地警方依据相关法律规定对该医疗美容医院予以罚 款 1 万元人民币的行政处罚,并要求限期整改到位。 (七) 某学院图书馆因页面被篡改遭处罚 2019 年 1 月,某学院图书馆因网络安全责任意识淡薄、联网备案制度和网络安全等级 保护制度落实不到位,导致“移动图书馆馆藏书目查询平台”的页面被攻击篡改。当地公安 分局网安大队依据网络安全法第五十九条,对该学院作出罚款 80000 元,对直接负责的 主管人员作出罚款 10000 元的处罚 ;依据计算机信息网络国际联网安全保护管理办法第 二十三条,对学院“移动图书馆馆藏书目查询平台”未履行备案职责,作出停机整顿六个月 的处罚。 二、 数据安全事件典型案例 (一) 某市医药公司 OA 系统失陷,造成数据泄露 2020 年 3 月,安服团队接到某市医药公司应急请求,公司 DMZ 服务器出口地址存在外 联行为。应急人员经过排查分析,发现对外攻击的 IP 为该公司内网 OA 系统的出口地址 IP, 因为其开启了 3389 端口,被远程登录并植入木马文件,以便执行系统命令;利用 OA 系统 漏洞后门上传任意文件,写入恶意木马对外网发起异常连接,进行数据传输。 应急人员及时增强了设备权限管理,对敏感目录进行权限设置,限制上传目录的脚本权 限;部署安全加固软件,开启防爆破功能,禁用危险端口,禁止服务器主动发起外部连接请 求,在出口防火墙加入相关策略。 (二) 员工违规上传账号信息, 致内网 20 多台机器受感染 2020 年 2 月,某客运公司天眼系统监测发现,公司内部环境中有多达 20 余台服务器出 现失陷告警,遂向安服团队发出应急救援请求。应急人员现场分析发现,该公司的人力资源 服务器与财务服务器均已被植入后门软件。 进一步调查显示,导致该事件发生的原因,是某员工违规使用 GitHub,导致其内网办 公账号信息泄露。攻击者使用该员工帐号登录公司内网,并利用服务器系统漏洞入侵到人力 资源服务器,并横向扩展,在包括人力、财务等服务器在内的 20 余台服务器上植入木马, 窃取服务器上的内部数据。 应急人员对系统配置、系统漏洞、安全日志以及安全策略情况进行落实检查;安装补丁 修复漏洞;为服务添加了密码验证及权限管控策略;并配置了 VPN 登录的双因子认证。 (三) 某 政府机构 数据库服务器数据泄漏 2020 年 2 月安服团队接到某政府单位的应急请求,该单位发现网上出现了一些单位内 部的敏感信息,请求安服团队进行核查确认,是否发生数据库泄露情况及黑客攻击行为。 应急人员与数据库服务运营商沟通后了解到, MongoDB 数据库服务器 端口暴漏在公网 , 且 没有设置密码,可随意登陆数据库 。之后应急人员采集相关的服务器系统日志、安全日 志 和应用日志进行问题确认,发现了多个公网 IP 曾经 对 服务器 远程连接, 进行登录。 应急人员随后对系统进程、系统服务、系统登陆痕迹、系统计划任务、网络端口监听状 态等详细分析,未发现被植入病毒木马行为,可以确定服务器本身没有被黑客破坏迹象,仅 是利用上述漏洞进行了远程的访问连接。 最后应急人员对该服务器及关联服务进行了下线处理,之后进行的系统重装,并对服务 器安装 安全补丁 和 防病毒软件 ;为 MongoDB 数据库设置口令,且配置 MongoDB 数据库 只 能由 特定网段访问 避免任意账号进行登录访问,避免任意账户访问和 恶意流量攻击 。为 了更全面 的防止此类事件发生, 对已知资产做全盘梳理,对内网其它服务排查类似问题 ; (四) 某地大数据局数据泄露 2020 年 4 月某地公安机关逮捕一名犯罪分子,犯罪分子招供曾入侵某大数据局获取敏 感信息,之后联系安服团队对该数据局进行现场排查,确定事件及进行安全防护。 应急人员到达现场后进行排查,发现该单位办公电脑存在漏洞补丁不更新,云服务器存 在系统漏洞等情况。并且多个服务器被攻击者进行爆破登录,密码口令已经被攻击者掌握。 与公安机关提供的相关信息吻合,确定了该事件。 应急人员对各个服务器账号密码进行了重置,培训相关工作人员加强系统口令管理,要 求设置为包含大小写字母、数字、特殊字符、 15 位以上强口令 ,并且定制修改。对办公电脑 和服务器安装了最新的补丁和安全软件,封堵漏洞。对安全设备进行了重新部署,可以获得 更多安全信息,发现可疑攻击及时报警。 关闭或逻辑控制 135、 139、 445、 3389 等高危端口 , 避免远程登录。 (五) 某公司内部人员盗取机密信息 2020 年 7 月,某公司被上级部门通报,发现数据泄露事件。之后联系安服团队进行排 查确定具体原因。 应急人员经过和公司相关人员进行沟通交流 及系统排查,确认该事件是一起恶性信息泄 露事件。有内部人员违规使用一款名为“ XX 控控”的硬件,将该硬件插入到内网的个人主机 后,在外网通过此硬件的 APP 远程控制该主机,远程操作被控主机访问内部重要敏感系统, 获取机密数据,造成信息泄露。 根据流量设备的记录,发现被控主机访问了 30 余个系统, 有的系统 甚至 被访问了上万次。 应急人员通过安全管控软件,禁止了该设备进入公司办公电脑和网络,防止此类事件再 次发生。对公司重要的系统进行访问控制设置, 禁止 无关人员访问敏感系统。 (六) 某公司邮件信息泄漏 2020 年 5 月 某公司 接收到上级单位 通报 , 发现 有部分邮件信息数据被泄露,需要针对 泄露点进行排查溯源 ,于是请求安服团队进行排查。 应急人员对该公司的流量信息、邮件客户端、邮件服务器进行了排查,未发现漏洞和入 侵痕迹。初步判断被黑客攻击邮件系统和服务器的可能性较低,转为针对邮件账号进行分析。 发现某个邮件账号存在异常登录和附件下载行为。经过进一步排查,原来早在 3 月份,该账 号员工收到了钓鱼邮件,被骗取了邮箱账号和密码,从而造成了邮箱内的相关信息被泄露出 去。 应急人员之后封禁了攻击者的 IP 地址,对受害账号进行了密码重置,配置了强口令的 密码, 防止其再次登录该账号。并且为公司开展了邮件安全的安全意识培训,提升其安全意 识。 (七) 某大学网站数据泄露事件 2020 年 5 月,国内某大学发现本校的敏感数据被国外安全研究人员在社交网站上披露 有数据泄露风险,因此请求安服团队进行排查,确定系统安全问题。 应急人员结合后端分析综合研判, 该服务器上部署且对外网开放的应用为 Elasticsearch,而 其 常因配置不当导致未授权访问 。结合国外研究人员披露的漏洞和安全 分析内容。应急人员编写程序进行测试,果然发现存在未授权即可访问敏感数据的情况,确 定了此问题的存在。 后续应急人 员修改了 Elasticsearch 应用的配置,封堵了漏洞,消除了该隐患。 (八) 某卫生机构网站数据库被篡改 2020 年 3 月,某地卫生机构的网站被上级部门通报存在后门程序,请求安服团队进行 排查,确定是否发生安全问题,并进行清理恢复。 应急人员通过与网站运维人员沟通,了解到该网站托管在第三方公司,部署方式为虚拟 机,通过 FTP 对网站的代码、数据库进行维护 。应急人员通过排查后门文件,发现在 2 月份 对网站数据库进行了篡改,又通过 Webshell 查杀工具 找到了其他后门程序,排查发现最早 的程序于 2019 年 10 月就已经被植入。通过对其他恶意程序的分析,发现 该单位应用 系统存 在漏洞,导致被攻击。 应急人员通过备份数据还原了数据库,将恶意后门进行清除。通过日志分析,找到了攻 击路径和系统漏洞,从而进行彻底的修复,封堵了攻击者的进入路线。 (九) 某网站泄露大量公民个人信息 2019 年 3 月,某政府单位的网站被上级部门通报,发现存在公民隐私信息泄露隐患, 请求安服团队进行现场排查,确定信息泄露情况和制定缓解、保护措施。 应急人员与网站运维人员沟通,确定该数据存放在本地数据库服务器中,通过对 web 访 问日志分析 ,发现 该单位应用 系统存在 web 漏洞,攻击者通过漏洞登入服务器,之后实施数 据拖取的恶意活动,确定数据已泄露。 应急人员 对数据查询接口进行封禁,防止未授权的访问,导致数据持续泄露 。针对网站 系统进行一次完整深入的渗透测试,封堵漏洞和隐患,保证数据不再次泄露。 (十) 某企业多台云桌面主机遭遇勒索病毒 2020 年 4 月某公司发现多台云桌面主机遭遇 Sodinokibi 勒索病毒 攻击 ,主机文件全部 被加密,且该病毒有最高权限 ,可以关闭主机 自带 的 杀毒软件,导致防护失效,从而导致恶 意木马运行。 事件发生后,该公司立刻请求安服团队进行排查,查找入侵途径,清除病毒。 应急人员经过对主机排查和日志分析发现,由于云桌面主机存在漏洞,防火墙与杀毒软 件的防护策略配置缺陷和员工安全意识不强,导致攻击者从云桌面模块入侵内网。攻击者首 先通过钓鱼邮件成功在一台主机上安装木马软件,之后植入勒索病毒。由于该勒索病毒可以 通过高危端口或共享功能传播到其他云主机,导致继续扩算 ,更多的主机被加密。 应急人员将中毒主机进行下线隔离,加强访问控制 策略, 关闭不必要的远程访问与共享 协议。 (十一) 某数据中心遭遇勒索病毒 2020 年 5 月,某地云数据中心发现相关文件被勒索病毒加密,导致基层医疗管理系统 服务器桌面存在提示文件和告示信息,业务系统无法正常工作。 应急人员到达现场后,通过基层医疗管理系统的服务器相关安全日志分析发现,在勒索 事件发生前,多个可疑 IP 通过暴力破解 RDP 远程 桌面 ,使用 administrator 账号成功 登录 其中一台服务器,在通过此服务器作为跳板,进入到了医疗管理系统的多台服务器,之后人 工植入勒索病毒,最终共排查出 48 台服务器被攻击。并且在整个排查中,发现服务器中还 有挖矿病毒存在。 应急人员对感染服务器进行下线处理,全面进 行杀毒。重置所有服务器、系统的账户密 码,对每台服务器设置唯一口令,禁止口令重用的情况出现。开启 Windows 防火墙,尽量关 闭 3389、 445、 139、 135 等不用的高危端口;操作系统 更新 补丁,特别是针对 MS17-010 的 补丁和 KB 2871997 补丁 。 (十二) 某地人社局遭遇勒索病毒 2020 年 6 月,某地人社局上午发现大量办公电脑遭遇勒索病毒,无法正常工作。随即 联系安服团队,进行排查和恢复业务。 应急人员通过系统和日志排查,发现在事件发生前一天 , 就有一台主机被勒索病毒攻击, 但因为 无人发现, 病毒 开始快速蔓延。从勒索 信内容和加密文件后缀格式分析来看,此勒索 病为 于新型勒索 病毒 Attention。在对一台主机分析后发现, 在凌晨等非工作时段, 存在大 量的 IPC 弱口令 爆破行为 ,之后使用 RDP 远程桌面登录,人工植入病毒。由于多个主机之间 使用高危端口进行通信,且账号名和密码均一样或同样使用弱口令,导致大范围传播。 应急人员将中招主机下线进行隔离,将各个主机密码进行了重置,避免了弱口令现象。 检查被攻击网段的所有主机补丁修补情况,打上必要的补丁。关闭 445、 139、 135、 3389 端 口,以及可供 RDP 登陆的端口 。 (十三) 某税务局数据库因操作不 当险被篡改 2019 年 3 月,某税务局数据库管理员在巡检时发现核心查询库出现日志告警。请求安 全团队现场排查数据库服务器、确定攻击威胁,并进行缓解和防护。 应急人员到达现场后,对发生告警的服务器进行排查,发现 该事件并非真正的定向攻 击或非法入侵类安全事件, 而是 因操作不当 所 引发感染病毒事件。本次事件为 PL/SQL Developer 攻击事件。由两位使用该软件的 相关 人员,在互联网下载了被恶意篡改的所谓 绿色软件引起,由于两位相关人员只有数据库查询权限,未对数据库产生较大影响 。如果 具有读写权限的用户,将会直接导致数据库篡改或遭遇勒索病毒的攻击。 确定问题后,应急人员删除了两位员工电脑上的 PLSQL Developer 中文绿色注册版程 序 ,使用企业级终端防护软件进行了全盘杀毒。 (十四) 某医院 HIS 服务器被勒索病毒攻击 2019 年 11 月,某医院发现一台 HIS 服务器和终端的数据被 GlobeImposter 病毒进行 了加密,导致业务无法正常开展,因此寻求安全团队进行恢复
展开阅读全文