数据安全#1-数据泄露的case记录

=Start=

缘由:

近来在做数据安全相关的工作。此前对这一块也比较感兴趣,所以零零散散的看过一些文章和报告。最近在不忙的时候集中的看了一批,想着整理一下看到的觉得还不错的内容和自己的思考,一方面是怕看了就忘了(写下来可以帮助思考和加深印象),另一方面是方便以后参考(也许可以帮助到其它人)。

正文:

参考解答:

在我刚开始进入安全行业的时候,我个人从心底里就觉得安全很重要(不论是信息安全还是网络安全)。一些涉及到敏感信息(比如:身份证号、手机号、银行卡号、住址信息、个人习惯偏好等)的产品如果没有采取一定的安全防护手段,我都无法想象这是什么样的公司/开发者开发出来的,他们脑子里都装的些什么?怎么会开发出这样的产品出来?又会有什么样的用户会使用这样的产品?

但是在工作了几年之后,就会发现,安全的重要性大部分人心里都知道,但是在实际生活/操作中又不会重视,特别是在「安全性」可能会影响一定的「便利性」和需要额外的投入(不论是在精力上,还是在金钱上)时。

直到近年来,频发的安全事件和波及范围越来越广的数据泄露问题逐渐为公众所知;不断加快的数字化转型,万物开始互联,计算机越来越多的参与和影响到我们的生活,计算机安全成了一个谁都无法回避的问题;法律法规的更新和设立——国内是《中华人民共和国网络安全法》、国外是《通用数据保护条例》(简称GDPR);安全,尤其是数据安全的重要程度越来越高。


对于企业来说,数据安全之所以重要,一般有以下几方面原因:

  1. 对于大多数互联网公司来说,数据可被认为是它们的核心资产;
  2. 如果数据安全出问题,会影响公司的股价/收入/品牌形象/……;
  3. 严重情况下,数据安全出问题还可能导致违反相关法律法规,进而遭受处罚以及影响公司业务的正常开展。

以下是整理的近年来的一些典型数据安全事件:

1) 2013年8月,多达10亿的账户数据泄露
原因:黑客入侵。警示:现代企业需要一个全面的,全方位的数据保护和安全的方法。

2) 2017年3月,京东内部员工涉嫌窃取50亿条用户数据

原因:未采取访问权限、身份认证、数据利用的管理。警示:内部数据安全使用的防范措施需要加强。

3) 2017年7月,1.4亿Verizon用户数据泄露原因:使用了第三方NICE Systems。

警示:自己的资料不要交由第三方来处理。

4) 2017年9月,美国征信机构Equifax数据库泄露1.43亿用户数据原因:黑客通过Apache Struts漏洞攻击进入。

警示:及时发现漏洞,并做有效的补丁更新与安全防护。

5)2017年9月,德勤公司500万份内部邮件信息泄漏原因:管理员认证过于简单。

警示:加强配置检查,提高安全意识。

6) 2017年11月,趣店数百万学生数据或遭泄露原因:离职员工“主动泄露”的报复行为。

警示:离职员工数据监管要重视。

7) 2018年3月,Facebook被曝5000万用户信息泄露原因:平台开放的API被第三方应用程序收集利用。

警示:在开发应用的过程中需要保护用户隐私和防止敏感信息泄露。

8) 2018年8月,华住旗下多个连锁酒店开房信息泄露原因:公司程序员将数据库连接方式及密码上传到GitHub导致。

警示:应做好敏感数据外发控制。

9) 2018年11月,万豪国际酒店5亿顾客的个人信息被泄漏

原因:黑客入侵。

警示:网络安全、IT安全、数据安全、……一个都不能少。


安全威胁的主要来源

1) 外部(攻击威胁)

  • 外部:漏洞攻击、木马注入、弱配置、APT
  • 内部:盗窃、离职

2) 内部(使用威胁)

  • 访问:认证、权限
  • 共享:业务(门户、调用测试)、人员交互
  • 外发:跨区、第三方(网络、邮件)
  • 外带:出差、回家

 

参考链接:

=END=

声明: 除非注明,ixyzero.com文章均为原创,转载请以链接形式标明本文地址,谢谢!
https://ixyzero.com/blog/archives/4187.html

《数据安全#1-数据泄露的case记录》上有15条评论

  1. Equifax数据泄露的反思
    https://mp.weixin.qq.com/s/Q1KoraFipdYRdFyEV9Ppfw

    这篇文章的内容主要翻译自2018年12月美国政府报告《The Equifax Data Breach》,对报告内容进行了精简和整理,旨在详细了解这起安全事件的始末,以一个比较全面的视角去审视安全工作。如果你觉得公司还不够重视安全,你可以把这当成一个安全案例用于培训;如果你对公司的安全水平很有自信,也可以拿它来对标review一下自己的安全工作是否到位。当然,企业面临的安全威胁多种多样,黑客外部入侵、内鬼泄露、针对员工的钓鱼攻击等等,这个事件并不能覆盖所有的攻击向量,但仍能从中发现和总结有用的内容。

    2017年9月, 美国最大的征信机构之一Equifax对外宣布了一起影响1.48亿用户的网络安全事件。这是美国历史上最大的一起数据泄露事件之一,影响几乎一半的美国人口,政府将其总结为“这完全是一起可以避免的事故,但是Equifax并没有做好安全措施来保护用户的敏感数据”。

    Equifax过分自信、过分自满的网络安全文化导致了这一切。Equifax未能修补已知的严重漏洞,使其系统面临145天的安全风险。公司未能实现基本的安全协议,包括文件完整性监控、网络分隔,使得攻击者访问和获取了大量数据。在攻击者获取数据的过程中,安全设备的证书过期19个月,又使得可以提前发现的攻击行为被掩盖。

    CEO、CIO、CSO提前退休,VP被解雇,支付安全费用,公司股价暴跌,声誉受损。虽然这是一起很不幸的事故,但它却再一次提醒我们,每一家公司都要时刻保持警惕——因为攻击者和敌人是如此老练并且资金充足,我们需要不断保持安全工作的推进并且持续做得更好,才能尽量避免这样的灾难发生在自己身上。

    一.Equifax的商业模式
    二.数据泄露事件的始末
    三.失败点和反思
    四.后续
    ====

    写在最后,这两天在群里(基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群)里看到各位大佬讨论安全工作的本质:
    “你还能把安全部门做成盈利部门吗?安全部门力争盈利,让业务、销售部门怎么看”
    “安全本质还是守住核心业务;现在都为了盈利不要基本盘了”
    “甲方安全是守门员不是前锋,第一任务还是守门不是进球”
    “我们的一号目标就是不出现严重的安全事故”
    “不出事!”

    看完感触很多,也解除了我的一些迷茫,这几年大家在跟进业务安全、追求安全产品研发,想着对外能力输出甚至盈利,却慢慢忽略了安全最重要的那部分。如果问我2019年最想做什么,我想应该是把那些最基本、最基础的事情重新梳理做坚实、做牢固,去追求最开始作为一名安全工程师时设定的那些安全目标,用个俗气的词——“不忘初心”。

    2018年过去了,我很怀念它

  2. GitHub信息泄漏监控
    https://bloodzer0.github.io/ossa/infrastructure-security/network-security/network-security-monitor/github-monitor/

    监控模式
     通过API进行监控
     通过爬虫进行监控
    GitHub监控规则
     关键字匹配模式
     优化匹配规则
     加白操作
     前端展示
    几个思考
     确认的GitHub应该如何处理
     如何构建分布式监控
     科技型企业支撑集团如何考虑不同公司的用户权限控制
    开源GitHub监控
     开源优缺点对比

    https://developer.github.com/v3/search/#search-code

    https://help.github.com/articles/dmca-takedown-policy
    https://github.com/github/dmca

  3. 大数据安全分析的前世今生
    https://www.freebuf.com/articles/database/110234.html

    1、网络安全的主干
    2、孤掌难鸣的困境
    自身防御漏洞百出
    攻击者日益精进
    3、似是而非的替代方案
    4、达摩克利斯之剑
     按照数据来源可以分为主机、网络、应用分析三类。基于主机数据检测数据来自系统调用日志与系统日志;基于网络数据检测数据来自基于网络数据包头数据与流量数据与基于无线网络数据检测;基于应用日志检测数据来自数据库日志、网站日志、IDS指示器数据等。
     按照使用方法可以分为误用检测与异常检测。误用检测又称特征检测,需要提取已知攻击特征,基于签名匹配检测攻击,其准确率较高,然而无法检测未知威胁;异常检测基于“白名单”思想,建立用户的正常行为模型,从而检测偏离正常模型的行为,其可以检测未知威胁 ,但误报率较高。
     按照时间度量可以分为实时内部威胁检测与离线检测。实时监测将安全日志数据组我欸数据流实时分析报警;而离线检测则在后台进行数据挖掘分析
     按照能动性可以分为被动检测与主动检测两类。顾名思义,被动检测就是传统的IDS,检测到内部威胁即报警,但是不采取安全措施,等待人为命令;主动检测类似于IPS,检测到内部威胁可以自动断开内部攻击者连接,剥夺其访问权等。
     按照时间周期可以分为连续监测与周期检测。连续监测即不间断监测,而周期检测则是特定周期执行检测,两次检测间隔可能被攻击者利用。
    5、实例
     1.分析文件访问异常行为的用户
     2.分析上步异常用户的邮件联系人图;
     3.分析异常邮件关系图中所有用户的文件行为;
     4.采用机器学习建立分类器,多人、多终端家呢异常;
     5.关联多类异常,检测内部信息窃取攻击;
    6、小结

  4. 【翻译】2018年数据泄漏事件专刊
    https://mp.weixin.qq.com/s/jrbp9E72OQcO_d9801hiHA

    本文翻译了 Graham Cluley 发布在bitdefender 上的《2018 – A Year of Data Breaches in Review》,并做了适当的删改。以此来逐月的回顾2018年每个月发生的最大规模的数据泄漏事件。

    2018年已经落下帷幕,我们想要利用这个难得的机会回顾这一整年都发生过哪些重大的数据泄露事件。

    在2018年很多组织和公司都遭受了大规模的严重数据泄露事故,将很多无辜公众的个人信息至于危险之中。

    事实上,当下数据泄露事件频频占据各大头条,这让我们很容易忘记都发生过哪些数据泄露事件。在这里,让我们一起逐月地去回顾一下这一年中都发生过哪些让人难忘的数据泄露事件。

    https://businessinsights.bitdefender.com/2018-data-breaches-review#new_tab

  5. GitHub公开B站寄来的DMCA删除通知
    https://mp.weixin.qq.com/s/gjxbmeWayV78xzRuLT6KSQ
    https://github.com/github/dmca/blob/master/2019/04/2019-04-23-bilibili.md

    前两天,匿名人士将B站后台工程源代码上传到了 GitHub,B站发现后向 GitHub 发去 DMCA 删除通知(DMCA Takedown),希望删除该仓库。现在,GitHub 公开了B站寄来的 DMCA 删除通知。

    DMCA 也就是数字千年版权法,Digital Millennium Copyright Act,它是一项美国版权保护法,旨在使受版权保护作品的访问控制得到保障。具体到 GitHub 上,DMCA 可以防止托管的项目被恶意传播。

    而根据 GitHub 的透明政策,当一个代码仓库应版权所有者的要求进行移除,它会公开对方发来的 DMCA 删除通知。

    和被泄露的源码一样,B站的这份通知也在社交网络引发了广泛的讨论 —— 因为给人的感觉十分随意,看上去不像是正式的法律文件。

    它的开头是“Hello Dear Github:”,然后是“We Are:”,最后一句是“求求你们帮助我们吧,还加了三个感叹号(Please help us!!!)”。除了这些,还有一些书写规范也没遵守,例如逗号后面不加空格。网友调侃这是“工地英语”。

  6. 揭秘⼤数据安全
    https://insights.thoughtworks.cn/big-data-security/

    大数据语境下都有哪些安全问题?
    1.新工具带来新的安全风险
    2.数据污染
    3.个人隐私面临更多的风险
    4.存储大数据处理后的高价值数据的应用系统,其本身就是被攻击的目标
    5.防火防盗防内鬼

    什么是大数据安全?
    数据 U 系统 U 人

    我们可以做些什么?有哪些实践?
    1.确保数据安全
    2.加强系统安全
    3.减少人因失误
    4.抗拒数据诱惑:不该收集的数据别去碰

    该加密的加密,该脱敏的脱敏;
    该签名的签名,该备份的备份;
    该做身份认证的做认证;该做权限控制的做鉴权;
    该搞意识培训的搞培训;不该收集的数据别去碰。

  7. 只因写了一段爬虫,公司200多人被抓!
    https://mp.weixin.qq.com/s/bvSnLrgqaW57vISHEajqqQ

    “一个程序员写了个爬虫程序,整个公司200多人被端了。”
    “不可能吧!”
    刚从朋友听到这个消息的时候,我有点不太相信,做为一名程序员来讲,谁还没有写过几段爬虫呢?只因写爬虫程序就被端有点夸张了吧。
    朋友说,消息很确认并且已经进入审判阶段了。

    朋友认识几个律师朋友,和他们有一些业务来往,得知他们想尝试把业务扩展到程序员这个群体。那段时间我刚好离职也有时间,在朋友的安排下一起聊聊看看有没有合作的机会。
    他们为什么想扩展人群到程序员这个行业呢?其实就是因为他们代理了这名程序员的官司,才发现很多程序员完全不懂法,直接说是法盲一点都不过分。
    刚好我也很好奇程序员因爬虫被抓这个案子,看看到底是怎么回事,就和两名律师以及朋友坐到一起,深入交流后才知道整个事件的来龙去脉。
    这名程序员在被警察逮捕后,警察审问期间一直不承认自己触犯了法律,并且也完全没有意识到自己犯法了。进去之后总以为警察搞错了,过几天就会把自己放出来,结果也错过了取保候审的机会。

    据内部消息,最近监管对数据乱象出手,开始清理行动,15家公司被列入调查名单,其中几家估值都超几十亿。
    国内很多大数据公司的数据来源多多少少都有一定的问题,随着我国今年6月1日起,《中华人民共和国网络安全法》将实施,所有的网上行为将越来越严格,如果还按照之前的惯性去操作,迟早会出问题。

    重点关注:下列情况下,爬虫有可能违法,严重的甚至构成犯罪。

    1. 爬虫程序规避网站经营者设置的反爬虫措施或者破解服务器防抓取措施,非法获取相关信息,情节严重的,有可能构成“非法获取计算机信息系统数据罪”。

    2. 爬虫程序干扰被访问的网站或系统正常运营,后果严重的,触犯刑法,构成“破坏计算机信息系统罪”

    3. 爬虫采集的信息属于公民个人信息的,有可能构成非法获取公民个人信息的违法行为,情节严重的,有可能构成“侵犯公民个人信息罪”。

发表评论

电子邮件地址不会被公开。 必填项已用*标注