[3]刷单-风控-内鬼


=Start=

缘由:

上半年的时候大致记录了一下刷单、风控和内鬼的前2个部分([1]刷单-风控-内鬼[2]刷单-风控-内鬼),第3部分内鬼这个因为内容比较敏感,且方便举例的样例不多所以一直也就没有写。不过前段时间网上和朋友圈里圆通因为内鬼泄露40万条信息而火了一把,也让我想起了这部分内容还没有写完,这里也就整理补充一下这部分的内容,一些较为敏感的内容就不写了,有机会的话可以当面交流,毕竟做企业安全防护的很多时候还是需要依赖信息不对称而获得一些比较优势的。

正文:

参考解答:

首先,看一看圆通的这个例子:

新京报11月17日消息,河北省邯郸市公安在今年8月接到圆通物流委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。

据邯郸永年区公安局反诈中心中队长王求东梳理,三名嫌疑人以每日500元的费用租用圆通物流公司内部员工系统账号进入物流系统,导出快递信息,并把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式层层倒卖到全国及东南亚等电信诈骗高发区。涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度,总量超过 40 万条。

随后不久,圆通公司给出了它的回应:

【圆通速递:坚决配合打击涉及用户信息安全的违法行为】圆通速递发布声明称,圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案。

如果不是新京报一举捅破了消息篓子,大众大概是不会知道圆通把这件事捂了整整两个月,毕竟“内鬼”这事,实在不光彩。但细究起来又有一丝心酸,因为哪家没出过几次内鬼呢?

对于从事企业安全(尤其是数据安全方向)的同学来说,这个案件里涉及到的检测其实很简单——账号借用/盗用,如果做了设备指纹和日志分析监控的话检测起来应该很容易(访问的内容涉及用户敏感信息,多设备,大量,工作范围外的查询,IM外发敏感内容的文件……)!也不知道圆通内部的风险监控系统什么时候上线的、具备什么功能、还有没有发现其它的问题,总之,从这个例子来看,他们的数据安全做的应该是比较差了,需要改进的点还有很多。

这个案例虽然说涉及到了内鬼,但是属于那种比较简单的内鬼,并没有太多的对抗、绕过意识,如果有的话,感觉以他们当前的状态来看应该也是发现不了。。。如何识别内鬼的一些细节和注意事项在这里不方便说,而且我知道的应该也只是一小部分思路方法,更多的经验还需要在以后的工作生活中不断积累。但有一个核心和几个方法是可以说的——抓住利益链、关系链,重要操作线上化、数据化,很多事情就容易有思路了,具体的方法就需要根据各自公司的实际情况和现状去做针对性的适配了。

天下熙熙皆为利来,天下攘攘皆为利往。

奇安信之前整理的一份报告里面指出了一个很重要的点——牟利永远是数据窃取的最强原动力。牟利、增加求职筹码及不正当利用造成了80%的数据泄露案件。

其它抓内鬼的文章可以参见「半佛仙人」的几篇文章,他确实是见多识广,也乐于分享,值得学习参考。


对于企业和安全团队来说,怎么去防内鬼、抓内鬼,核心思路或方法就是做到:不想,不敢,不能。更多的细节和展开就不说了,有机会互相当面交流吧。

补充:针对用户个人的一些安全建议

1、妥善处置各类单据。快递单、车票等包含个人信息的废弃资料,要涂改或撕毁处理后再丢弃。

2、身份证复印件要妥善保管。提供身份证复印件时,在含有身份信息区域注明『本复印件仅供xx用于xx用途,他用无效』和日期,复印完成后要清除复印机缓存。

3、要注意避免网购网站的陷阱。网络购物要仔细检查登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,防止个人信息泄露造成经济损失。

4、社交网络不要发布个人敏感信息的图片和内容。在微博、QQ空间、贴吧、论坛等社交网络尽可能避免透漏或标注真实身份信息,不晒包含个人信息的的照片。

5、免费福利不可贪。不要轻信『送上门的小便宜』,免费的礼品背后往往隐藏着大陷阱。提醒广大群众慎重参加网上、线下的各种调查活动,不要贸然填写或扫码,个人信息就在你不经意间泄露。

6、不要设置简单密码,有机会尽量给账户的重要操作增加双因素验证。简单来说就是,密码不要设置成123456、password、woaini123、123qaz、qwerasdf等这种烂大街的密码;对于和钱相关的网站、应用,在登录、转账等重要操作的时候,增加一下短信、动态口令等二次验证的逻辑(大多数金融网站、电商网站一般都有支持这种功能,设置一下就行)。

7、不同的购物/快递网站可以使用不同的ID/昵称/收货人信息,假设你姓刘,你在京东上买的东西,收货人可以写成刘京东;在淘宝上买的,收货人可以写成刘淘宝等等。当你的信息真的泄露了,比如有推销电话打过来了,一开口叫你刘xx,就很容易知道是xx公司泄露了你的信息。

参考链接:

40多万条信息泄露,圆通回应还“自我表扬”?专家:不打“老虎”没用!
https://mp.weixin.qq.com/s/CPNTuRVVG3i8VE3Wivva6g

你的信息,8毛/条 🤕
https://mp.weixin.qq.com/s/6EDd1cXMUB-wJkBl4Uts2Q

圆通中出了叛徒。。。
https://mp.weixin.qq.com/s/NxH35N70rU4QGZNXBVpyQQ

谁是内鬼?泄露了我们的个人信息···
https://mp.weixin.qq.com/s/yA7ySL4fBY6zS4pllg5cvQ

内鬼,无处不在
https://mp.weixin.qq.com/s/bbQrGeiljqTg1ub1sSArWw

奇安信发布《数据泄露典型判例分析报告》:泄密者八成是内鬼
https://mp.weixin.qq.com/s/7D6FNpIWKue7scKWLHTiOw

趣店数据疑似外泄,十万可买百万学生信息,离职员工称“内鬼”所为
https://mp.weixin.qq.com/s/dqGlU19r4HdGi7fWWWKHOQ

数据黑产调查:猖獗内鬼、黑客师徒与“灰色暴发户” |《财经》特别报道
https://mp.weixin.qq.com/s/3JwDeBZq9XgKYpMDszFIbw

不止圆通!N次数据泄露事件之后 为何企业依然频频中招?
https://mp.weixin.qq.com/s/hyuxyZQ2yrhBOCP2wyAs1A

=END=


《 “[3]刷单-风控-内鬼” 》 有 28 条评论

  1. 家贼难防!面对源源不断的内鬼泄密 企业该使什么招?
    https://mp.weixin.qq.com/s/cIMeXUa5_l-ZaviQ35uAkw

    拒绝数据泄露,数据资产的“人口普查”不容忽视
    https://mp.weixin.qq.com/s/IQ15WRBJqHhuHWUujeeNtw

    隐私都泄露成这样了,还磕CP呢??
    https://mp.weixin.qq.com/s/ioPMiJzyV_M9ip8qQVz52w

    唯品会被指泄露用户信息,有消费者被骗数万元 唯品会:已配合警方调查,基本排除平台泄露
    https://mp.weixin.qq.com/s/L14Im2SX2ln5L656tXufiA

    个人信息|一张快递单到底能泄露多少个人信息
    https://mp.weixin.qq.com/s/8J5gXf-h0V6eVHRMReW6rw

  2. “晒生活”也会暴露隐私?
    https://mp.weixin.qq.com/s/a2UYna4qQWkxeLqWzdl6rQ
    `
    # 青少年隐私泄露后果很严重吗?
    当隐私在网络上暴露后,信息可能会被公开售卖,甚至本人也将受到威胁谩骂、敲诈勒索。

    ## 案例1
    不法分子通过非法手段获取用户隐私后,出售游戏帐号、支付账号、电话号码、银行卡、身份证、户籍信息等。

    ## 案例2
    不法分子入侵用户手机通讯录或其他方式盗取用户私人信息,然后进行威胁、骚扰、诈骗。

    ## 案例3
    不法分子通过网上交友诱导用户暴露身体隐私及聊天录像,以色情视频为筹码对用户进行威胁以达到骗取钱财的目的。

    # 青少年如何避免暴露隐私受到伤害?

    ## 安全意识常驻心中
    可以分享自己的日常生活,但是在晒快乐的同时别忘了保护隐私,不要泄露过多详细信息(如电话号码、证件号码、各类密码、详细定位、住址、学校名称、父母工作地址、家庭经济状况等),如需要出示以上信息,一定要先征询父母的意见。

    ## 慎用公共场所免费网络
    不法分子在公共场所用一台电脑、一套无线网络及一个网络包分析软件就可以搭建一个不设密码的wifi,如果有人使用该wifi,就可以盗取手机上的资料。

    ## 在下载软件前先做辨别
    避免进入不合法的站点下载软件。这些恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信,并将其上传至指定服务器实施诈骗等犯罪活动。

    ## 不关联银行账户
    游戏娱乐中不要把银行卡跟账户相关联,很多扣费代码是内置在游戏中,不用通过用户审核便直接扣费。

    ## 及时举报并告知家长
    收到带有攻击性、淫秽、威胁等语言的信件或信息,不要回答或反驳,要马上进行举报并告诉家长。
    `

  3. 从蛛丝马迹识别内部威胁
    https://www.secpulse.com/archives/155574.html
    `
    随着组织信息安全机制的建立健全,外部威胁的攻击门槛不断提高,从一定程度上遏制了外部恶意行为,相比起来内部威胁的表现形式更加隐蔽、危害程度更大,防范内部威胁正成为组织信息安全管理的重中之重。

    Verizon《2020年数据泄露调查报告》发现,2019年30%的数据泄露涉及内部人员,泄露事件遍及所有行业,其中又以政府,医疗,金融和教育机构面临威胁最大,这些机构存储着大量可以出售的宝贵数据。Ponemon研究机构的《2020年内部威胁成本报告》指出,组织遏制一个内部威胁事件所用时间平均为77天,平均每年花费1145万美元。

    ·内部威胁主要来自哪里?

    内部威胁的主要来源有三个:存在过失或疏忽的组织用户、恶意内部人员和用户凭证盗窃,这里可以扩展到合法访问组织敏感数据的任何人——员工、系统管理员和第三方承包商等,他们都有可能滥用访问权限进行内部攻击。

    ·为什么内部威胁危害较大?

    内部人员在大多数情况下不会发生恶意行为,因此针对内部人员的异常行为检测难度比检测外部攻击更难,这种检测机制的缺失会造成组织数据安全的巨大隐患;危害大的另一个原因主要是内部人士知道组织网络安全中的弱点,同时可能了解敏感数据的位置和性质,进行系统破坏或窃读数据的成功率更高。

    ·为什么内部威胁检测难度大?

    内部人员可以合法访问组织的数据,并且将大部分时间用于执行常规工作,即使存在违规行为,也很难发现。传统网络安全工具一般通过阈值来判断违规事件的发生迹象,一旦某种事件发生次数超过阈值,就会产生告警。内部人员进行数据盗窃等情况时会针对这种特性,采用少量、缓慢、低频行为进行违规操作,例如每天通过电子邮件泄露少量数据,要识别此类威胁,需将这种模式识别为需要调查的重复行为,进一步加以鉴别。因此真正检测发现恶意内部攻击需要很长时间,通常在组织面对严重的威胁后果时才变得明显。

    二、内部威胁模型概述

    早期模型都从内部攻击者的角度入手,其分析目的在于获取攻击者成功实施一次攻击所需要具备的要素,其中的主观要素包括动机、职业角色、具备的资源访问权限以及技能素养等,客观要素则包括目标的内部缺陷的访问控制策略等,由于此类模型多从用户的静态画像角度开展,通过对行为动机、心理因素等内在特征进行研究,因此被称为用户特征模型,又称为主体模型。

    用户特征模型更关注利用心理学和社会学等技术手段,监控并分析内部人员的心理状态变化,这种方法从一定程度上可以预测内部人员是否具有恶意意图,采用一定手段规避下一步恶意行为的发生,从而防患于未然。

    后期以用户行为习惯、行为偏好为研究内容的模型越来越多,这种模型被称为用户行为模型,又称为客体模型。行为分析模型主要通过深度解析历史记录中的用户行为数据形成用户行为特征,然后和用户操作的实时数据作对比,就能够识别出恶意的用户行为,并提出预警。

    用户特征分析和行为分析可互为补充,协同工作。但无论哪种模型都无法脱离“人”这个研究主体。即使存在少部分模型从网络流量、系统调用关系等角度进行研究,最终也要以“人”为单位对研究内容进行划分,定位追踪“人”的违规问题,无法完全脱离“人”的束缚。

    (1)SKRAM模型
    1998年,D.B.Parker提出了SKRAM(Skills, Knowledge, Resources, Authority, and Motives)模型[1]。

    (2)Frank的SKRAM风险评估模型
    Frank提出了一个基于SKRAM的实用风险评估模型[2],该模型有16个独立分值评判点,一个嫌疑人可以通过多种动机或在一个以上相关领域的技术熟练获得16分以上。中低风险嫌疑人风险评估值介于0至5分之间,中等风险嫌疑人的风险评估值介于6至11点之间,高风险个体的风险评估值介于12点以上。

    (3)CMO模型
    Wood.BJ提出可以从多种特征来描述内部人员的CMO模型,最早该模型只包括三个因素,分别是能力(Capability)、动机(Motivation)和机会(Opportunity),他将一个系统定义为“某个相关管理领域范围内的整体网络”,研究目标定义为“系统中易受恶意内部人员攻击的部分”。后期Wood对CMO模型进行了扩展[3],其所描述的内部人员特征与Parker模型中的特征部分重叠,包括:访问、知识、特权、技能、风险、策略、动机和过程。
    `

  4. 2020年数据泄露数据泄露报告
    https://www.ibm.com/downloads/cas/BK0BB0V1
    https://www.ibm.com/security/data-breach
    `
    这是 Ponemon Institute 连续第 15 年开展研究发布年度《数据泄露成本报告》,其中五年的报告由IBM Security 赞助和发布。我们希望企业可以利用此研究加快创新,同时也希望当不同类型和规模的组织在面临数据泄露和网络安全事件风险时,也能留住客户信任。

    今年的报告中加入了新的研究,可更加深入地了解我们长期使用的数据类型 — 其中包括数据泄露每条记录的成本以及数据泄露的根本原因。我们首次在研究中细分了被盗的每条记录的成本,以便基于泄露的记录类型来分析成本,这些记录类型包括客户个人身份信息 (PII)、员工 PII 以及知识产权 (IP)。在分析数据泄露根本原因时,我们更加深入地探索了更具体的恶意泄露类型,其中包括凭据被盗和内部人员威胁等。

    本次研究首次要求参与者识别被推定为对泄露负责的威胁主体类型,其中包括国家和受经济利益驱动的攻击者,我们的成本分析显示,最常见的恶意泄露类型,即受经济利益驱动的网络犯罪分子攻击导致的泄露,并非成本最高的类型。

    随着勒索软件和破坏性恶意软件的攻击日益普遍,我们在今年的报告中新增了成本分析,结果发现,这些致命攻击的平均泄露成本要高于数据泄露的整体平均水平。

    # 数据泄露统计信息
    平均总成本 – $3.86 百万
    成本最高的国家 – 美国
    成本最高的行业 – 医疗保健
    发现和控制所需的平均时间 – 280 天()
    恶意攻击引起的泄露 – 52%
    包含客户 PII 的泄露 – 80%

    本次研究使用了一种名为作业成本法 (ABC) 的会计方法,这种方法可识别活动并根据实际的使用分配成本。四项流程相关的活动造成了一系列与组织的数据泄露相关的支出:检测和升级、通知、数据泄露后响应以及失去业务。

    1. 检测和升级
    使公司能够合理发现泄露的活动。
    — 取证和调查活动
    — 评估与审计服务
    — 危机管理
    — 与管理层和董事会沟通

    2. 业务损失
    可最大程度减少客户流失、业务中断和收入损失的活动。
    — 因为系统停机造成的业务中断和收入损失
    — 客户流失和获取新客户的成本
    — 名誉受损和商誉降低

    3. 通知
    让公司能够通知数据主体、数据保护监管机构及其他第三方的活动。
    — 发送给数据主体的电子邮件、信函、通话或一般通知
    — 确定法规要求
    — 与监管机构沟通
    — 联系外部专家

    4. 事后分析响应
    帮助数据泄露受害者与公司沟通以及赔偿受害者和缴纳监管机构罚款的活动。
    — 帮助台和入站通信
    — 信用监控和身份保护服务
    — 开设新帐户或新信用卡
    — 法律支出
    — 产品折扣
    — 监管机构罚款

    凭据被盗或泄露是导致恶意攻击数据泄露的最昂贵的原因。

    云端的错误配置是泄露的主要原因。

    发现和控制泄露的平均时间因行业、地域和安全成熟度而千差万别(在 2020 年的研究中,发现泄露的平均时间为 207 天,控制泄露的平均时间为 73 天,平均“生命周期”为 280 天)。

    事件响应 (IR) 准备状态是企业最大的成本节省因素。

    面临更严格法规要求的组织承担的数据泄露成本会更高。医疗保健、能源、金融服务和制药行业发生的数据泄露平均总成本明显高于监管力度较小的行业,例如酒店、媒体和研究组织。在此研究中,公共部门组织的数据泄露成本一直处于末位,因为他们不太可能因为数据泄露而失去大量客户。

    多年来,研究一直在通过参与者了解引起数据泄露的原因。前几年的报告将这些根本原因分为三类:
    系统故障(IT 和业务流程故障);
    人为失误(玩忽职守的员工或承包商无意中引起数据泄露);
    以及恶意攻击(由黑客或犯罪的内部人士引起)。

    恶意攻击是大部分数据泄露的罪魁祸首。

    凭据被盗、云错误配置或第三方软件漏洞,是引起大部分恶意泄露的三大原因。

    # 可最大程度降低数据泄露带来的财务损失和品牌影响的措施

    * 投资安全编排、自动化和响应 (SOAR) 以缩短发现和响应时间。
    * 采用零信任安全模型,以防止在未经授权的情况下访问敏感数据。
    * 对响应计划开展压力测试以增强网络弹性。
    * 使用有助于保护和监控端点与远程员工的工具。
    * 投资治理、风险管理与合规计划。
    * 最大程度降低 IT 和安全环境的复杂性。
    * 利用政策和技术保护云环境中的敏感数据。
    * 使用托管的安全服务有助于缩小安全技能差距。
    `

  5. 舞弊三角理论以及舞弊三角理论要素分析
    http://xcjcy.org/jinrongbk/45664.html
    `
    舞弊三角理论是由美国注册舞弊审计师协会(ACFE)创始人、美国会计学会现任会长Jane F. Mutchler提出的。会长认为,压力、机会和自我合理化这三个要素组成了企业舞弊的产生,就像需要同时有一定的热量、燃料和氧气才能燃烧一样。没有以上任何一个要素,就不可能真正形成企业舞弊。压力可能是运营或财务困难以及对资本的迫切需求。机会可能是宽松或松懈的控制和不对称的信息。自我合理化可能是“我只是向公司借的,不是偷的”,“我只是想暂时度过困难时期”,“我的出发点是为了一个美好的愿望”等等。舞弊三角理论中的三个因素成对相互作用。

    企业舞弊的原因由三个要素构成:压力、机会和借口,这也是注册会计师在美国最新反舞弊准则(SAS第99号)中应注意的舞弊发生的主要条件。

    1、压力因素是企业欺诈者的行为动机。刺激个人为了自己的利益进行企业舞弊。一般来说,压力可以分为四类:经济压力、工作相关压力、恶癖压力和其他压力。

    2、机会因素是指企业欺诈可以进行,并且可以被隐藏而不被发现或逃避处罚的机会。主要有六种情况:

      (1)缺乏发现企业舞弊的内部控制;
      (2)无法判断工作质量;
      (3)缺乏惩罚措施;
      (4)信息不对称;
      (5)能力不足;
      (6)审计制度不完善。

    3、面对压力,获得机会后,还有最后一个要素——借口(自我合理化),意思就是要让企业舞弊行为与自己的道德观念行为相符,舞弊者需要给自己找个理由,无所谓这一理由是否是合理的。通常情况下,企业舞弊者的理由包括:都是公司欠我的;我只是暂时借这个资金,我一定会还的;我的目的是善意的,我的使用是正当的,等等。

    压力、机会、借口三个要素缺一不可,缺少任何一个,都无法真正形成企业舞弊,这就是舞弊三角理论。
    `

    Google scholar 舞弊三角理论
    https://scholar.google.com/scholar?q=%E8%88%9E%E5%BC%8A%E4%B8%89%E8%A7%92%E7%90%86%E8%AE%BA&hl=zh-CN&as_sdt=0&as_vis=1&oi=scholart

    舞弊三角理论
    https://wiki.mbalib.com/wiki/%E8%88%9E%E5%BC%8A%E4%B8%89%E8%A7%92%E8%AE%BA

  6. 离职期员工的信息安全管控实践
    https://mp.weixin.qq.com/s/hIIyFbx562WREErC9Ygw0Q
    `
    # 第一节:预离职员工的工作权限回收

    员工的工作权限回收特指账号回收、特权回收,包括两种机制:一种是系统自动清理机制,一种是手工工单流程清理机制。前者需要在 HR 系统中明确离职日期,由各 IT 系统与 HR 系统自动完成离职日过期后的账号权限自动清理动作;后者需要预离职员工自己主动发起工单流程,在最后离职日审核前,完成相关账号权限的清理动作。发生上述两类行为时,对其直接上级自动触发离职员工权限审视电子流。

    # 第二节:预离职员工的日常行为监控和预警

    在员工提出正式离职后,应对员工的日常工作行为监控,并对异常行为进行预警。可采取的常规措施包括:追溯离职前的员工异常行为、每日发送行为跟踪报告、高敏操作实时审计、已有安全管控措施升级。

    * 追溯发起离职日前六个月的异常行为报告,通过邮件将报告发给员工上级领导提醒关注。异常行为报告的内容应包括六个月内触发的异常行为记录,含告警时间、告警类型、告警事件等描述。

    * 每日邮件发送员工行为跟踪报告给员工及其直接上级,员工行为跟踪报告内容可包括办公类信息如办公 IM 日沟通量、日桌面操作时长、日邮件发送量、考勤信息等,也可包括业务操作信息如 IT 运维使用堡垒机记录、开发人员请求代码记录、业务人员访问业务系统记录等。

    * 针对高敏操作进行实时审计,特别是对日常使用含有敏感数据的业务系统的员工,或 IT 运维、开发人员进行数据库访问、查询取数、下载数据、同步数据、源代码等行为。对高敏操作审计要同步到信息安全监控系统中,由信息安全团队或部门安全员进行实时检视,一旦研判为可疑行为应和预离职员工领导第一时间确认是否正常。

    * 已有安全管控措施升级,是指在不影响员工体验的情况下,可以采取强化升级的安全管控措施增加对员工违法违规的威慑。如已部署屏幕水印 /APP 水印可以水印加深,通讯录查询数量、次数限制、已部署文件 / 磁盘加密措施自动加密笔记本数据类的大文件或高密级文档等。

    # 第三节:预离职员工的继续教育

    * 在离职流程中,签署《信息安全和保密承诺书》声明,员工承诺“不记录、不带走、不泄露”各项公司资料和敏感信息,归还或销毁在职期间各类已获得的公司资料或敏感信息。

    * 在离职期间内,完成《安全意识培训课程》和《违法违规案例警示》学习,并通过在线安全教育考试,考试成绩通过邮件发送至本人及其直接上级,若第一次考试不通过,可第二次考试,两次考试均不通过,延迟离职期一个月,直至考试通过。

    * 对部分核心、高级岗位,在离职流程中,签署《竞业协议》文件,保护企业的商业机密。

    # 第四节:预离职员工的工作申请和审批

    在离职期间内,针对一些数据分析、IT 运维、系统开发等岗位员工,为使其能正常完成相关工作,依然需要保留一定的系统权限,这时需要对这些岗位的高敏操作采用“一用一申请,一用一审批”的流程机制,降低员工违规风险。

    对于核心或机要岗位员工,应规定在职期间的脱密期,一般为六个月,根据企业情况可以给予一定的保密津贴,员工离职前至少提前六个月申请脱密,并强化保密义务。

    对于员工丢失办公机或因各种原因无法归还办公机的情况,应由员工提供公安机关出具的报案证明,方可启动资产报废流程。同时信息安全团队和办公团队应建立办公机互联网上线监控机制,远程定位机制,远程擦除办公机数据机制等技术措施,进一步防范企业的数据泄露风险。
    `

  7. 他们竟用后台数据偷窥喜欢的女性!Facebook一年半解雇52名工程师
    https://mp.weixin.qq.com/s/9ZL7OUM3kv7tMq25YfSDBg
    `
    用户数据竟然一直在Facebook面前「裸奔」。近日,一本新书《丑陋的真相:Facebook统治之战内幕》扒出,FB曾在一年半的时间里开除了52名工程师。其中大部分人在滥用后台数据查看自己感兴趣的女性用户的信息。

    据一本新书《丑陋的真相:Facebook统治之战内幕》透露,在2014年1月至2015年8月期间,这52名员工因为擅自访问用户的个人数据而被解雇。
    而令人震惊的是,当时有超过1.6万名员工都有权限访问这些数据。

    书中提到,一位男工程师因为约会不顺利而开始在Facebook的后台翻找他约会对象的信息;此外,还有一位工程师在第一次约会之前就开始翻看对方的Facebook信息。

    Facebook的信息管理系统被设计成公开、透明的,因此所有员工都可以使用。这是扎克伯格创始精神的一部分,他要砍掉那些拖累工程师、阻碍他们快速、独立工作的繁文缛节。不过,这一规则是在Facebook只有不到一百名员工的时候制定的。
    然而,在多年之后,整个公司已经有了上万名工程师,却没有人重新审视这一做法。
    除了员工本身的善意,没有任何东西可以阻止他们滥用对用户个人信息的访问。

    作者透露,平均每个月有3名员工被发现利用Facebook用户的个人数据谋取私利。
    而大多数员工滥用用户个人数据的情况涉及男性查找他们感兴趣的女性的Facebook资料。
    首席安全官Alex Stamos在上任后告诉高管:工程师「几乎每个月都在滥用他们的权限和侵犯用户的隐私」。
    扎克伯格听后「大吃一惊」,问道:「为什么没有人想到要重新评估工程师用来访问用户数据的系统。」
    然而,房间里没有人指出:这是一个他自己设计和实施的系统。

    正如书中所揭示的,数据滥用之所以成为可能,是因为该系统被设计为对所有员工开放,以便「削减那些拖累工程师并阻止他们快速、独立工作的繁文缛节」。

    「这些拥有大量你的数据的公司永远不能被信任。」

    「Big Tech is Watching You !」
    `
    https://www.telegraph.co.uk/news/2021/07/12/exclusive-extract-facebooks-engineers-spied-women/

  8. Insider threats escalate and thrive in the Dark Web (不断升级的内部威胁)
    https://blogs.gartner.com/avivah-litan/2016/06/21/insider-threats-escalate-and-thrive-in-the-dark-web/

    What is an Insider Threat? Definition and Examples (内部威胁是什么?定义和样例)
    https://www.varonis.com/blog/insider-threats/

    What Are Insider Threats and How Can You Mitigate Them?
    https://securityintelligence.com/posts/what-are-insider-threats-and-how-can-you-mitigate-them/

  9. A guide to balancing external threats and insider risk
    平衡外部威胁和内部风险的指南
    https://www.microsoft.com/security/blog/2021/07/22/a-guide-to-balancing-external-threats-and-insider-risk/
    `
    Natalia: What is the biggest barrier that organizations face in addressing insider risk?

    Natalia: How do you assess the success of an insider risk program?

    Natalia: How does measuring internal threats differ from measuring external threats?

    Natalia: How do you balance protecting against external threats and managing insider risks?

    Natalia: What best practices would you recommend for data governance and information protection?

    Natalia: Who needs to be involved in managing and reducing insider risk, and how?

    Natalia: What’s next in the world of data regulation?

    Natalia: How will advancements like cloud computing and AI change the risk landscape?

    (An insider can do anything an outsider can do, and they can do it much easier.)一个局内人能做任何一个局外人能做的事,而且他们做起来容易得多。
    `

  10. 美军核潜艇机密泄露案:如何防御受过内部威胁培训的内部威胁者?
    https://www.4hou.com/posts/vL5g

    What CISOs can learn from the US Navy insider who stole nuclear secrets
    https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html

    What is an insider threat? 7 warning signs to watch for
    https://www.csoonline.com/article/3323402/what-is-an-insider-threat-7-warning-signs-to-watch-for.html?page=2
    `
    These are the warning signs that an insider might become a threat.

    1. Major changes at the organization
    2. Personality and behavioral changes
    3. Employees leaving the company
    4. Insiders accessing large amounts of data
    5. Unauthorized insider attempts to access servers and data
    6. Authorized but unusual insider access to servers and data
    7. Attempts to move data offsite

    1. 组织将要/正在/已经发生重大变化
    2. 员工的个性和行为改变
    3. 员工将要离职
    4. 内部人员访问大量数据
    5. 未经授权的内部人员试图访问服务器和数据
    6. 已获授权但不寻常的内部访问服务器和数据
    7. 试图将数据移出站点/公司
    `

  11. Lapsus$组织攻击微软的手法以及几点启示
    https://mp.weixin.qq.com/s/AG-ITyHlwesxS2k-5BzgKg
    `
    一、微软部分源码泄露事件来龙去脉

    二、微软被攻击分析(转自鸟哥)

    三、攻击者使用的攻击手法

    3月22日,微软MSTIC、DART、MS365 Defender威胁情报团队发布了《DEV-0537 criminal actor targeting organizations for data exfiltration and destruction》报告,详细分析了攻击者的攻击手法(TTPs),并给出了安全建议,挺有意思。

    1、攻击者收集了目标的大量信息,包括:组织架构、help desk,应急响应流程、供应链关系等,主要是用于发送钓鱼邮件,以及重置目标用户的凭证。手段包括:

    * 部署Redline Stealer恶意软件,窃取密码和session token
    * 购买凭证和session token
    * 向攻击目标企业(或供应商和合作伙伴)的员工购买证书和通过MFA认证
    * 在公共代码库中搜索公开凭据

    然后使用泄露的凭证或session token访问面向互联网的系统和应用,包括:VPN、RDP、VDI、Okta。

    2、对于使用MFA的目标企业,攻击者用两种技术突破MFA机制:session token replay and using stolen passwords

    session token replay 会话令牌重放可能是实现MFA功能时不规范,代码机制在时效、范围时有错误。

    using stolen passwords 是指窃取密码后,再钓鱼诱导受害者触发点击MFA认证通过的提示(二次认证的确认机制时get请求、csrf风险、或者提示不明显)。

    还有一个姿势是窃取员工的个人邮箱,通过个人账户做第二因素身份验证或密码恢复。

    3、通过招募目标企业员工成功进入攻击目标(员工提供身份凭据并通过MFA的提示,或者安装anydesk或其他远程管理软件)(你怕不怕?)

    目前,Lapsus$ 的 Telegram 频道已经拥有 45000 多名订阅者。微软指出,Lapsus$ 曾在该频道中发布一则广告,希望招募各主要手机厂商、大型软件与游戏公司、托管服务企业以及客服中心的内部员工。

    至少自 2021 年 11 月以来,Lapsus$ 就一直通过各个社交媒体平台收买企业内部员工。去年,Lapsus$ 团伙的核心成员之一就曾经使用“Oklaqq”和“WhiteDoxbin”等昵称在 Reddit 上发布招募信息,表示愿意为 AT&T、T-Mobile 以及 Verizon 的员工开出每周 2 万美元的价码,换取对方为其执行某些“内部工作”。

    招募员工,是指愿意接受付费的企业内部员工(同谋),必须提供他们的凭据并批准 MFA 提示,或者让攻击者在公司工作站上安装 AnyDesk 或其他远程管理软件(美剧纸牌屋有这样的剧情…) 。以下是LAPSUS$招募员工以获得目标企业网络访问权限的广告截图:

    4、攻击者进入目标后,会访问JIRA、Gitlab和Confluence(用这些软件的企业是不是菊花一紧^_^),并尝试使用JIRA、Gitlab、Confluence的漏洞进行提权,以及使用DC Sync、Mimikatz、Ntdsutil

    报告提到攻击者还会致电help desk,试图重置特权账户的凭据。所以企业内部设置了特权账户重置密码等高风险操作流程的,可以review一下过去重置特权账户的是不是都是没问题的?

    5、攻击者拥有专门的基础设施,而且知道企业的安全检测规则(不同地理位置登录账户的检测),会选择地理上与目标相似的VPN出口,然后从目标下载敏感数据

    6、攻击者也会尝试攻击目标的云租户特权账户(AWS、Azure),并有创建账户和删除数据的行为

    7、攻击者还会监听组织应急响应处置和内部讨论(Slack、Teams、电话会议),深入了解被攻击者的心理状态。(玩心理战,偷窥狂啊)

    8、微软披露了自己受到攻击的范围和影响,这点好像国内从来没有公司做过

    微软有一个观点:源代码泄露不会增加风险。微软观点的理由是:微软的威胁模型假设攻击者已经了解他们的软件是如何工作的,无论是通过逆向工程还是以前的源代码泄漏。

    “在微软,我们有一种内部源代码方法——使用开源软件开发最佳实践和类似开源的文化——使源代码在微软内部可见。这意味着我们的产品安全性不依赖于源代码的保密性,我们的威胁模型假设攻击者了解源代码。”微软在一篇关于SolarWinds攻击者获取其源代码访问权限的博客文章中解释道:“因此查看(泄露)源代码与风险提升无关。”

    这个观点颇有争议。微软“源码泄露无风险”的说法也许并不准确。源代码存储库通常还包含访问令牌、凭据、API密钥,甚至代码签名证书。

    当Lapsus$入侵NVIDIA并发布泄露数据时,其中还包括代码签名证书,其他攻击者可使用这些证书给他们的恶意软件代码赋予合法签名,造成更大的威胁。因为NVIDIA的代码签名证书能够帮助恶意软件绕过防病毒引擎。

    9、最后微软还给出了安全建议,第一条就是加强MFA

    四、给我们的启示

    * 目前很多人都太低估对手,对方可能比你更懂你司IT架构,对手可能已经直接拿下你司任意一人,APT组织可能已经持续潜伏控制你司多年,假设这些是可能,还是本来就是常态?
    * 攻防双方争夺焦点是账号和身份验证,怎么突破MFA认证。这点在国内普遍还是盲区。大家还在给账号上MFA验证的建设上,怎么建设更健壮的MFA大多数还没考虑
    * 使用更安全的MFA因子
    * 付费招募员工提供凭证和远程接入这个很难防御,不给员工基础的信任安全投入成本会高很多。联想到去年hw,有人在闲鱼上买内部VPN ,然后内网一把梭了…
    * 通用组件漏洞(JIRA、Confluence等),需要加强漏洞运营,完成漏洞修复
    * 开发规范里,禁止将API密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中,监督规范落地,确保规范得到落实执行
    * 加强对云上账户凭证和权限的管控和检测
    `

  12. 上网行为管理软件能看到微信聊天记录吗?
    https://www.v2ex.com/t/849327
    `
    如果采用截屏的方式监管的话还是可以的
    =
    一律当看得到处理
    =
    排除企业微信。电脑上装了监控软件是可以的。根据流量分析,只知道你用了微信,不知道聊天内容
    =
    深信服是肯定可以的,可以通过域控来静默向 PC 端推送插件,然后通过截屏的方式以图片的形式保存下来,我在前司部署过;当时测试是只能看到 WINDOWS 的,由于公司用 MAC 电脑的人少,没有做测试

    微信和 QQ 在 PC 端的聊天记录都是通过截图的方式实现,手机端的看不到,另外微信 PC 端跟别人发的文件深信服会截取下来保存在他的服务器上,后台的审计管理员可以下载下来查看
    =
    我知道我朋友他们公司的管理软件是会随机对屏幕截图的,公司电脑和私人的东西,硬件隔离才是王道啊
    =
    可以,但是需要预装后门。如果是自用设备,接入公司内网,则不会。
    比如 sxf 的 AC 流量审计设备,会提供一个 agent ,装在目标电脑上。
    其实就是一个根证书,通过它,可以解密 SSL 流量。
    AC 有一个专门的功能就是查询微信聊天记录的。
    还有 https 网站的浏览记录,QQ ,邮件及附件之类的
    =
    上网行为管理看的东西没终端安全管理系统的多
    装了 DLP 的,你的电脑在管理员面前等于透明
    =
    主要看你的终端有没有安装客户端或者一些根证书等
    =
    海外一样会监控公司的电脑, 手机和网络啊. 公司发的 Mac 和 iPhone 全都装了自己的监控软件.
    虽然没深信服这么专业, 但大部分监控感知也是都有的.

    自己要聊微信就别连公司的网络或者用公司的电脑了. 从硬件上就要公私分开.
    =
    以前有次一个国外合作公司的人来中国出差,也是个中国人,
    我们叫他出来吃喝,那人说:等下班儿时间过了再说,公司电脑有监控,如果闲置,公司会发现。
    我们说:那你抱着电脑出来没事敲一下? 他说:不行,电脑有 GPS 。
    `
    AC11.8 怎么监控QQ和微信聊天记录(深信服可以看到)
    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=138213

  13. 【以案说法】侵犯公民个人信息需承担法律责任
    http://www.cbimc.cn/content/2022-01/18/content_455859.html
    `
    # 对于黑客或内鬼来说,泄漏公民个人信息的量刑标准如下

    对于【行踪轨迹信息、通信内容、征信信息、财产信息】,非法获取、出售或者提供【50条】以上即算“情节严重”;
    对于【住宿信息、通信记录、健康生理信息、交易信息等】其他可能影响人身、财产安全的公民个人信息,标准则是【500条】以上;
    对于【其他公民个人信息】,标准为【5000条】以上。

    ==

    # 侵犯公民个人信息应承担的法律责任

    (一)相关法律规定和出台背景。

    为保护公民个人信息,2009年2月28日起施行的《中华人民共和国刑法修正案(七)》在刑法第二百五十三条后增加了一条,作为第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。近年来,侵犯公民个人信息犯罪处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。

    为加大对公民个人信息的保护力度,2015年11月1日起施行的《中华人民共和国刑法修正案(九)》对刑法第二百五十三条之一内容作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

    2017年,最高人民法院、最高人民检察院又联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》),对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。

    2021年11月1日,我国首部专门针对个人信息保护的系统性、综合性法律《中华人民共和国个人信息保护法》正式实施,使银行对个人信息保护从一般监管性要求上升到强制性法律要求,必将进一步敦促银行完善客户信息保护机制。

    (二)哪些属于公民个人信息。刑法相关规定中的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

    对于银行工作人员在履行职责过程中获得的客户征信信息、财产信息等属于刑法重点保护的个人信息。

    (三)何种行为构成犯罪。侵犯公民个人信息罪的入罪要件为“情节严重”。对于这里的“情节严重”,《司法解释》明确了违法所得5000元以上等十项认定标准。

    值得注意的是,根据不同类型公民个人信息的重要程度,《司法解释》设置了不同的数量标准。【对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”;对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,标准则是500条以上;对于其他公民个人信息,标准为5000条以上。】

    (四)对“内鬼”降低入罪门槛。目前,对于公民个人信息泄露造成最大危害的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。如何严厉打击侵害公民个人信息的“内鬼”?《司法解释》规定,在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,数量或者数额达到《司法解释》规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。《司法解释》对行业内部人员泄露信息降低了入罪门槛,为司法机关更好地打击这类犯罪提供了法律基础。这里需注意的是银行工作人员,将其在工作中获得的客户征信信息、财产信息等出售或非法提供给他人,数量超过25条或违法所得超过2500元的,将构成侵犯公民个人信息罪。

    (五)量刑和罚金标准。根据《中华人民共和国刑法》第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

    《司法解释》同时明确,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,《司法解释》加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。
    `

  14. 侵犯公民个人信息罪如何定罪量刑?
    http://www.xinhuanet.com/zgjx/2017-05/10/c_136270352.htm
    `
    # 焦点1:如何界定“公民个人信息”范围?包括姓名、身份证件号码、行踪轨迹等全面信息

    # 焦点2:对提供、获取行踪轨迹等“敏感信息”如何量刑?  50 条即可入罪

      根据刑法规定,侵犯公民个人信息罪的入罪要件为“情节严重”。对于这里的“情节严重”,本次出台的司法解释明确了违法所得 5000 元以上等十项认定标准。

      值得注意的是,根据不同类型公民个人信息的重要程度,司法解释设置了不同的数量标准。
    对于【行踪轨迹信息、通信内容、征信信息、财产信息】,非法获取、出售或者提供 50 条以上即算“情节严重”;
    对于【住宿信息、通信记录、健康生理信息、交易信息等】其他可能影响人身、财产安全的公民个人信息,标准则是 500条以上;
    对于【其他公民个人信息,】标准为 5000 条以上。

      “定罪量刑标准的确立有利于法律的统一、准确实施,对严厉打击侵犯公民个人信息犯罪提供了有力的法律武器。”最高人民检察院法律政策研究室副主任缐杰说,办案部门对于涉案的公民个人信息,首先应当分类进行分析,如果每一个类型相对应的公民个人信息都没有达到 50 条、 500 条、 5000 条的,司法解释规定还要对其按照相应比例进行合计。

      缐杰举例说,某个案件涉及公民轨迹信息等敏感信息 20 条,住宿信息等重要信息 350 条,就要按照1和10 倍比关系进行折算。 350 条重要信息折算成 35条敏感信息,两项合计 55 条,就要追究刑事责任。

    # 焦点3:如何严打“内鬼”?降低内部人员入罪门槛(相关标准一半以上)

      “目前,对于公民个人信息泄露造成最大危害的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。”公安部网络技术研发中心主任许剑卓说。

      如何严打侵害公民个人信息的“内鬼”?本次出台的司法解释规定,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。

      “司法解释对行业内部人员泄露信息降低了入罪门槛,为我们更好地打击这类犯罪提供了法律基础。对于任何侵犯公民个人信息的案件,我们都要追查源头,深挖行业内鬼。”许剑卓说。

      在严打“内鬼”的同时,司法解释还进一步明确了网络服务提供者的义务。其中规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法相关规定,以拒不履行信息网络安全管理义务罪定罪处罚。

    # 焦点4:对为推销产品购买个人信息如何惩处?获利5万元即可入罪

      刚买完房,中介就打电话询问是否出租;孩子刚出生,推销幼儿产品的电话就找上门了……种种怪相令人生疑:这些商家为了推销产品,就可以堂而皇之获取个人信息加以利用?

      颜茂昆说,从实践来看,非法购买、收受公民个人信息,从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,本次出台的司法解释对这种情形设置了入罪标准。

      根据司法解释规定,为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有利用非法购买、收受的公民个人信息获利五万元以上等情形的,应当认定为“情节严重”,构成犯罪。

    # 焦点5:如何加大对侵犯公民个人信息犯罪惩罚力度?罚金最高可达违法所得5倍

      颜茂昆表示,本次出台的司法解释的另一大亮点,是明确了侵犯公民个人信息犯罪的罚金刑适用规则。

      司法解释明确,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的1倍以上5倍以下。

      颜茂昆说,侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。
    `

  15. 公民个人信息类型和数量如何认定
    https://www.spp.gov.cn/spp/llyj/202110/t20211012_531987.shtml
    `
    刑法第253条之一规定,违反国家规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处罚金或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等;第五条规定,非法获取、出售或者提供行踪轨迹信息、财产信息等以外的公民个人信息5000条以上的,应当认定为“情节严重”,数量达到前款规定标准10倍以上的,应当认定为“情节特别严重”。由于司法解释根据非法获取、出售或者提供的公民个人信息类型、数量分别设置了不同的量刑幅度,因此该类案件的争议焦点多为涉案公民个人信息类型、数量的认定。

    结合本案证据,本案非法获取的公民个人信息包括姓名、身份证号码、手机号、紧急联系人、户籍所在地等,上述信息并不属于行踪轨迹信息、财产信息、通信信息等个人信息,而属于一般公民个人信息。根据司法解释的规定,非法获取普通公民个人信息5000条以上才达到情节严重的标准,5万条以上才达到情节特别严重的标准。

    《解释》第5条第6款明确规定:数量未达到第3款至第5款规定标准,但是按相应比例合计达到有关数量标准的,应当认定为刑法第253条之一规定的“情节严重”。结合《解释》第5条第1款第3项至第5项规定,入罪标准分为“特别敏感个人信息50条”“敏感个人信息500条”“一般个人信息5000条”三档,并且呈现1∶10∶100的比例。

    2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,在就何种情形应当认定为刑法第253条之一规定的“情节严重”作出解释时,事实上将个人信息类型划定为三个档次。第一档50条:行踪轨迹信息、通信内容、征信信息、财产信息;第二档500条:住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三档5000条:其他类型的个人信息。

    特别敏感个人信息:4种,行踪轨迹信息、通信内容、征信信息、财产信息;
    敏感个人信息:住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;
    一般个人信息:除上面2种类型之外的个人信息,比如姓名/身份证号/手机号等。
    `

  16. 如何更好地防范撞库和拖库
    https://www.aqniu.com/learn/35241.html

    防数据泄露_MySQL库和数据安全
    https://www.cnblogs.com/mysticbinary/p/14468989.html
    `
    # 外部入侵
    这里有很多种渠道,还是以WEB举例:
    • SQL注入 -> WEB服务器 -> 利用注入语句操作数据库 -> 数据库
    • 上传SHELL -> WEB服务器 -> 通过命令操作数据库 -> 数据库
    • 上传SHELL -> WEB服务器 -> 直接复制数据库文件 -> 数据库

    # 内部盗取
    内部也有很多种渠道,这里举例两个常见场景:
    • 有数据库管理权限,直接操作数据库
    • 无数据库管理权限,通过内部的业务系统间接操作数据库
    • 无数据库管理权限,直接复制数据库文件
    `

  17. 信息泄露之拖库撞库思考及安全防御策略
    https://www.nsfocus.com.cn/upload/contents/2015/06/2015_06251659409521.pdf

    `
    # 有权限
    0. 清理不需要的账号和权限,对弱密码进行治理,对高危漏洞进行修复,避免因为弱密码等低级失误导致数据泄露
    1. SQL注入被拖库 -> 记录SQL增删改查的操作日志,做实时审计和分析;另外就是WAF理论上应该也可以起到一部分作用
    2. 对高敏字段进行加密存储,业务测可能需要针对性的改造,而且性能也会有一定损失,这个可以仅针对特别敏感的表/字段进行
    3. 有权限人员的监守自盗 -> 库表权限控制(仅限特定账号)、访问控制(仅限特定来源)、操作审计(登录/查询)、服务器命令操作记录、DLP外发监控
    4. 添加影子表/列,起到类似蜜罐的作用(但这一点需要和业务方以及DBA沟通确认后再进行)
    5. 同步/导入测试环境时要进行脱敏处理,这一点很容易漏,生产环境的安全性做的还行,但是测试环境就没人关注了,数据直接过去被搞走的可能性就增加了很多

    # 无权限
    6. 库表文件操作审计,文件系统加密或者库表文件拷贝操作监控
    `

  18. 你的数据是如何泄露的?
    https://mp.weixin.qq.com/s/Wxzg1HHoMhDfECLfj573qQ
    `
    置身互联网时代,我们享受信息化时代带来便利的同时,个人信息泄露事件也层出不穷:WPS被爆会删除用户本地文件、学习通疑似泄露1亿多条用户信息、滴滴过度收集1.07亿条乘客人脸识别信息……近年来,数据泄露事件一直属于头条新闻,它也是最常见且代价最高的网络安全事件之一。那么这些信息是如何泄露的呢?我们如何规避风险呢?

    # 数据泄露的主要原因

    01 黑客攻击
    此类攻击大多数发生在企业中,黑客出于经济利益或者政治活动,利用恶意软件和电脑病毒等手段窃取信息,以达到攻击目的。Verizon发布的《2022年数据泄露调查报告》(DBIR)指出,目前有四个主要途径会威胁到数据信息:凭证窃取、网络钓鱼、漏洞利用和僵尸网络。

    02 “内鬼”泄密
    公司内部人员因安全意识不足导致泄密,或者前员工有意曝光公司重要数据。

    03 违规收集
    软件或者平台会过度索权,超限收集(索要位置信息、麦克风和摄像头、个人信息、通讯录、相册信息等),若取消选择,则导致软件无法使用。

    04 系统漏洞
    黑客提前了解目标机的漏洞,利用系统上存在的漏洞进入系统并窃取登录凭证后发动网络攻击。

    # 一些相关安全建议,以规避数据泄露的风险:

    ## 01 企业内部
    1、要求内部人员恪守职业道德,建立防范机制,为员工定时进行安全培训;
    2、避免使用默认密码,建议设置长度在 10 位以上,由大小写字母、数字、特殊符号组合的符合复杂性要求的高强度密码,并定期更换,避免出现多个密码复用、无密码、弱口令状况出现,借此成为攻击者横向攻击的跳板;
    3、企业终端全面部署安全软件,并通过检查系统和其他安全服务日志,排查企业内可能存在的安全问题。

    ## 02 个人用户
    1、可选择注册两个手机号:个人手机号(用于工作、私人联系,绑定常用账号)和备用手机号 (绑定不常用账号,登录机场酒店wifi等),并使用两种不同的密码,避免因密码泄露导致信息被盗取;
    2、设置高强度密码,并定期更换,杜绝一码多用,避免通过第三方平台登录,降低密码泄露的风险;
    3、不要扫未知的二维码,谨慎点击短信链接;
    4、安装杀毒软件,定期对电脑进行查杀;
    5、在社交平台上填写信息时,避免使用真实姓名;
    6、不要随意点击浏览未知网站或下载未知来源的应用程序。

    近年来,我国已相继出台了《网络安全法》、《数据安全法》以及《个人信息保护法》等法律法规,将数据安全提到了新高度,这也进一步规范了企业的健康运营,这更体现了国家在数据安全治理方面的态度和决心。最后,若个人信息发生泄露,并因此造成损失,请及时求助警方。
    `

  19. 突发,45亿中国公民个人信息泄露,包含姓名、手机号码、家庭住址,疑似源自快递平台
    https://www.qxwa.com/45-billion-chinese-citizens-personal-information-leaked-including-names-mobile-phone-numbers-home-addresses.html
    `
    2月12日晚,某Telegram机器人(有消息称暗网,其实不是)爆出中国公民的45亿个人信息泄露,最新的数据时间大概来自2022年(网友分析具体时间是2016年至2022年),也就是近几年几乎所有住址信息都暴露了,泄露数据来源主要是各平台快递数据,包含了真实姓名、电话与住址等信息。据称包含淘宝、京东等Top购物网站的收货地址信息。

    该Telegram查询机器人:https://t.me/sheg66_bot,只支持手机号码查询,查过的普遍反映存在自己的数据,也就是覆盖了中国网购的所有人。

    该机器人管理员提供的navicat截图显示,数据量为4541420022条,数据库大小为435.35GB。

    根据其Telegram频道(https://t.me/szhongyu)可以看出有至少2.5万用户在使用,机器人瞬间挤爆,于是其管理员紧急发布公告:

    ♾紧急通知:🔔由于查询用户基数太大,达到TG接口上限,现在开放机器人2号 请切换使用。 积分照样共享不会重复!

    新切换的Telegram机器人查询速度较快,地址为:https://t.me/sheg88_bot

    该机器人管理员的Telegram账号是:@shegk6(社工库群主-星链)

    请所有国人加强防护:
    1、预防电信诈骗,接到陌生电话注意甄别;
    2、网购别填写真实姓名;
    3、网购地址模糊填写,有驿站类的写驿站,不要具体到门牌号。

    《中华人民共和国刑法》的相关规定:

    第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
    `

  20. DATA PROTECTION 101 – What is Data Exfiltration?
    https://www.digitalguardian.com/blog/what-data-exfiltration
    `
    # 数据渗漏的定义

    数据渗漏有时被称为数据挤压、数据导出或数据窃取。所有这些术语都用于描述未经授权从计算机或其他设备传输数据。根据TechTarget的说法,数据泄露可以由具有计算机物理访问权限的个人手动进行,但也可以是通过网络恶意编程进行的自动化过程。

    正如Techopedia所描述的,数据泄露基本上是一种安全漏洞,当个人或公司的数据在未经授权的情况下从计算机或服务器复制、传输或检索时就会发生。虽然可以使用各种技术来实现数据泄露,但最常见的是网络犯罪分子通过Internet或网络执行的操作。这些攻击通常是有针对性的,主要目的是访问网络或机器以定位和复制特定数据。

    Data exfiltration can be difficult to detect. As it involves the transfer or moving of data within and outside a company’s network, it often closely resembles of mimics typical network traffic, **allowing substantial data loss incidents to fly under the radar until data exfiltration has already been achieved**. And once your company’s most valuable data is in the hands of hackers, the damages can be immeasurable.
    数据泄露可能难以检测。由于它涉及在公司网络内外传输或移动数据,因此它通常非常类似或就是专门模拟典型的网络流量,允许大量数据丢失事件在雷达下飞行,直到数据泄露已经实现。一旦贵公司最有价值的数据落入黑客手中,损失将无法估量。

    # 黑客如何访问目标机器

    通常,当系统依赖于供应商设置的、常见的或易于破解的密码时,黑客就会实现数据泄露。事实上,从统计数据来看,这些系统是最常遭受数据泄露的系统。黑客通过远程应用程序或通过安装可移动媒体设备来访问目标机器,前提是他们可以物理访问目标机器。

    高级持续性威胁 (APT) 是一种网络攻击形式,其中数据泄露通常是主要目标。APT 始终如一地积极针对特定公司或组织,目的是访问或窃取受限数据。**APT的目标是获得对网络的访问权限,同时在秘密寻找最有价值或目标数据(例如商业机密、知识产权、财务信息或敏感客户数据)时保持不被发现。**
    The goal of an APT is to gain access to a network, but remain undetected as it stealthily seeks out the most valuable or target data, such as trade secrets, intellectual property, financial information, or sensitive customer data.

    APT 可能依靠社会工程技术或带有上下文相关内容的网络钓鱼电子邮件来诱使公司用户无意中打开包含恶意脚本的消息,这些消息随后可用于在公司网络上安装其他恶意软件。在此漏洞利用之后是数据发现阶段,在此期间黑客依靠数据收集和监控工具来识别目标信息。一旦发现所需的数据和资产,就会使用数据渗漏技术来传输数据。

    当网络罪犯成功地进行数据泄露时,他们可能会使用新获得的数据来损害您公司的声誉、谋取经济利益或进行破坏。

    # 如何防止数据泄露

    由于数据泄露通常依赖于社会工程技术来访问受保护的公司网络,因此防止您的用户下载未知或可疑的应用程序是公司应该采取的主动预防措施。但实际上,在不限制用户访问所需应用程序的情况下,很难充分阻止这些恶意应用程序的下载。然而,为了有效地破坏端点,恶意软件必须能够与命令或控制服务器进行外部通信以接收指令或泄露数据。因此,检测并阻止这种未经授权的通信成为防止数据泄露的可行方法。

    # 端点保护是数据泄露防护的重要组成部分

    由于数据泄露侧重于在端点上检索、传输和复制数据,而端点历来为黑客提供了最简单的接入点之一,因此企业必须寻求全面的端点检测解决方案作为抵御数据泄露等威胁的第一道防线。

    数据泄露似乎是一个很容易预防的过程,但现代威胁环境中经常发生的高级攻击需要一种包罗万象的数据保护方法,以充分监控和保护公司网络中存在的每个端点。

    ==
    数据渗漏总的来说有2步核心:
    1. 获取数据
    2. 外传数据

    对于防护方来说,第1、2步可以看作是主客场的区别,第1步在他的主场,因为你可以去控制对外暴露的数据以及记录具体谁通过什么途径获取了多少数据,第2步就比较尴尬了,数据都已经落到了员工电脑上了,电脑的便携性和移动性以及root权限让你真的难以防范,如果第1步没控制好,第2步对于攻击方来说就很容易了。
    `

  21. 数据渗漏(Data Exfiltration),比数据泄漏更隐蔽!
    https://blog.51cto.com/yepeng/649540
    `
    这篇文章讲到了一种比普通的信息泄漏更加隐蔽和高明的手法,被称作“Data Exfiltration”,暂且翻译为“数据渗漏”。原文发表在DarkReading上。而这篇文章也是根据 BSides Las Vegas (Ian Amit , Advanced data exfiltration – the way Q would have done it)上一位黑客的发言整理出来的。这里是那个黑客的发言幻灯片。

    简单地说,数据渗漏就是黑客将已经在目标网络中获取的信息传递出来的一系列高级技术。核心就是对欲渗出的数据进行加密、混淆,然后通过一些隐蔽的手段传递出来而不被察觉或者引起警觉。看完此文,应该会丰富我们的想象力。不禁感叹,进攻的技术远远领先于防守。而企业/组织员工的安全意识教育是根本!
    `
    https://www.slideshare.net/iamit/advanced-data-exfiltration
    Advanced data exfiltration – the way Q would have done it
    http://www.iamit.org/blog/wp-content/uploads/2012/01/Advanced-data-exfiltration-%E2%80%93-the-way-Q-would-have-done-it.pdf

  22. 最好的员工监控软件和你需要知道的所有关于员工监控的信息
    https://clevercontrol.com/zh/best-employee-monitoring-software/
    `
    员工监控软件是一个可以跟踪和分析员工在其电脑上的活动的系统。由于计算机技术的发展,自21世纪初以来,它一直在上升,而2020年的Covid-19大流行使其普及率直线上升。根据最近的Instant Office研究,当今78%的雇主使用各种工具追踪他们的员工。

    通常情况下,员工监控软件由员工安装在其设备上的代理和允许管理人员接收日志和报告的监控仪表板组成。

    员工监控软件就像一个看不见的全能监督者。从击键到访问的网站,它收集了一个人在工作时间在电脑上做的几乎所有事情的信息。更先进的员工监控软件远不止收集数据这么简单。它们提供关于每个员工的生产力和工资计算的现成报告,基本上可以节省经理的时间。

    这类软件最公开的目的是监测员工的生产力。他们有多少时间花在项目上,又有多少时间–花在Youtube上有趣的猫咪视频上?他们是参与工作过程还是每隔10分钟就喝咖啡休息?他们是在谷歌上搜索与工作有关的信息还是周末去拉斯维加斯的廉价机票?员工监控应用程序的设计正是为了回答这类问题。

    除了发现偷懒者,员工监控软件还有几个不太明显但同样重要的目的。首先,它可以帮助发现挣扎的员工。无论他们是为不堪重负的工作量出汗,还是为他们作为年轻专家没有足够经验的任务出汗,他们都可能犹豫不决,不愿意告诉经理这些困难。揭示这些问题并小心翼翼地努力消除它们,不仅能提高生产力,还能改善办公室的气氛和你作为管理者的形象。

    尝试员工监控软件的另一个不太明显的原因是控制公司资源。你最近在打印纸上的开支是否增加了?你是否在员工不使用的软件上浪费了钱?在报告的帮助下找出答案。它们会显示员工在某一程序中工作的频率,或者他们是否因个人需要而使用办公室打印机。

    顶尖的员工监控软件配备了数据保护模块。它们可以防止访问、复制或发送机密信息,并在出现可疑情况时警告管理员。有了这个全知全能的卫士在手,你就不需要担心数据泄露或未经授权访问公司数据。

    这些只是员工监控工具可以解决的几个问题。让我们深入探讨这一主题,了解这一领域的顶级解决方案。

    # 员工监控软件的类型
    员工监控软件分为三种类型:时间跟踪、活动监控和数据丢失预防(或DLP)。

    # 员工监控软件的特点
    尽管市场上有大量的活动监控软件可供选择,但许多功能在大多数软件中都很典型。让我们来看看你可以从一个体面的员工监控应用程序中期待的功能。
    * 键盘记录。 记录击键是最有争议的功能之一。按键记录报告将证明员工是否在项目中工作,是否在WhatsApp上与朋友聊天,或者–更糟糕的是–将企业机密泄露给竞争对手。另一方面,键盘记录器会意外地记录敏感信息,如密码、银行信息或个人谈话。灵活的监控解决方案有禁用键盘记录的选项。
    * 截图。 该应用程序以固定的时间间隔或通过触发器对电脑屏幕进行抓拍。如果你想知道你的员工在任何时候做了什么,或者有证据证明他们参与了不受欢迎的活动,这个功能就很好。
    * 网络活动监测。 它意味着跟踪所访问的网站、社交网络和搜索查询以及用户在那里花费的时间。网络活动监测不仅在生产力方面(访问过的生产性/非生产性网站比率),而且在培训方面也很有用。如果你看到一个员工访问了很多与工作有关的特定主题/技能的网站,他们可能需要在该技能或领域进行培训。在这种情况下,提供培训将极大地提高生产力。
    * 应用监测。 这个功能包将显示监测设备上安装了哪些应用,哪些应用正在运行,以及用户使用这些应用的时间。除了生产力评估之外,跟踪应用程序可以作为一种手段,分析你的团队是否过度或不足。此外,你会知道员工是否在公司拥有的设备上安装了任何不需要的软件。
    * 应用程序阻止器。 与网站拦截器一样,应用程序拦截器消除了工作场所的干扰。如果你觉得它们影响了团队的生产力,你可以阻止信息应用、游戏或其他不需要的应用。
    * 文件操作跟踪 给你提供文件操作的完整列表,如创建、复制、通过电子邮件发送、打印和删除。这是监控敏感信息如何被处理的一种有效方式。
    * 便携式数据存储设备追踪。 员工经常通过将信息复制到U盘或通过电子邮件发送到公司网络之外来泄露信息。这就是为什么监控外部数据存储设备是确保重要数据不被转移到公司之外的一个好方法。
    * 电子邮件监控 是另一个有效的工具,以尽量减少数据泄漏的风险。它还可以用于质量评估,例如,如果你监测支持代理人或其他与客户合作的员工。
    * 打印机控制 有两个目的。首先,它可以帮助你计算和优化办公用品的支出,并发现那些可能在工作之外使用办公设备的员工。第二,打印出机密信息是一种普遍的数据泄露方法。有了监控日志在手,你就能随时知道是否有泄密事件发生以及谁是罪魁祸首。
    * 屏幕直播 允许你看到员工的屏幕,就像你坐在它前面一样。这样,你就可以检查你办公室里的任何工人(或所有人同时)此刻在做什么。一些应用程序可以吹嘘屏幕录制功能,因此你可以回去重新观看工作时间的任何一分钟。
    * 通过网络摄像头和话筒进行监控。 如果办公室的电脑有网络摄像头和麦克风,一个一流的员工监控应用程序可以从它们那里实时流传视频和声音,或者进行录音。这些功能可能既有助于提高生产力,又有助于整体办公安全,例如防止不当行为、盗窃或获取机密信息。
    * 生产力报告。 收集活动数据只是故事的一半–你必须对其进行分析,以确定生产力水平和改进步骤。幸运的是,系统将为你进行计算,你将在一眨眼的时间内拥有按员工、部门或整个团队分类的整齐的图表和图形。
    * 远程监控和配置。 你不需要访问员工的电脑来获得他们的生产力和行动的更新,或调整监控设置。现代系统可以通过各种方式传递日志。例如,你可以通过电子邮件、FTP或文件共享平台(如Google Drive或Dropbox)获得定期自动生成的报告。不过,这些方式有一些局限性,因为它们不允许对屏幕或网络摄像头进行实时监控。大多数现代应用程序将数据传送到在线仪表板上,而仪表板提供的功能远远超过查看原始数据。它们生成统计报告,实时流转屏幕或网络摄像头,并允许远程调整程序的设置。
    这是对员工监控解决方案中最受欢迎的功能的概述,但这个清单并不完整。一些应用程序可能有内置的工资计算器、地理位置跟踪、可疑行为分析模块、隐藏模式等。功能范围可能因程序不同而不同,取决于它的目的。例如,专注于防止数据泄漏的程序将包括更多跟踪用户和文件活动以及访问限制的功能。那些用于生产力监测的程序将提供时间跟踪和项目管理功能。当为你的公司选择一个解决方案时,我们建议首先确定监控的目标,并寻找一个具有必要功能的程序来实现它。

    适合办公室和远程员工的20大监控软件
    1. CleverControl
    2. Spyrix Employee Monitoring
    3. Actual Keylogger
    4. REFOG
    5. Teramind
    6. Hubstaff
    7. Insightful (Formerly Workpuls)
    8. ActivTrak
    9. CurrentWare
    10. Veriato
    11. Interguard
    12. Time Doctor
    13. Monday.com
    14. StaffCop
    15. DeskTime
    16. WebHR
    17. SentryPC
    18. BambooHR
    19. Connecteam
    20. Monitask
    `

  23. BH ASIA 2023内鬼数据安全解决方案
    https://mp.weixin.qq.com/s/AUA5ec7a0Gv0r_Pm0BFk4Q
    `
    # 前言
    作者来自于Netskope,一家2012年成立于加州的安全公司。这家公司入选Gartner Security Service Edge。产品包括DLP等。

    这个方案前提是包括使用USB,打印和使用手机拍照已经被治理。或者说,这三种不在他的考虑范围内。

    作者从三个方面定义一个数据外发的异常信号。

    * 数据量。哪个员工比平常更多的上传和下载
    * 文件性质。哪些文件包含敏感数据
    * 方向。哪些员工把数据存到了他们的个人云盘

    # 异常检测
    数据量检测方面,使用异常检测。

    主要是两类异常:

    * (同比)与员工平常的操作模式差别很大,例如平常只产生10个DLP的告警,但是今天产生了500个DLP告警
    * (环比)与公司其他员工差别很大,一天向Google Drive上传了2T的数据,明显高于其他员工

    # 数据打标
    这里用的是DLP的能力。作者并未提到如何更好的做数据打标。不过这个地方,我建议参照笔者之前公众号里的微软的方案。
    作者只是提到,以下几种情况DLP必须产出告警(不过我觉得是废话):

    * 知识产权
    * 保密信息
    * 合规相关数据(包括GDPR PCI-DSS等)

    # 应用实例打标
    这里的应用实例打标是作者认为,有很多应用,光看应用程序名是无法知道访问的是否为个人存储还是公司存储的。例如Google Drive可以是个人存储,也可以是公司存储。

    所以,这里作者使用了一些启发式的方法来标记一个应用实例是公司的,个人的还是其他情况。这里的例子是通过该应用访问的域名来进一步判定。

    # 检测效果
    通过以上方案,让策略更精细化,具备更丰富的信息。

    原先的策略是,在用户往google drive上传超过五个文件时产生告警。
    现在的策略变成了,在用户往他们个人云存储上传敏感信息时产生告警。

    # 一些统计数据
    75%的文件外传发生在最后50天

    # 总结
    * 使用异常检测来发现行为变化
    * 使用DLP,重点关注(敏感)数据外传
    * 将敏感数据外传和异常检测进行关联

    不足之处:
    * 只分析了有限的上传应用
    * 只分析了离职员工场景
    * 未知流量未考虑进来

    老实讲,我个人觉得这家公司做的没微软考虑的深。
    `
    https://www.blackhat.com/asia-23/briefings/schedule/#insider-threats-packing-their-bags-with-corporate-data-31111
    https://i.blackhat.com/Asia-23/AS-23-Mulugeta-Insider-Threats-Packing-Their-Bags-With-Corporate-Data.pdf

  24. Emerging Insider Threat Detection Solutions
    https://blogs.gartner.com/avivah-litan/2018/04/05/insider-threat-detection-replaces-dying-dlp/
    `
    五花八门的内部威胁(The Many Flavors of Insider Threats)

    Insider threats come in many flavors as depicted below in Figure 1, and there is no magic bullet that makes them go away. Technology selection may be the simplest piece of the solution puzzle. Much harder to address are the governance, people and process issues that must be grappled with before technology can be properly used.
    内部威胁有多种形式,如图1所示,没有什么灵丹妙药可以让它们消失。技术选择可能是解决这个难题最简单的部分。更难处理的是治理、人员和流程问题,这些问题必须在技术被正确使用之前解决。

    内部威胁检测技术解决方案(Technology Solutions for Insider Threat Detection)

    Still, there are various insider threat technology solutions that are effectively displacing legacy software as the ‘preferred’ solution. We put these alternatives into three buckets, each of which have their own limitations and issues:
    尽管如此,仍然有各种内部威胁技术解决方案有效地取代了传统软件,成为“首选”解决方案。我们将这些选择分为三类,每一类都有自己的局限性和问题:

    1. UEBA
    该领域的大多数供应商解决方案都能恰当地检测到异常登录行为,但在理解”非(企业)网络 “行为和将机器学习模型应用于该问题方面却很薄弱。它们中的大多数通常对结构化和非结构化数据的异常或未经授权的访问也视而不见,不过,如果有正确的数据源,这一点应该可以解决。

    2. 员工(或任何用户)监控
    监控应用程序是基于代理的监控工具,只要代理存在于用户的端点上,就能最全面地了解用户在组织中的活动。就目前而言,这些应用程序仍然是基于规则的(机器学习正在路线图上),用户可以编写自己的规则和策略,以确定他们想要检测的内容。例如,对于 UEBA 应用程序视而不见的复制和粘贴操作,这些产品都能清晰地检测到。

    3. 以数据为中心的审计和保护(DCAP)
    这些产品的可见性存在一些限制,因为“对用户和管理员的活动监控可能仅限于监控对某些分类数据集的访问,有些产品只关注分类数据集。”

    ==
    Insider threat detection is difficult. No technical solution on the market today will ever detect a trusted insider engaged in activities he or she is allowed to engage in that are nonetheless undertaken with malicious intent. For that we need an AI system that can decipher malicious vs innocent or good intent. And for that kind of AI model, we need unbiased humans to feed the model with unbiased training data. How likely is that ever to happen? I certainly wouldn’t hold your breath.
    内部威胁检测非常困难。目前市场上的任何技术解决方案都无法检测到受信任的内部人员在从事他或她被允许从事的活动时是否怀有恶意。为此,我们需要一个人工智能系统,它能解读恶意与无辜或善意的区别。而对于这种人工智能模型,我们需要不带偏见的人类为模型提供不带偏见的训练数据。这种事发生的可能性有多大?我当然不会屏息以待。

    Still, there are technical solutions on the market today that can go a long way towards detecting nefarious insider activities that can cause irreparable harm to organizations. Agent based user monitoring and analytic systems like ObserveIT currently have the most visibility into user activities that take place on the managed user endpoint. They can see everything and anything suspect that the user is doing from their endpoint, assuming the applications are told what to look for by humans who manage them.
    尽管如此,目前市场上仍有一些技术解决方案,可以在很大程度上检测可能对组织造成不可挽回伤害的恶意内部活动。基于代理的用户监视和分析系统(如ObserveIT)目前对托管用户端点上发生的用户活动具有最大的可见性。假设管理应用程序的人员告诉应用程序要查找什么,它们可以从端点看到用户正在执行的任何可疑操作。

    And “ayes, there’s the rub.” Clever humans will always be able to outmaneuver other humans that are simply not as clever. But that doesn’t mean we should simply give up and let them get away with it without an earnest – and potentially successful – fight.
    “是的,这就是问题所在。”聪明的人总是能够战胜那些不那么聪明的人。但这并不意味着我们应该轻易放弃,任由他们逍遥法外,而不进行认真的、有可能成功的斗争。
    `

  25. 个人信息泄露,公安部抓获行业“内鬼”2300余名
    https://www.freebuf.com/news/374402.html
    `
    公安机关开辟网络空间新战场,**“打源头、摧平台、断链条”**,全环节摧毁犯罪生态。锚定技术类侵犯公民个人信息犯罪源头,发起打击黑客犯罪集群战役,侦破一批利用木马病毒、钓鱼网站、渗透工具、网络爬虫等黑客手段窃取公民个人信息案件;锚定行业内部泄露源头,重拳打击行业“内鬼”,2020年以来共抓获**电信运营商、医院、保险公司、房地产、物业、快递公司**等行业“内鬼”2300余名;锚定买卖公民个人信息的重点网络平台,抓获了一批数据中间商和物料供应商;紧盯ChatGPT、云计算、区块链、“AI换脸”等新技术、新应用、新业态,侦破一批利用人工智能技术侵犯公民个人信息的新型案件;循线深挖下游犯罪线索,连带破获大量电信诈骗、套路贷、网络盗窃、网络洗钱等违法犯罪案件,形成“以点带面,全面开花”的打击态势。

    公安部聚焦人民群众“急难愁盼”,深入开展专项整治。针对快递信息泄露引发电信诈骗的问题,公安部会同中央网信办、国家邮政局联合开展为期6个月的邮政快递领域个人信息泄露治理专项行动,期间共侦破窃取、贩卖快递信息案件206起,抓获犯罪嫌疑人844名,其中快递公司内部人员240名。针对“AI换脸”导致群众被欺诈的问题,公安机关发起专项会战,侦破相关案件79起,抓获犯罪嫌疑人515名。针对装修、贷款等骚扰电话的问题,公安机关联合工商部门开展专项整治,惩处了一批非法买卖公民个人信息的金融公司、装修公司、物业公司和房地产公司,循线打掉多个电话推广犯罪团伙。

    此外,构建协同作战机制,打造综合治理格局。依托“净网”专项行动,公安部与中央网信办、最高人民法院、最高人民检察院、工业和信息化部等相关单位建立了长效合作机制,从严厉惩治犯罪、突出重点整治、加强行业监管、规范依法办案、开展宣传教育等多方面协同推进,形成了保护公民个人信息和数据安全的工作合力,构建起源头治理、综合治理、系统治理的工作格局。
    `

  26. 快手出了内贼,并暴击了股价?
    https://finance.sina.com.cn/stock/stockzmt/2024-08-30/doc-incmkumr9215264.shtml
    `
    6月19日左右,快手电商发布618大促阶段战报,官方公布的数据一片向好。
    比如,平台动销商家数同比增长26%,中小商家订单量同增25%,泛货架支付订单量同增65%;平台短视频挂车GMV同增66%。
    所有数据都在涨,股票却跌了。

    6月20日收获一根大绿线,当日收盘跌超5%,之后便开始了阴跌模式,走势如下图:

    8月29日收盘,快手股价约39港元,和6月19日收盘时52.2港元相比,跌幅达到:
    25%。
    处在今年股价最低点。

    就当股民以为是行情不好导致雄风不振时,昨晚,网上炸出一颗大瓜,说是外部给快手内部发去举报邮件,邮件内容说:
    快手内部员工泄露核心数据,精准面向市场后,导致股价下降。

    这份邮件发给了快手很多高管,包括联合创始人、现任一号位的程一笑。

    程一笑看完得苦笑。

    昨天,快手发布业绩公告,上半年总收入603.83亿元,同比增长14%,经调整利润净额90.67亿元,同比增长231.4%。
    一份增收又增利的业绩刚发完,迎头就被拍了一板砖。

    根据邮件所述,泄密员工M在快手集团投资发展部任职,利用职务之便,从今年2月起,频繁泄露公司核心数据及规划打法。
    **形式是通过接受访谈和出售相关报告**。

    第三方机构喜欢找大厂员工做“专家访谈”,以便了解行业动态,胆子大点的会试图套取机密。这行访谈价格不一,几百几千几万的都有。
    M同学利用变声器、马甲号把自己包装成快手专家受访。
    因为职务关系,M也能拿到竞品报告,于是她顺便扮演了字节系、拼多多、阿里系的专家受访,出售它们的报告,真正做到了一鱼多吃。
    一份报告税后能赚4-10万。
    半年时间,M同学大概赚了70多万。
    狗蛋说,大厂就是大厂,连假专家都这么值钱。
    有咨询公司的小伙伴感慨,以前在做实习生的时候就在想,别人是怎么联系到那么多专家的,怎么问出那么多信息的,一个敢问一个敢答,现在终于知道:
    是我太局限了。
    快手有个廉政合规部,专门治理腐败,M同学可以戴罪立功,原地入职。朱厚熜说了,要让英雄查英雄,让好汉查好汉。

    **举报邮件披露很多细节,连访谈用什么马甲,信息如何脱敏,收钱用谁的卡,访谈在公司会议室和家中进行,有时候晚上12点还在接单,who\when\where\how,小作文该有的要素都有了。**
    邮件最后,还附上M同学卖出去的部分报告。

    内容看起来真实得不像假的,有消息说,邮件为当事人前男友所发。

    果然爱情从不叫人失望,连背刺都是一击毙命的模样。

    网友怀疑,能把细节掌握得这么清楚,前男友可能没少参与出谋划策。

    曾任快手副总裁的赵丹阳,两年前因为受贿罪、职务侵占罪被判7年。
    他的捞钱方式是给外包公司搞点便利,比如加快付款、提供优惠,这些占大头。有时,他也通过虚构员工工资捞点小的,搞了40来万。
    接受第三方公司行贿款项大约668万,受贿时间跨度从2015年6月到2019年3月。
    今年5月爆出的另一起大厂受贿案中,一个超头部电商平台“店小二”,只用短短一年时间,就收受商家贿赂9200多万元。
    想到这,狗蛋说老铁厂还不够努力,规模和影响力有待提升。
    比下有余,比上还不足。
    一个员工半年才搞到70万,都不到人家的零头,一个副总裁快4年了才搞到七八百万,平均下来,每年也刚到人家“店小二”的零头。
    不过说到M同学泄密导致股价下跌,狗蛋觉得,亡国不能总怪女人。
    快手当年上市即巅峰,登陆港交所的第六个交易日,股价高达417港元,总市值1.7万亿港元。
    如今总市值只剩大约1700亿港元,蒸发了九成。
    这得多少个女同学才能办到,程一笑知道吗?
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注