[3]刷单-风控-内鬼


=Start=

缘由:

上半年的时候大致记录了一下刷单、风控和内鬼的前2个部分([1]刷单-风控-内鬼[2]刷单-风控-内鬼),第3部分内鬼这个因为内容比较敏感,且方便举例的样例不多所以一直也就没有写。不过前段时间网上和朋友圈里圆通因为内鬼泄露40万条信息而火了一把,也让我想起了这部分内容还没有写完,这里也就整理补充一下这部分的内容,一些较为敏感的内容就不写了,有机会的话可以当面交流,毕竟做企业安全防护的很多时候还是需要依赖信息不对称而获得一些比较优势的。

正文:

参考解答:

首先,看一看圆通的这个例子:

新京报11月17日消息,河北省邯郸市公安在今年8月接到圆通物流委托人报案称:其公司员工账号被本公司物流风险控制系统监测出有违规异地查询非本网点运单号信息的行为,导致大量客户隐私信息有可能泄露。

据邯郸永年区公安局反诈中心中队长王求东梳理,三名嫌疑人以每日500元的费用租用圆通物流公司内部员工系统账号进入物流系统,导出快递信息,并把窃取的快递信息进行整理后交给同伙,又通过微信、QQ等方式层层倒卖到全国及东南亚等电信诈骗高发区。涉案嫌疑人涉及河北、河南、山东等全国多个省市,涉案金额 120 余万元,被泄露的信息包括发件人地址、姓名、电话以及收件人电话、姓名、地址六个维度,总量超过 40 万条。

随后不久,圆通公司给出了它的回应:

【圆通速递:坚决配合打击涉及用户信息安全的违法行为】圆通速递发布声明称,圆通一贯坚决配合打击非法售卖和使用快递用户信息的行为。今年7月底,公司总部实时运行的风控系统监测到圆通速递河北省区下属加盟网点有两个账号存在非该网点运单信息的异常查询,判断为明显的异常操作,于第一时间关闭风险账号,同时立即成立由质控、安保、信息中心、网管以及河北省区组成的调查组,对此事件开展取证调查。调查发现,疑似有加盟网点个别员工与外部不法分子勾结,利用员工账号和第三方非法工具窃取运单信息,导致信息外泄。公司随后向当地公安部门报案。

如果不是新京报一举捅破了消息篓子,大众大概是不会知道圆通把这件事捂了整整两个月,毕竟“内鬼”这事,实在不光彩。但细究起来又有一丝心酸,因为哪家没出过几次内鬼呢?

对于从事企业安全(尤其是数据安全方向)的同学来说,这个案件里涉及到的检测其实很简单——账号借用/盗用,如果做了设备指纹和日志分析监控的话检测起来应该很容易(访问的内容涉及用户敏感信息,多设备,大量,工作范围外的查询,IM外发敏感内容的文件……)!也不知道圆通内部的风险监控系统什么时候上线的、具备什么功能、还有没有发现其它的问题,总之,从这个例子来看,他们的数据安全做的应该是比较差了,需要改进的点还有很多。

这个案例虽然说涉及到了内鬼,但是属于那种比较简单的内鬼,并没有太多的对抗、绕过意识,如果有的话,感觉以他们当前的状态来看应该也是发现不了。。。如何识别内鬼的一些细节和注意事项在这里不方便说,而且我知道的应该也只是一小部分思路方法,更多的经验还需要在以后的工作生活中不断积累。但有一个核心和几个方法是可以说的——抓住利益链、关系链,重要操作线上化、数据化,很多事情就容易有思路了,具体的方法就需要根据各自公司的实际情况和现状去做针对性的适配了。

天下熙熙皆为利来,天下攘攘皆为利往。

奇安信之前整理的一份报告里面指出了一个很重要的点——牟利永远是数据窃取的最强原动力。牟利、增加求职筹码及不正当利用造成了80%的数据泄露案件。

其它抓内鬼的文章可以参见「半佛仙人」的几篇文章,他确实是见多识广,也乐于分享,值得学习参考。


对于企业和安全团队来说,怎么去防内鬼、抓内鬼,核心思路或方法就是做到:不想,不敢,不能。更多的细节和展开就不说了,有机会互相当面交流吧。

补充:针对用户个人的一些安全建议

1、妥善处置各类单据。快递单、车票等包含个人信息的废弃资料,要涂改或撕毁处理后再丢弃。

2、身份证复印件要妥善保管。提供身份证复印件时,在含有身份信息区域注明『本复印件仅供xx用于xx用途,他用无效』和日期,复印完成后要清除复印机缓存。

3、要注意避免网购网站的陷阱。网络购物要仔细检查登录的网址,不要轻易接收和安装不明软件,要慎重填写银行账户和密码,防止个人信息泄露造成经济损失。

4、社交网络不要发布个人敏感信息的图片和内容。在微博、QQ空间、贴吧、论坛等社交网络尽可能避免透漏或标注真实身份信息,不晒包含个人信息的的照片。

5、免费福利不可贪。不要轻信『送上门的小便宜』,免费的礼品背后往往隐藏着大陷阱。提醒广大群众慎重参加网上、线下的各种调查活动,不要贸然填写或扫码,个人信息就在你不经意间泄露。

6、不要设置简单密码,有机会尽量给账户的重要操作增加双因素验证。简单来说就是,密码不要设置成123456、password、woaini123、123qaz、qwerasdf等这种烂大街的密码;对于和钱相关的网站、应用,在登录、转账等重要操作的时候,增加一下短信、动态口令等二次验证的逻辑(大多数金融网站、电商网站一般都有支持这种功能,设置一下就行)。

7、不同的购物/快递网站可以使用不同的ID/昵称/收货人信息,假设你姓刘,你在京东上买的东西,收货人可以写成刘京东;在淘宝上买的,收货人可以写成刘淘宝等等。当你的信息真的泄露了,比如有推销电话打过来了,一开口叫你刘xx,就很容易知道是xx公司泄露了你的信息。

参考链接:

40多万条信息泄露,圆通回应还“自我表扬”?专家:不打“老虎”没用!
https://mp.weixin.qq.com/s/CPNTuRVVG3i8VE3Wivva6g

你的信息,8毛/条 🤕
https://mp.weixin.qq.com/s/6EDd1cXMUB-wJkBl4Uts2Q

圆通中出了叛徒。。。
https://mp.weixin.qq.com/s/NxH35N70rU4QGZNXBVpyQQ

谁是内鬼?泄露了我们的个人信息···
https://mp.weixin.qq.com/s/yA7ySL4fBY6zS4pllg5cvQ

内鬼,无处不在
https://mp.weixin.qq.com/s/bbQrGeiljqTg1ub1sSArWw

奇安信发布《数据泄露典型判例分析报告》:泄密者八成是内鬼
https://mp.weixin.qq.com/s/7D6FNpIWKue7scKWLHTiOw

趣店数据疑似外泄,十万可买百万学生信息,离职员工称“内鬼”所为
https://mp.weixin.qq.com/s/dqGlU19r4HdGi7fWWWKHOQ

数据黑产调查:猖獗内鬼、黑客师徒与“灰色暴发户” |《财经》特别报道
https://mp.weixin.qq.com/s/3JwDeBZq9XgKYpMDszFIbw

不止圆通!N次数据泄露事件之后 为何企业依然频频中招?
https://mp.weixin.qq.com/s/hyuxyZQ2yrhBOCP2wyAs1A

=END=


《“[3]刷单-风控-内鬼”》 有 19 条评论

  1. 家贼难防!面对源源不断的内鬼泄密 企业该使什么招?
    https://mp.weixin.qq.com/s/cIMeXUa5_l-ZaviQ35uAkw

    拒绝数据泄露,数据资产的“人口普查”不容忽视
    https://mp.weixin.qq.com/s/IQ15WRBJqHhuHWUujeeNtw

    隐私都泄露成这样了,还磕CP呢??
    https://mp.weixin.qq.com/s/ioPMiJzyV_M9ip8qQVz52w

    唯品会被指泄露用户信息,有消费者被骗数万元 唯品会:已配合警方调查,基本排除平台泄露
    https://mp.weixin.qq.com/s/L14Im2SX2ln5L656tXufiA

    个人信息|一张快递单到底能泄露多少个人信息
    https://mp.weixin.qq.com/s/8J5gXf-h0V6eVHRMReW6rw

  2. “晒生活”也会暴露隐私?
    https://mp.weixin.qq.com/s/a2UYna4qQWkxeLqWzdl6rQ
    `
    # 青少年隐私泄露后果很严重吗?
    当隐私在网络上暴露后,信息可能会被公开售卖,甚至本人也将受到威胁谩骂、敲诈勒索。

    ## 案例1
    不法分子通过非法手段获取用户隐私后,出售游戏帐号、支付账号、电话号码、银行卡、身份证、户籍信息等。

    ## 案例2
    不法分子入侵用户手机通讯录或其他方式盗取用户私人信息,然后进行威胁、骚扰、诈骗。

    ## 案例3
    不法分子通过网上交友诱导用户暴露身体隐私及聊天录像,以色情视频为筹码对用户进行威胁以达到骗取钱财的目的。

    # 青少年如何避免暴露隐私受到伤害?

    ## 安全意识常驻心中
    可以分享自己的日常生活,但是在晒快乐的同时别忘了保护隐私,不要泄露过多详细信息(如电话号码、证件号码、各类密码、详细定位、住址、学校名称、父母工作地址、家庭经济状况等),如需要出示以上信息,一定要先征询父母的意见。

    ## 慎用公共场所免费网络
    不法分子在公共场所用一台电脑、一套无线网络及一个网络包分析软件就可以搭建一个不设密码的wifi,如果有人使用该wifi,就可以盗取手机上的资料。

    ## 在下载软件前先做辨别
    避免进入不合法的站点下载软件。这些恶意软件在后台收集用户的位置信息、通话记录、电话号码及短信,并将其上传至指定服务器实施诈骗等犯罪活动。

    ## 不关联银行账户
    游戏娱乐中不要把银行卡跟账户相关联,很多扣费代码是内置在游戏中,不用通过用户审核便直接扣费。

    ## 及时举报并告知家长
    收到带有攻击性、淫秽、威胁等语言的信件或信息,不要回答或反驳,要马上进行举报并告诉家长。
    `

  3. 从蛛丝马迹识别内部威胁
    https://www.secpulse.com/archives/155574.html
    `
    随着组织信息安全机制的建立健全,外部威胁的攻击门槛不断提高,从一定程度上遏制了外部恶意行为,相比起来内部威胁的表现形式更加隐蔽、危害程度更大,防范内部威胁正成为组织信息安全管理的重中之重。

    Verizon《2020年数据泄露调查报告》发现,2019年30%的数据泄露涉及内部人员,泄露事件遍及所有行业,其中又以政府,医疗,金融和教育机构面临威胁最大,这些机构存储着大量可以出售的宝贵数据。Ponemon研究机构的《2020年内部威胁成本报告》指出,组织遏制一个内部威胁事件所用时间平均为77天,平均每年花费1145万美元。

    ·内部威胁主要来自哪里?

    内部威胁的主要来源有三个:存在过失或疏忽的组织用户、恶意内部人员和用户凭证盗窃,这里可以扩展到合法访问组织敏感数据的任何人——员工、系统管理员和第三方承包商等,他们都有可能滥用访问权限进行内部攻击。

    ·为什么内部威胁危害较大?

    内部人员在大多数情况下不会发生恶意行为,因此针对内部人员的异常行为检测难度比检测外部攻击更难,这种检测机制的缺失会造成组织数据安全的巨大隐患;危害大的另一个原因主要是内部人士知道组织网络安全中的弱点,同时可能了解敏感数据的位置和性质,进行系统破坏或窃读数据的成功率更高。

    ·为什么内部威胁检测难度大?

    内部人员可以合法访问组织的数据,并且将大部分时间用于执行常规工作,即使存在违规行为,也很难发现。传统网络安全工具一般通过阈值来判断违规事件的发生迹象,一旦某种事件发生次数超过阈值,就会产生告警。内部人员进行数据盗窃等情况时会针对这种特性,采用少量、缓慢、低频行为进行违规操作,例如每天通过电子邮件泄露少量数据,要识别此类威胁,需将这种模式识别为需要调查的重复行为,进一步加以鉴别。因此真正检测发现恶意内部攻击需要很长时间,通常在组织面对严重的威胁后果时才变得明显。

    二、内部威胁模型概述

    早期模型都从内部攻击者的角度入手,其分析目的在于获取攻击者成功实施一次攻击所需要具备的要素,其中的主观要素包括动机、职业角色、具备的资源访问权限以及技能素养等,客观要素则包括目标的内部缺陷的访问控制策略等,由于此类模型多从用户的静态画像角度开展,通过对行为动机、心理因素等内在特征进行研究,因此被称为用户特征模型,又称为主体模型。

    用户特征模型更关注利用心理学和社会学等技术手段,监控并分析内部人员的心理状态变化,这种方法从一定程度上可以预测内部人员是否具有恶意意图,采用一定手段规避下一步恶意行为的发生,从而防患于未然。

    后期以用户行为习惯、行为偏好为研究内容的模型越来越多,这种模型被称为用户行为模型,又称为客体模型。行为分析模型主要通过深度解析历史记录中的用户行为数据形成用户行为特征,然后和用户操作的实时数据作对比,就能够识别出恶意的用户行为,并提出预警。

    用户特征分析和行为分析可互为补充,协同工作。但无论哪种模型都无法脱离“人”这个研究主体。即使存在少部分模型从网络流量、系统调用关系等角度进行研究,最终也要以“人”为单位对研究内容进行划分,定位追踪“人”的违规问题,无法完全脱离“人”的束缚。

    (1)SKRAM模型
    1998年,D.B.Parker提出了SKRAM(Skills, Knowledge, Resources, Authority, and Motives)模型[1]。

    (2)Frank的SKRAM风险评估模型
    Frank提出了一个基于SKRAM的实用风险评估模型[2],该模型有16个独立分值评判点,一个嫌疑人可以通过多种动机或在一个以上相关领域的技术熟练获得16分以上。中低风险嫌疑人风险评估值介于0至5分之间,中等风险嫌疑人的风险评估值介于6至11点之间,高风险个体的风险评估值介于12点以上。

    (3)CMO模型
    Wood.BJ提出可以从多种特征来描述内部人员的CMO模型,最早该模型只包括三个因素,分别是能力(Capability)、动机(Motivation)和机会(Opportunity),他将一个系统定义为“某个相关管理领域范围内的整体网络”,研究目标定义为“系统中易受恶意内部人员攻击的部分”。后期Wood对CMO模型进行了扩展[3],其所描述的内部人员特征与Parker模型中的特征部分重叠,包括:访问、知识、特权、技能、风险、策略、动机和过程。
    `

  4. 2020年数据泄露数据泄露报告
    https://www.ibm.com/downloads/cas/BK0BB0V1
    https://www.ibm.com/security/data-breach
    `
    这是 Ponemon Institute 连续第 15 年开展研究发布年度《数据泄露成本报告》,其中五年的报告由IBM Security 赞助和发布。我们希望企业可以利用此研究加快创新,同时也希望当不同类型和规模的组织在面临数据泄露和网络安全事件风险时,也能留住客户信任。

    今年的报告中加入了新的研究,可更加深入地了解我们长期使用的数据类型 — 其中包括数据泄露每条记录的成本以及数据泄露的根本原因。我们首次在研究中细分了被盗的每条记录的成本,以便基于泄露的记录类型来分析成本,这些记录类型包括客户个人身份信息 (PII)、员工 PII 以及知识产权 (IP)。在分析数据泄露根本原因时,我们更加深入地探索了更具体的恶意泄露类型,其中包括凭据被盗和内部人员威胁等。

    本次研究首次要求参与者识别被推定为对泄露负责的威胁主体类型,其中包括国家和受经济利益驱动的攻击者,我们的成本分析显示,最常见的恶意泄露类型,即受经济利益驱动的网络犯罪分子攻击导致的泄露,并非成本最高的类型。

    随着勒索软件和破坏性恶意软件的攻击日益普遍,我们在今年的报告中新增了成本分析,结果发现,这些致命攻击的平均泄露成本要高于数据泄露的整体平均水平。

    # 数据泄露统计信息
    平均总成本 – $3.86 百万
    成本最高的国家 – 美国
    成本最高的行业 – 医疗保健
    发现和控制所需的平均时间 – 280 天()
    恶意攻击引起的泄露 – 52%
    包含客户 PII 的泄露 – 80%

    本次研究使用了一种名为作业成本法 (ABC) 的会计方法,这种方法可识别活动并根据实际的使用分配成本。四项流程相关的活动造成了一系列与组织的数据泄露相关的支出:检测和升级、通知、数据泄露后响应以及失去业务。

    1. 检测和升级
    使公司能够合理发现泄露的活动。
    — 取证和调查活动
    — 评估与审计服务
    — 危机管理
    — 与管理层和董事会沟通

    2. 业务损失
    可最大程度减少客户流失、业务中断和收入损失的活动。
    — 因为系统停机造成的业务中断和收入损失
    — 客户流失和获取新客户的成本
    — 名誉受损和商誉降低

    3. 通知
    让公司能够通知数据主体、数据保护监管机构及其他第三方的活动。
    — 发送给数据主体的电子邮件、信函、通话或一般通知
    — 确定法规要求
    — 与监管机构沟通
    — 联系外部专家

    4. 事后分析响应
    帮助数据泄露受害者与公司沟通以及赔偿受害者和缴纳监管机构罚款的活动。
    — 帮助台和入站通信
    — 信用监控和身份保护服务
    — 开设新帐户或新信用卡
    — 法律支出
    — 产品折扣
    — 监管机构罚款

    凭据被盗或泄露是导致恶意攻击数据泄露的最昂贵的原因。

    云端的错误配置是泄露的主要原因。

    发现和控制泄露的平均时间因行业、地域和安全成熟度而千差万别(在 2020 年的研究中,发现泄露的平均时间为 207 天,控制泄露的平均时间为 73 天,平均“生命周期”为 280 天)。

    事件响应 (IR) 准备状态是企业最大的成本节省因素。

    面临更严格法规要求的组织承担的数据泄露成本会更高。医疗保健、能源、金融服务和制药行业发生的数据泄露平均总成本明显高于监管力度较小的行业,例如酒店、媒体和研究组织。在此研究中,公共部门组织的数据泄露成本一直处于末位,因为他们不太可能因为数据泄露而失去大量客户。

    多年来,研究一直在通过参与者了解引起数据泄露的原因。前几年的报告将这些根本原因分为三类:
    系统故障(IT 和业务流程故障);
    人为失误(玩忽职守的员工或承包商无意中引起数据泄露);
    以及恶意攻击(由黑客或犯罪的内部人士引起)。

    恶意攻击是大部分数据泄露的罪魁祸首。

    凭据被盗、云错误配置或第三方软件漏洞,是引起大部分恶意泄露的三大原因。

    # 可最大程度降低数据泄露带来的财务损失和品牌影响的措施

    * 投资安全编排、自动化和响应 (SOAR) 以缩短发现和响应时间。
    * 采用零信任安全模型,以防止在未经授权的情况下访问敏感数据。
    * 对响应计划开展压力测试以增强网络弹性。
    * 使用有助于保护和监控端点与远程员工的工具。
    * 投资治理、风险管理与合规计划。
    * 最大程度降低 IT 和安全环境的复杂性。
    * 利用政策和技术保护云环境中的敏感数据。
    * 使用托管的安全服务有助于缩小安全技能差距。
    `

  5. 舞弊三角理论以及舞弊三角理论要素分析
    http://xcjcy.org/jinrongbk/45664.html
    `
    舞弊三角理论是由美国注册舞弊审计师协会(ACFE)创始人、美国会计学会现任会长Jane F. Mutchler提出的。会长认为,压力、机会和自我合理化这三个要素组成了企业舞弊的产生,就像需要同时有一定的热量、燃料和氧气才能燃烧一样。没有以上任何一个要素,就不可能真正形成企业舞弊。压力可能是运营或财务困难以及对资本的迫切需求。机会可能是宽松或松懈的控制和不对称的信息。自我合理化可能是“我只是向公司借的,不是偷的”,“我只是想暂时度过困难时期”,“我的出发点是为了一个美好的愿望”等等。舞弊三角理论中的三个因素成对相互作用。

    企业舞弊的原因由三个要素构成:压力、机会和借口,这也是注册会计师在美国最新反舞弊准则(SAS第99号)中应注意的舞弊发生的主要条件。

    1、压力因素是企业欺诈者的行为动机。刺激个人为了自己的利益进行企业舞弊。一般来说,压力可以分为四类:经济压力、工作相关压力、恶癖压力和其他压力。

    2、机会因素是指企业欺诈可以进行,并且可以被隐藏而不被发现或逃避处罚的机会。主要有六种情况:

      (1)缺乏发现企业舞弊的内部控制;
      (2)无法判断工作质量;
      (3)缺乏惩罚措施;
      (4)信息不对称;
      (5)能力不足;
      (6)审计制度不完善。

    3、面对压力,获得机会后,还有最后一个要素——借口(自我合理化),意思就是要让企业舞弊行为与自己的道德观念行为相符,舞弊者需要给自己找个理由,无所谓这一理由是否是合理的。通常情况下,企业舞弊者的理由包括:都是公司欠我的;我只是暂时借这个资金,我一定会还的;我的目的是善意的,我的使用是正当的,等等。

    压力、机会、借口三个要素缺一不可,缺少任何一个,都无法真正形成企业舞弊,这就是舞弊三角理论。
    `

    Google scholar 舞弊三角理论
    https://scholar.google.com/scholar?q=%E8%88%9E%E5%BC%8A%E4%B8%89%E8%A7%92%E7%90%86%E8%AE%BA&hl=zh-CN&as_sdt=0&as_vis=1&oi=scholart

    舞弊三角理论
    https://wiki.mbalib.com/wiki/%E8%88%9E%E5%BC%8A%E4%B8%89%E8%A7%92%E8%AE%BA

  6. 离职期员工的信息安全管控实践
    https://mp.weixin.qq.com/s/hIIyFbx562WREErC9Ygw0Q
    `
    # 第一节:预离职员工的工作权限回收

    员工的工作权限回收特指账号回收、特权回收,包括两种机制:一种是系统自动清理机制,一种是手工工单流程清理机制。前者需要在 HR 系统中明确离职日期,由各 IT 系统与 HR 系统自动完成离职日过期后的账号权限自动清理动作;后者需要预离职员工自己主动发起工单流程,在最后离职日审核前,完成相关账号权限的清理动作。发生上述两类行为时,对其直接上级自动触发离职员工权限审视电子流。

    # 第二节:预离职员工的日常行为监控和预警

    在员工提出正式离职后,应对员工的日常工作行为监控,并对异常行为进行预警。可采取的常规措施包括:追溯离职前的员工异常行为、每日发送行为跟踪报告、高敏操作实时审计、已有安全管控措施升级。

    * 追溯发起离职日前六个月的异常行为报告,通过邮件将报告发给员工上级领导提醒关注。异常行为报告的内容应包括六个月内触发的异常行为记录,含告警时间、告警类型、告警事件等描述。

    * 每日邮件发送员工行为跟踪报告给员工及其直接上级,员工行为跟踪报告内容可包括办公类信息如办公 IM 日沟通量、日桌面操作时长、日邮件发送量、考勤信息等,也可包括业务操作信息如 IT 运维使用堡垒机记录、开发人员请求代码记录、业务人员访问业务系统记录等。

    * 针对高敏操作进行实时审计,特别是对日常使用含有敏感数据的业务系统的员工,或 IT 运维、开发人员进行数据库访问、查询取数、下载数据、同步数据、源代码等行为。对高敏操作审计要同步到信息安全监控系统中,由信息安全团队或部门安全员进行实时检视,一旦研判为可疑行为应和预离职员工领导第一时间确认是否正常。

    * 已有安全管控措施升级,是指在不影响员工体验的情况下,可以采取强化升级的安全管控措施增加对员工违法违规的威慑。如已部署屏幕水印 /APP 水印可以水印加深,通讯录查询数量、次数限制、已部署文件 / 磁盘加密措施自动加密笔记本数据类的大文件或高密级文档等。

    # 第三节:预离职员工的继续教育

    * 在离职流程中,签署《信息安全和保密承诺书》声明,员工承诺“不记录、不带走、不泄露”各项公司资料和敏感信息,归还或销毁在职期间各类已获得的公司资料或敏感信息。

    * 在离职期间内,完成《安全意识培训课程》和《违法违规案例警示》学习,并通过在线安全教育考试,考试成绩通过邮件发送至本人及其直接上级,若第一次考试不通过,可第二次考试,两次考试均不通过,延迟离职期一个月,直至考试通过。

    * 对部分核心、高级岗位,在离职流程中,签署《竞业协议》文件,保护企业的商业机密。

    # 第四节:预离职员工的工作申请和审批

    在离职期间内,针对一些数据分析、IT 运维、系统开发等岗位员工,为使其能正常完成相关工作,依然需要保留一定的系统权限,这时需要对这些岗位的高敏操作采用“一用一申请,一用一审批”的流程机制,降低员工违规风险。

    对于核心或机要岗位员工,应规定在职期间的脱密期,一般为六个月,根据企业情况可以给予一定的保密津贴,员工离职前至少提前六个月申请脱密,并强化保密义务。

    对于员工丢失办公机或因各种原因无法归还办公机的情况,应由员工提供公安机关出具的报案证明,方可启动资产报废流程。同时信息安全团队和办公团队应建立办公机互联网上线监控机制,远程定位机制,远程擦除办公机数据机制等技术措施,进一步防范企业的数据泄露风险。
    `

  7. 他们竟用后台数据偷窥喜欢的女性!Facebook一年半解雇52名工程师
    https://mp.weixin.qq.com/s/9ZL7OUM3kv7tMq25YfSDBg
    `
    用户数据竟然一直在Facebook面前「裸奔」。近日,一本新书《丑陋的真相:Facebook统治之战内幕》扒出,FB曾在一年半的时间里开除了52名工程师。其中大部分人在滥用后台数据查看自己感兴趣的女性用户的信息。

    据一本新书《丑陋的真相:Facebook统治之战内幕》透露,在2014年1月至2015年8月期间,这52名员工因为擅自访问用户的个人数据而被解雇。
    而令人震惊的是,当时有超过1.6万名员工都有权限访问这些数据。

    书中提到,一位男工程师因为约会不顺利而开始在Facebook的后台翻找他约会对象的信息;此外,还有一位工程师在第一次约会之前就开始翻看对方的Facebook信息。

    Facebook的信息管理系统被设计成公开、透明的,因此所有员工都可以使用。这是扎克伯格创始精神的一部分,他要砍掉那些拖累工程师、阻碍他们快速、独立工作的繁文缛节。不过,这一规则是在Facebook只有不到一百名员工的时候制定的。
    然而,在多年之后,整个公司已经有了上万名工程师,却没有人重新审视这一做法。
    除了员工本身的善意,没有任何东西可以阻止他们滥用对用户个人信息的访问。

    作者透露,平均每个月有3名员工被发现利用Facebook用户的个人数据谋取私利。
    而大多数员工滥用用户个人数据的情况涉及男性查找他们感兴趣的女性的Facebook资料。
    首席安全官Alex Stamos在上任后告诉高管:工程师「几乎每个月都在滥用他们的权限和侵犯用户的隐私」。
    扎克伯格听后「大吃一惊」,问道:「为什么没有人想到要重新评估工程师用来访问用户数据的系统。」
    然而,房间里没有人指出:这是一个他自己设计和实施的系统。

    正如书中所揭示的,数据滥用之所以成为可能,是因为该系统被设计为对所有员工开放,以便「削减那些拖累工程师并阻止他们快速、独立工作的繁文缛节」。

    「这些拥有大量你的数据的公司永远不能被信任。」

    「Big Tech is Watching You !」
    `
    https://www.telegraph.co.uk/news/2021/07/12/exclusive-extract-facebooks-engineers-spied-women/

  8. Insider threats escalate and thrive in the Dark Web (不断升级的内部威胁)
    https://blogs.gartner.com/avivah-litan/2016/06/21/insider-threats-escalate-and-thrive-in-the-dark-web/

    What is an Insider Threat? Definition and Examples (内部威胁是什么?定义和样例)
    https://www.varonis.com/blog/insider-threats/

    What Are Insider Threats and How Can You Mitigate Them?
    https://securityintelligence.com/posts/what-are-insider-threats-and-how-can-you-mitigate-them/

  9. A guide to balancing external threats and insider risk
    平衡外部威胁和内部风险的指南
    https://www.microsoft.com/security/blog/2021/07/22/a-guide-to-balancing-external-threats-and-insider-risk/
    `
    Natalia: What is the biggest barrier that organizations face in addressing insider risk?

    Natalia: How do you assess the success of an insider risk program?

    Natalia: How does measuring internal threats differ from measuring external threats?

    Natalia: How do you balance protecting against external threats and managing insider risks?

    Natalia: What best practices would you recommend for data governance and information protection?

    Natalia: Who needs to be involved in managing and reducing insider risk, and how?

    Natalia: What’s next in the world of data regulation?

    Natalia: How will advancements like cloud computing and AI change the risk landscape?

    (An insider can do anything an outsider can do, and they can do it much easier.)一个局内人能做任何一个局外人能做的事,而且他们做起来容易得多。
    `

  10. 美军核潜艇机密泄露案:如何防御受过内部威胁培训的内部威胁者?
    https://www.4hou.com/posts/vL5g

    What CISOs can learn from the US Navy insider who stole nuclear secrets
    https://www.csoonline.com/article/3641410/what-cisos-can-learn-from-the-navy-insider-who-went-undetected-stealing-us-nuclear-secrets.html

    What is an insider threat? 7 warning signs to watch for
    https://www.csoonline.com/article/3323402/what-is-an-insider-threat-7-warning-signs-to-watch-for.html?page=2
    `
    These are the warning signs that an insider might become a threat.

    1. Major changes at the organization
    2. Personality and behavioral changes
    3. Employees leaving the company
    4. Insiders accessing large amounts of data
    5. Unauthorized insider attempts to access servers and data
    6. Authorized but unusual insider access to servers and data
    7. Attempts to move data offsite

    1. 组织将要/正在/已经发生重大变化
    2. 员工的个性和行为改变
    3. 员工将要离职
    4. 内部人员访问大量数据
    5. 未经授权的内部人员试图访问服务器和数据
    6. 已获授权但不寻常的内部访问服务器和数据
    7. 试图将数据移出站点/公司
    `

  11. Lapsus$组织攻击微软的手法以及几点启示
    https://mp.weixin.qq.com/s/AG-ITyHlwesxS2k-5BzgKg
    `
    一、微软部分源码泄露事件来龙去脉

    二、微软被攻击分析(转自鸟哥)

    三、攻击者使用的攻击手法

    3月22日,微软MSTIC、DART、MS365 Defender威胁情报团队发布了《DEV-0537 criminal actor targeting organizations for data exfiltration and destruction》报告,详细分析了攻击者的攻击手法(TTPs),并给出了安全建议,挺有意思。

    1、攻击者收集了目标的大量信息,包括:组织架构、help desk,应急响应流程、供应链关系等,主要是用于发送钓鱼邮件,以及重置目标用户的凭证。手段包括:

    * 部署Redline Stealer恶意软件,窃取密码和session token
    * 购买凭证和session token
    * 向攻击目标企业(或供应商和合作伙伴)的员工购买证书和通过MFA认证
    * 在公共代码库中搜索公开凭据

    然后使用泄露的凭证或session token访问面向互联网的系统和应用,包括:VPN、RDP、VDI、Okta。

    2、对于使用MFA的目标企业,攻击者用两种技术突破MFA机制:session token replay and using stolen passwords

    session token replay 会话令牌重放可能是实现MFA功能时不规范,代码机制在时效、范围时有错误。

    using stolen passwords 是指窃取密码后,再钓鱼诱导受害者触发点击MFA认证通过的提示(二次认证的确认机制时get请求、csrf风险、或者提示不明显)。

    还有一个姿势是窃取员工的个人邮箱,通过个人账户做第二因素身份验证或密码恢复。

    3、通过招募目标企业员工成功进入攻击目标(员工提供身份凭据并通过MFA的提示,或者安装anydesk或其他远程管理软件)(你怕不怕?)

    目前,Lapsus$ 的 Telegram 频道已经拥有 45000 多名订阅者。微软指出,Lapsus$ 曾在该频道中发布一则广告,希望招募各主要手机厂商、大型软件与游戏公司、托管服务企业以及客服中心的内部员工。

    至少自 2021 年 11 月以来,Lapsus$ 就一直通过各个社交媒体平台收买企业内部员工。去年,Lapsus$ 团伙的核心成员之一就曾经使用“Oklaqq”和“WhiteDoxbin”等昵称在 Reddit 上发布招募信息,表示愿意为 AT&T、T-Mobile 以及 Verizon 的员工开出每周 2 万美元的价码,换取对方为其执行某些“内部工作”。

    招募员工,是指愿意接受付费的企业内部员工(同谋),必须提供他们的凭据并批准 MFA 提示,或者让攻击者在公司工作站上安装 AnyDesk 或其他远程管理软件(美剧纸牌屋有这样的剧情…) 。以下是LAPSUS$招募员工以获得目标企业网络访问权限的广告截图:

    4、攻击者进入目标后,会访问JIRA、Gitlab和Confluence(用这些软件的企业是不是菊花一紧^_^),并尝试使用JIRA、Gitlab、Confluence的漏洞进行提权,以及使用DC Sync、Mimikatz、Ntdsutil

    报告提到攻击者还会致电help desk,试图重置特权账户的凭据。所以企业内部设置了特权账户重置密码等高风险操作流程的,可以review一下过去重置特权账户的是不是都是没问题的?

    5、攻击者拥有专门的基础设施,而且知道企业的安全检测规则(不同地理位置登录账户的检测),会选择地理上与目标相似的VPN出口,然后从目标下载敏感数据

    6、攻击者也会尝试攻击目标的云租户特权账户(AWS、Azure),并有创建账户和删除数据的行为

    7、攻击者还会监听组织应急响应处置和内部讨论(Slack、Teams、电话会议),深入了解被攻击者的心理状态。(玩心理战,偷窥狂啊)

    8、微软披露了自己受到攻击的范围和影响,这点好像国内从来没有公司做过

    微软有一个观点:源代码泄露不会增加风险。微软观点的理由是:微软的威胁模型假设攻击者已经了解他们的软件是如何工作的,无论是通过逆向工程还是以前的源代码泄漏。

    “在微软,我们有一种内部源代码方法——使用开源软件开发最佳实践和类似开源的文化——使源代码在微软内部可见。这意味着我们的产品安全性不依赖于源代码的保密性,我们的威胁模型假设攻击者了解源代码。”微软在一篇关于SolarWinds攻击者获取其源代码访问权限的博客文章中解释道:“因此查看(泄露)源代码与风险提升无关。”

    这个观点颇有争议。微软“源码泄露无风险”的说法也许并不准确。源代码存储库通常还包含访问令牌、凭据、API密钥,甚至代码签名证书。

    当Lapsus$入侵NVIDIA并发布泄露数据时,其中还包括代码签名证书,其他攻击者可使用这些证书给他们的恶意软件代码赋予合法签名,造成更大的威胁。因为NVIDIA的代码签名证书能够帮助恶意软件绕过防病毒引擎。

    9、最后微软还给出了安全建议,第一条就是加强MFA

    四、给我们的启示

    * 目前很多人都太低估对手,对方可能比你更懂你司IT架构,对手可能已经直接拿下你司任意一人,APT组织可能已经持续潜伏控制你司多年,假设这些是可能,还是本来就是常态?
    * 攻防双方争夺焦点是账号和身份验证,怎么突破MFA认证。这点在国内普遍还是盲区。大家还在给账号上MFA验证的建设上,怎么建设更健壮的MFA大多数还没考虑
    * 使用更安全的MFA因子
    * 付费招募员工提供凭证和远程接入这个很难防御,不给员工基础的信任安全投入成本会高很多。联想到去年hw,有人在闲鱼上买内部VPN ,然后内网一把梭了…
    * 通用组件漏洞(JIRA、Confluence等),需要加强漏洞运营,完成漏洞修复
    * 开发规范里,禁止将API密钥、凭据或访问令牌等“秘密”包含在其源代码存储库中,监督规范落地,确保规范得到落实执行
    * 加强对云上账户凭证和权限的管控和检测
    `

  12. 上网行为管理软件能看到微信聊天记录吗?
    https://www.v2ex.com/t/849327
    `
    如果采用截屏的方式监管的话还是可以的
    =
    一律当看得到处理
    =
    排除企业微信。电脑上装了监控软件是可以的。根据流量分析,只知道你用了微信,不知道聊天内容
    =
    深信服是肯定可以的,可以通过域控来静默向 PC 端推送插件,然后通过截屏的方式以图片的形式保存下来,我在前司部署过;当时测试是只能看到 WINDOWS 的,由于公司用 MAC 电脑的人少,没有做测试

    微信和 QQ 在 PC 端的聊天记录都是通过截图的方式实现,手机端的看不到,另外微信 PC 端跟别人发的文件深信服会截取下来保存在他的服务器上,后台的审计管理员可以下载下来查看
    =
    我知道我朋友他们公司的管理软件是会随机对屏幕截图的,公司电脑和私人的东西,硬件隔离才是王道啊
    =
    可以,但是需要预装后门。如果是自用设备,接入公司内网,则不会。
    比如 sxf 的 AC 流量审计设备,会提供一个 agent ,装在目标电脑上。
    其实就是一个根证书,通过它,可以解密 SSL 流量。
    AC 有一个专门的功能就是查询微信聊天记录的。
    还有 https 网站的浏览记录,QQ ,邮件及附件之类的
    =
    上网行为管理看的东西没终端安全管理系统的多
    装了 DLP 的,你的电脑在管理员面前等于透明
    =
    主要看你的终端有没有安装客户端或者一些根证书等
    =
    海外一样会监控公司的电脑, 手机和网络啊. 公司发的 Mac 和 iPhone 全都装了自己的监控软件.
    虽然没深信服这么专业, 但大部分监控感知也是都有的.

    自己要聊微信就别连公司的网络或者用公司的电脑了. 从硬件上就要公私分开.
    =
    以前有次一个国外合作公司的人来中国出差,也是个中国人,
    我们叫他出来吃喝,那人说:等下班儿时间过了再说,公司电脑有监控,如果闲置,公司会发现。
    我们说:那你抱着电脑出来没事敲一下? 他说:不行,电脑有 GPS 。
    `
    AC11.8 怎么监控QQ和微信聊天记录(深信服可以看到)
    https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=138213

  13. 【以案说法】侵犯公民个人信息需承担法律责任
    http://www.cbimc.cn/content/2022-01/18/content_455859.html
    `
    # 对于黑客或内鬼来说,泄漏公民个人信息的量刑标准如下

    对于【行踪轨迹信息、通信内容、征信信息、财产信息】,非法获取、出售或者提供【50条】以上即算“情节严重”;
    对于【住宿信息、通信记录、健康生理信息、交易信息等】其他可能影响人身、财产安全的公民个人信息,标准则是【500条】以上;
    对于【其他公民个人信息】,标准为【5000条】以上。

    ==

    # 侵犯公民个人信息应承担的法律责任

    (一)相关法律规定和出台背景。

    为保护公民个人信息,2009年2月28日起施行的《中华人民共和国刑法修正案(七)》在刑法第二百五十三条后增加了一条,作为第二百五十三条之一,规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪。近年来,侵犯公民个人信息犯罪处于高发态势,而且与电信网络诈骗、敲诈勒索、绑架等犯罪呈合流态势,社会危害更加严重。

    为加大对公民个人信息的保护力度,2015年11月1日起施行的《中华人民共和国刑法修正案(九)》对刑法第二百五十三条之一内容作出修改完善:一是扩大犯罪主体的范围,规定任何单位和个人违反国家有关规定,获取、出售或者提供公民个人信息,情节严重的,都构成犯罪;二是明确规定将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,从重处罚;三是加重法定刑,增加规定“情节特别严重的,处三年以上七年以下有期徒刑,并处罚金”。修改后,“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”被整合为“侵犯公民个人信息罪”。

    2017年,最高人民法院、最高人民检察院又联合出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》),对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。

    2021年11月1日,我国首部专门针对个人信息保护的系统性、综合性法律《中华人民共和国个人信息保护法》正式实施,使银行对个人信息保护从一般监管性要求上升到强制性法律要求,必将进一步敦促银行完善客户信息保护机制。

    (二)哪些属于公民个人信息。刑法相关规定中的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

    对于银行工作人员在履行职责过程中获得的客户征信信息、财产信息等属于刑法重点保护的个人信息。

    (三)何种行为构成犯罪。侵犯公民个人信息罪的入罪要件为“情节严重”。对于这里的“情节严重”,《司法解释》明确了违法所得5000元以上等十项认定标准。

    值得注意的是,根据不同类型公民个人信息的重要程度,《司法解释》设置了不同的数量标准。【对于行踪轨迹信息、通信内容、征信信息、财产信息,非法获取、出售或者提供50条以上即算“情节严重”;对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息,标准则是500条以上;对于其他公民个人信息,标准为5000条以上。】

    (四)对“内鬼”降低入罪门槛。目前,对于公民个人信息泄露造成最大危害的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。如何严厉打击侵害公民个人信息的“内鬼”?《司法解释》规定,在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人,数量或者数额达到《司法解释》规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。《司法解释》对行业内部人员泄露信息降低了入罪门槛,为司法机关更好地打击这类犯罪提供了法律基础。这里需注意的是银行工作人员,将其在工作中获得的客户征信信息、财产信息等出售或非法提供给他人,数量超过25条或违法所得超过2500元的,将构成侵犯公民个人信息罪。

    (五)量刑和罚金标准。根据《中华人民共和国刑法》第二百五十三条规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

    《司法解释》同时明确,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的一倍以上五倍以下。侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,《司法解释》加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。
    `

  14. 侵犯公民个人信息罪如何定罪量刑?
    http://www.xinhuanet.com/zgjx/2017-05/10/c_136270352.htm
    `
    # 焦点1:如何界定“公民个人信息”范围?包括姓名、身份证件号码、行踪轨迹等全面信息

    # 焦点2:对提供、获取行踪轨迹等“敏感信息”如何量刑?  50 条即可入罪

      根据刑法规定,侵犯公民个人信息罪的入罪要件为“情节严重”。对于这里的“情节严重”,本次出台的司法解释明确了违法所得 5000 元以上等十项认定标准。

      值得注意的是,根据不同类型公民个人信息的重要程度,司法解释设置了不同的数量标准。
    对于【行踪轨迹信息、通信内容、征信信息、财产信息】,非法获取、出售或者提供 50 条以上即算“情节严重”;
    对于【住宿信息、通信记录、健康生理信息、交易信息等】其他可能影响人身、财产安全的公民个人信息,标准则是 500条以上;
    对于【其他公民个人信息,】标准为 5000 条以上。

      “定罪量刑标准的确立有利于法律的统一、准确实施,对严厉打击侵犯公民个人信息犯罪提供了有力的法律武器。”最高人民检察院法律政策研究室副主任缐杰说,办案部门对于涉案的公民个人信息,首先应当分类进行分析,如果每一个类型相对应的公民个人信息都没有达到 50 条、 500 条、 5000 条的,司法解释规定还要对其按照相应比例进行合计。

      缐杰举例说,某个案件涉及公民轨迹信息等敏感信息 20 条,住宿信息等重要信息 350 条,就要按照1和10 倍比关系进行折算。 350 条重要信息折算成 35条敏感信息,两项合计 55 条,就要追究刑事责任。

    # 焦点3:如何严打“内鬼”?降低内部人员入罪门槛(相关标准一半以上)

      “目前,对于公民个人信息泄露造成最大危害的,主要是银行、教育、工商、电信、快递、证券、电商等行业的内部人员泄露数据。”公安部网络技术研发中心主任许剑卓说。

      如何严打侵害公民个人信息的“内鬼”?本次出台的司法解释规定,在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到司法解释规定的相关标准一半以上的,即可认定为刑法规定的“情节严重”,构成犯罪。

      “司法解释对行业内部人员泄露信息降低了入罪门槛,为我们更好地打击这类犯罪提供了法律基础。对于任何侵犯公民个人信息的案件,我们都要追查源头,深挖行业内鬼。”许剑卓说。

      在严打“内鬼”的同时,司法解释还进一步明确了网络服务提供者的义务。其中规定,网络服务提供者拒不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,致使用户的公民个人信息泄露,造成严重后果的,应当依照刑法相关规定,以拒不履行信息网络安全管理义务罪定罪处罚。

    # 焦点4:对为推销产品购买个人信息如何惩处?获利5万元即可入罪

      刚买完房,中介就打电话询问是否出租;孩子刚出生,推销幼儿产品的电话就找上门了……种种怪相令人生疑:这些商家为了推销产品,就可以堂而皇之获取个人信息加以利用?

      颜茂昆说,从实践来看,非法购买、收受公民个人信息,从事广告推销等活动的情形较为普遍。为贯彻体现宽严相济刑事政策,本次出台的司法解释对这种情形设置了入罪标准。

      根据司法解释规定,为合法经营活动而非法购买、收受敏感信息以外的公民个人信息,具有利用非法购买、收受的公民个人信息获利五万元以上等情形的,应当认定为“情节严重”,构成犯罪。

    # 焦点5:如何加大对侵犯公民个人信息犯罪惩罚力度?罚金最高可达违法所得5倍

      颜茂昆表示,本次出台的司法解释的另一大亮点,是明确了侵犯公民个人信息犯罪的罚金刑适用规则。

      司法解释明确,对于侵犯公民个人信息犯罪,应当综合考虑犯罪的危害程度、犯罪的违法所得数额以及被告人的前科情况、认罪悔罪态度等,依法判处罚金。罚金数额一般在违法所得的1倍以上5倍以下。

      颜茂昆说,侵犯公民个人信息犯罪具有明显的牟利性,行为人实施该类犯罪主要是为了牟取非法利益。因此,有必要加大财产刑的适用力度,让行为人在经济上得不偿失,进而剥夺其再次实施此类犯罪的经济能力。
    `

  15. 公民个人信息类型和数量如何认定
    https://www.spp.gov.cn/spp/llyj/202110/t20211012_531987.shtml
    `
    刑法第253条之一规定,违反国家规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处罚金或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)第一条规定,“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等;第五条规定,非法获取、出售或者提供行踪轨迹信息、财产信息等以外的公民个人信息5000条以上的,应当认定为“情节严重”,数量达到前款规定标准10倍以上的,应当认定为“情节特别严重”。由于司法解释根据非法获取、出售或者提供的公民个人信息类型、数量分别设置了不同的量刑幅度,因此该类案件的争议焦点多为涉案公民个人信息类型、数量的认定。

    结合本案证据,本案非法获取的公民个人信息包括姓名、身份证号码、手机号、紧急联系人、户籍所在地等,上述信息并不属于行踪轨迹信息、财产信息、通信信息等个人信息,而属于一般公民个人信息。根据司法解释的规定,非法获取普通公民个人信息5000条以上才达到情节严重的标准,5万条以上才达到情节特别严重的标准。

    《解释》第5条第6款明确规定:数量未达到第3款至第5款规定标准,但是按相应比例合计达到有关数量标准的,应当认定为刑法第253条之一规定的“情节严重”。结合《解释》第5条第1款第3项至第5项规定,入罪标准分为“特别敏感个人信息50条”“敏感个人信息500条”“一般个人信息5000条”三档,并且呈现1∶10∶100的比例。

    2017年6月1日施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,在就何种情形应当认定为刑法第253条之一规定的“情节严重”作出解释时,事实上将个人信息类型划定为三个档次。第一档50条:行踪轨迹信息、通信内容、征信信息、财产信息;第二档500条:住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;第三档5000条:其他类型的个人信息。

    特别敏感个人信息:4种,行踪轨迹信息、通信内容、征信信息、财产信息;
    敏感个人信息:住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息;
    一般个人信息:除上面2种类型之外的个人信息,比如姓名/身份证号/手机号等。
    `

  16. 如何更好地防范撞库和拖库
    https://www.aqniu.com/learn/35241.html

    防数据泄露_MySQL库和数据安全
    https://www.cnblogs.com/mysticbinary/p/14468989.html
    `
    # 外部入侵
    这里有很多种渠道,还是以WEB举例:
    • SQL注入 -> WEB服务器 -> 利用注入语句操作数据库 -> 数据库
    • 上传SHELL -> WEB服务器 -> 通过命令操作数据库 -> 数据库
    • 上传SHELL -> WEB服务器 -> 直接复制数据库文件 -> 数据库

    # 内部盗取
    内部也有很多种渠道,这里举例两个常见场景:
    • 有数据库管理权限,直接操作数据库
    • 无数据库管理权限,通过内部的业务系统间接操作数据库
    • 无数据库管理权限,直接复制数据库文件
    `

  17. 信息泄露之拖库撞库思考及安全防御策略
    https://www.nsfocus.com.cn/upload/contents/2015/06/2015_06251659409521.pdf

    `
    # 有权限
    0. 清理不需要的账号和权限,对弱密码进行治理,对高危漏洞进行修复,避免因为弱密码等低级失误导致数据泄露
    1. SQL注入被拖库 -> 记录SQL增删改查的操作日志,做实时审计和分析;另外就是WAF理论上应该也可以起到一部分作用
    2. 对高敏字段进行加密存储,业务测可能需要针对性的改造,而且性能也会有一定损失,这个可以仅针对特别敏感的表/字段进行
    3. 有权限人员的监守自盗 -> 库表权限控制(仅限特定账号)、访问控制(仅限特定来源)、操作审计(登录/查询)、服务器命令操作记录、DLP外发监控
    4. 添加影子表/列,起到类似蜜罐的作用(但这一点需要和业务方以及DBA沟通确认后再进行)
    5. 同步/导入测试环境时要进行脱敏处理,这一点很容易漏,生产环境的安全性做的还行,但是测试环境就没人关注了,数据直接过去被搞走的可能性就增加了很多

    # 无权限
    6. 库表文件操作审计,文件系统加密或者库表文件拷贝操作监控
    `

发表评论

您的电子邮箱地址不会被公开。