=Start=
缘由:
最近在写一个文档,和数据安全审计相关的,需要有全局视角,思来想去好像还是用数据安全能力成熟度模型(DSMM, Data Security Maturity Model)中的数据生命周期来描述比较合适,一是因为这是一个数据安全领域通用的模型/框架,用起来不会错也不容易引发不必要的论战,二是因为确实比较好理解,更容易给没有相关背景知识的人讲。
这里简单记录一下“数据交换”阶段的数据渗漏风险,后面视具体情况看是否继续更新。
正文:
参考解答:
DSMM中数据生存周期分为以下6个阶段:
- a) 数据采集: 组织内部系统中新产生数据,以及从外部系统收集数据的阶段;(一般是SDL从代码层面去控制,再加上一些功能/流量异常检测的监控)
- b) 数据传输: 数据从一个实体传输到另一个实体的阶段;(主要通过加密和HTTPS来解决,但也需要有一些流量异常检测的监控)
- c) 数据存储: 数据以任何数字格式进行存储的阶段;(一般通过网络隔离可以解决掉这一块大部分的风险,但生产网内部的安全,比如默认不出网和HIDS/RASP等能力要能覆盖,还有SDL来覆盖代码/接口层面的一些异常)
- d) 数据处理: 组织在内部对数据进行计算、分析、可视化等操作的阶段;(知其所需,最小特权,全量审计日志记录,冷权限回收,批量操作审计,敏感操作审计,……)
- e) 数据交换: 组织与组织或个人进行数据交换的阶段;(一般是用DLP兜底,但最好的办法还是敏感数据不落地,敏感数据仅在安全可控的空间内可用不可见,且操作全程有记录,否则一旦落了地,就会遇到下面ATT&CK中的Exfiltration这一部分,而且大部分企业真实环境对于攻击者来说会比下面描述的条件要更友好,不论是package方法还是media媒介抑或是network或者agent等维度的检测逃避,真实环境中真的是很难兜住前面步骤中埋下的坑)
- f) 数据销毁: 对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。(一般公司遇不到,但也是一种很大的容易忽略的风险,简单的操作就是多进行几次强加密,然后把密钥给删掉)
特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个阶段或是其中的几个阶段。
Exfiltration
The adversary is trying to steal data. 对手正试图窃取数据。
Exfiltration consists of techniques that adversaries may use to steal data from your network. Once they’ve collected data, adversaries often package it to avoid detection while removing it. This can include compression and encryption. Techniques for getting data out of a target network typically include transferring it over their command and control channel or an alternate channel and may also include putting size limits on the transmission. 泄露包括攻击者可能用来从你的网络中窃取数据的技术。一旦他们收集到了数据,攻击者通常会将其打包,以避免在转移数据时被发现。打包方式包括压缩和加密。将获取数据的从目标网络带走的技术通常包括通过其命令和控制通道或备用通道传输数据,还可能包括对传输设置大小限制。
Techniques
Techniques: 9
ID | Name | Description | |
T1020 | Automated Exfiltration 自动化渗漏 | Adversaries may exfiltrate data, such as sensitive documents, through the use of automated processing after being gathered during Collection. 攻击者可能会在收集过程中收集到数据(比如敏感文档)后,通过使用自动处理来泄露数据。 | |
.001 | Traffic Duplication 流量复制 | Adversaries may leverage traffic mirroring in order to automate data exfiltration over compromised network infrastructure. Traffic mirroring is a native feature for some network devices and used for network analysis and may be configured to duplicate traffic and forward to one or more destinations for analysis by a network analyzer or other monitoring device. 攻击者可能利用流量镜像在被攻陷的网络基础设施上自动进行数据泄露。流量镜像是一些网络设备的固有特性,用于网络分析,可以配置成复制流量并将其转发到一个或多个目的地,以供网络分析器或其他监控设备进行使用。 | |
T1030 | Data Transfer Size Limits 数据传输大小限制 | An adversary may exfiltrate data in fixed size chunks instead of whole files or limit packet sizes below certain thresholds. This approach may be used to avoid triggering network data transfer threshold alerts. 攻击者可能会通过传输固定大小的数据块,而不是整个文件或者将数据包大小限制在某些阈值以下来泄漏数据。这种方法可用于避免触发网络数据传输阈值警报。 | |
T1048 | Exfiltration Over Alternative Protocol 通过替代协议进行泄漏 | Adversaries may steal data by exfiltrating it over a different protocol than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过与现有命令和控制通道不同的协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。 | |
.001 | Exfiltration Over Symmetric Encrypted Non-C2 Protocol 通过对称加密非C2协议进行泄漏 | Adversaries may steal data by exfiltrating it over a symmetrically encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过非现有命令和控制通道的对称加密网络协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。 | |
.002 | Exfiltration Over Asymmetric Encrypted Non-C2 Protocol 通过非对称加密非C2协议进行泄漏 | Adversaries may steal data by exfiltrating it over an asymmetrically encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过非对称加密的网络协议而不是现有的命令和控制通道来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。 | |
.003 | Exfiltration Over Unencrypted Non-C2 Protocol 通过未加密的非C2协议进行泄漏 | Adversaries may steal data by exfiltrating it over an un-encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过现有命令和控制通道以外的未加密网络协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。 | |
T1041 | Exfiltration Over C2 Channel 通过C2通道泄漏 | Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the normal communications channel using the same protocol as command and control communications. 攻击者可以通过现有的命令和控制通道窃取数据。被盗数据被编码到使用与命令和控制通信相同的协议的正常通信通道中。 | |
T1011 | Exfiltration Over Other Network Medium 通过其他网络介质进行泄漏 | Adversaries may attempt to exfiltrate data over a different network medium than the command and control channel. If the command and control network is a wired Internet connection, the exfiltration may occur, for example, over a WiFi connection, modem, cellular data connection, Bluetooth, or another radio frequency (RF) channel. 攻击者可能试图通过不同于命令和控制通道的网络媒介窃取数据。如果命令和控制网络是有线Internet连接,则可能通过WiFi连接、调制解调器、蜂窝数据连接、蓝牙或其他射频通道进行泄露。 | |
.001 | Exfiltration Over Bluetooth 通过蓝牙进行泄漏 | Adversaries may attempt to exfiltrate data over Bluetooth rather than the command and control channel. If the command and control network is a wired Internet connection, an adversary may opt to exfiltrate data using a Bluetooth communication channel. 攻击者可能试图通过蓝牙而不是命令和控制通道窃取数据。如果命令和控制网络是有线Internet连接,攻击者可能会选择使用蓝牙通信通道窃取数据。 | |
T1052 | Exfiltration Over Physical Medium 通过物理介质进行泄漏 | Adversaries may attempt to exfiltrate data via a physical medium, such as a removable drive. In certain circumstances, such as an air-gapped network compromise, exfiltration could occur via a physical medium or device introduced by a user. Such media could be an external hard drive, USB drive, cellular phone, MP3 player, or other removable storage and processing device. The physical medium or device could be used as the final exfiltration point or to hop between otherwise disconnected systems. 攻击者可能试图通过物理介质(如可移动驱动器)窃取数据。在某些情况下,例如an air-gapped network compromise,可能会通过用户引入的物理介质或设备进行泄漏。这种媒体可以是外部硬盘驱动器、USB驱动器、移动电话、MP3播放器或其他可移动存储和处理设备。物理介质或设备可以用作最终的泄漏点或在其他断开的系统之间跳转。 | |
.001 | Exfiltration over USB 通过USB进行泄漏 | Adversaries may attempt to exfiltrate data over a USB connected physical device. In certain circumstances, such as an air-gapped network compromise, exfiltration could occur via a USB device introduced by a user. The USB device could be used as the final exfiltration point or to hop between otherwise disconnected systems. | |
T1567 | Exfiltration Over Web Service 通过Web服务进行泄漏 | Adversaries may use an existing, legitimate external Web service to exfiltrate data rather than their primary command and control channel. Popular Web services acting as an exfiltration mechanism may give a significant amount of cover due to the likelihood that hosts within a network are already communicating with them prior to compromise. Firewall rules may also already exist to permit traffic to these services. 攻击者可能使用已有的、合法的外部Web服务来窃取数据,而不是使用其主要的命令和控制通道。流行的Web服务作为一种泄露机制可能会提供大量的掩护,因为网络中的主机可能在泄露之前就已经与它们进行了通信。也可能已经存在防火墙规则来允许与这些服务的通信。 | |
.001 | Exfiltration to Code Repository 借助代码仓库进行泄漏 | Adversaries may exfiltrate data to a code repository rather than over their primary command and control channel. Code repositories are often accessible via an API (ex: https://api.github.com). Access to these APIs are often over HTTPS, which gives the adversary an additional level of protection. 攻击者可能会将数据泄露到代码仓库,而不是通过他们的主要命令和控制通道。代码库通常可以通过API访问(例如 https://api.github.com)。通常通过HTTPS访问这些API,这为攻击者提供了额外的保护级别。 | |
.002 | Exfiltration to Cloud Storage 借助云存储进行泄漏 | Adversaries may exfiltrate data to a cloud storage service rather than over their primary command and control channel. Cloud storage services allow for the storage, edit, and retrieval of data from a remote cloud storage server over the Internet. 云存储服务允许通过Internet存储、编辑和检索来自远程云存储服务器的数据。 | |
T1029 | Scheduled Transfer 计划转移 | Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be done to blend traffic patterns with normal activity or availability. 攻击者可以仅在一天中的特定时间或特定间隔执行数据泄露计划。这可以将流量模式与正常活动或可用性混合在一起。 | |
T1537 | Transfer Data to Cloud Account 将数据传输到云帐户 | Adversaries may exfiltrate data by transferring the data, including backups of cloud environments, to another cloud account they control on the same service to avoid typical file transfers/downloads and network-based exfiltration detection. 攻击者可能通过将数据(包括云环境的备份)传输到他们在同一服务上控制的另一个云帐户来泄漏数据,以避免典型的文件传输/下载和基于网络的泄漏检测。 |
另外,说句实话,ATT&CK框架中的这一部分感觉没什么逻辑,有点乱,不符合金字塔原理中提到的MECE(相互独立,完全穷尽)的原则,直接用这个来讲可能会被喷,最多只能拿过来做个参考,看看ATT&CK框架中技战术的覆盖情况。
参考链接:
信息安全技术 数据安全能力成熟度模型
https://dsmm.cesidsat.com/assets/file/standard.pdf
数据安全复合治理与实践白皮书-学习思考
https://ixyzero.com/blog/archives/5204.html
DATA PROTECTION 101 – What is Data Exfiltration?
https://www.digitalguardian.com/blog/what-data-exfiltration
Advanced data exfiltration – the way Q would have done it
http://www.iamit.org/blog/wp-content/uploads/2012/01/Advanced-data-exfiltration-%E2%80%93-the-way-Q-would-have-done-it.pdf
数据渗漏(Data Exfiltration),比数据泄漏更隐蔽!
https://blog.51cto.com/yepeng/649540
MITRE ATT&CK
https://attack.mitre.org/
Exfiltration
https://attack.mitre.org/versions/v12/tactics/TA0010/
=END=
《 “数据渗漏(Data Exfiltration)” 》 有 9 条评论
大数据开发治理平台 DataWorks>数据治理>数据保护伞>配置数据规则>风险识别管理
https://www.alibabacloud.com/help/zh/dataworks/latest/risk-identification-management-new
https://help.aliyun.com/document_detail/424394.html
`
风险识别管理提供了多维度的关联分析及算法,智能化的分析技术帮助您通过风险识别规则,主动发现风险操作并预警,使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则,您可以直接使用,也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。
# 背景信息
数据输入DataWorks后会经过数据保护伞进行过滤处理,旧版风险识别管理的风险识别功能仅当涉及敏感数据时才会被识别为风险,不支持操作审计相关场景及事件统计聚合场景的识别。因此,DataWorks为解决该问题,为您提供了功能更加全面的新版风险识别管理功能。具体如下:
* 易用性好包含**数据访问**风险、**数据导出**风险、**数据操作**风险、其他风险类型等4类风险类型,并支持**访问时间**、**敏感类型**、**访问量**等多种维度组合识别各类风险。
* 精准度高增加事件聚合统计比较,通过比较时间窗口内事件发生次数的阈值,更精准识别风险,减少大量误报。例如,在10分钟内发生相同事件3次以上才会命中风险。
* 精细化管理支持配置高、中、低的风险级别,根据风险级别精细化管理风险。
* 规则灵活内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。
非工作时间查询大数据量敏感数据 数据访问风险 低 如下时间段查询数据量大于10000时命中该规则。(周一至周五:22:00~24:00。周六至周日:00:00~24:00。)
相似SQL查询 数据访问风险 低 十分钟内查询相似SQL大于等于10次时,命中该规则。
批量查询大量敏感数据 数据访问风险 中 单次查询数据量大于10000时命中该规则。
**批量导出大量敏感数据** 数据导出风险 高 单次导出数据量大于10000时命中该规则。
**非工作时间导出大数据量敏感数据** 数据导出风险 高 如下时间段导出数据量大于10000时命中该规则。(周一至周五:22:00~24:00。周六至周日:00:00~24:00。)
==
**数据访问**风险、**数据导出**风险、**数据操作**风险、其他风险类型等4类风险类型,并支持**访问时间**、**敏感类型**、**访问量**等多种维度组合识别各类风险。
`
之前刚说【数据销毁】是“一般公司遇不到,但也是一种很大的容易忽略的风险”没想到这么快就来了个例子,虽然不是直接泄漏大批量敏感数据,但是泄漏内部网络配置和凭证信息这个对于别有用心的人来说能造成的危害还是很大的。
被忽略的风险,二手路由器竟成黑客的“秘密武器”
https://www.freebuf.com/news/364654.html
`
据BleepingComputer 4月23日消息,网络安全公司 ESET的研究人员发现,在二手市场上售卖的一些企业级路由器中还存在未被擦除干净的敏感数据,能够被黑客用来破坏企业环境或获取客户信息。
研究人员购买了 18 台二手核心路由器,其中包括 4 台 Cisco(ASA 5500)、3 台 Fortinet(Fortigate 系列)和 11 台 Juniper Networks(SRX 系列服务网关)。核心路由器是大型网络的主干,能够连接所有其他网络设备,它们支持多种数据通信接口,能以最高速度转发 IP 数据包。研究人员发现,其中一半以上仍然可以访问完整的配置数据,这些配置数据能够透露其所有者之前是如何设置网络,以及其他系统之间连接的大量详细信息。
此外,一些路由器还保留了客户信息、允许第三方连接到网络的数据,甚至是作为可信方连接到其他网络的凭证,他们还在这些暴露了配置数据的路由器中发现了连接多台路由器的认证密钥和哈希值。
研究人员表示,这些路由器透露的内部数据一般只有网络管理员及企业管理层等高权限人群可见, 比如VPN 凭据或其他容易破解的身份验证令牌,黑客完全可能利用这些数据制定高隐蔽性的攻击策略,比如冒充网络或内部主机进行攻击。他们甚至发现其中一台路由器属于托管安全服务提供商 (MSSP),该提供商为不同行业(例如教育、金融、医疗保健、制造)的数百个客户处理网络。
对于将要淘汰的企业网络设备,管理员需要运行一些命令来安全地擦除配置并进行重置,否则,路由器可以启动到恢复模式,并暴露之前的设置信息。因此,研究人员强调,公司应制定安全销毁和处置其数字设备的程序。
`
https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/
Discarded, not destroyed: Old routers reveal corporate secrets
https://www.welivesecurity.com/2023/04/18/discarded-not-destroyed-old-routers-reveal-corporate-secrets/
How I (could’ve) stolen your corporate secrets for $100
https://www.welivesecurity.com/wp-content/uploads/2023/04/used_routers_corporate_secrets.pdf
Q3 Ransomware and Network Access Report – KELA
https://ke-la.com/wp-content/uploads/2022/10/KELA-RESEARCH_Ransomware-Victims-and-Network-Access-Sales-in-Q3-2022.pdf
Guidelines for Media Sanitization
https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
Detecting Insider Threats 检测内部威胁
https://www.jamf.com/blog/detecting-insider-threats-information-security/
`
User Activity Monitoring
设备监控 Endpoint Monitoring
网络监控 Network Monitoring
Anomaly Detection
用户行为分析 User Behavior Analytics
机器学习 Machine Learning
Data Loss Prevention
内容分析 Content Analysis
网络分析 Network Analysis
一些建议Insider Threat Detection Best Practices
* Conduct an inventory and assess the risk value of organizational resources, including data and compliance requirements that may apply
* Determine a classification system that clearly determines the sensitivity and criticality levels of your data
* Develop data handling and remediation policies
* Align organizational needs and policies with endpoint security solutions to develop a defense-in-depth approach to mitigate insider threats
* As part of your security plan, implement a centralized DLP solution with clearly documented consistent practices, processes and workflows
* Execute your security plan alongside feedback from industry leaders, best practices, organizational needs and the evolving threat landscape
* Document all incidents, true and false positives, and be prepared to update your security plan with iterative feedback from lessons learned
* Institute an ongoing training program to educate employees, contractors and management on how to protect against and spot insider threats
* Align security strategies with administrative organizational policies, such as acceptable use policy (AUP) to ensure that all stakeholders understand their role in data protection
* Phased implementation is often an effective, long-term approach to DLP. One that prioritizes data types and communication channels in compliance with organizational needs
简单来说就是——先摸底(盘点评估),根据数据的敏感性和量级还有法律合规要求制定一些政策,搞一个安全计划,分阶段进行培训、审计、反馈更新等一轮一轮的PDCA循环。
`
https://www.jamf.com/blog/overcome-unanticipated-business-risks/
成熟度·数据·安全
http://blog.nsfocus.net/cmm/
`
提到成熟度模型,让大家最先想到得是软件能力成熟度模型CMM,它有个升级版,CMMI(Capability Maturity Model Integration)[1],评价和指导组织在软件开发各种能力评估框架。CMMI认证分为CMMI1-初始级、CMMI2-已管理级、CMMI3-已定义级、CMMI4-定量管理级、CMMI5-持续优化级,一共是5个等级。
数据管理能力成熟度评估模型(简称DCMM,Data management Capability Maturity assessment Model),针对组织在数据管理、应用能力的评估框架,通过数据能力成熟度级别,组织可以清楚的定义数据当前所处的发展阶段以及未来发展方向。
DCMM,定义了数据能力成熟度评价的8大能力域:数据战略、数据治理、数据架构、数据标准、数据质量、数据安全、数据应用、数据生命周期管理。每个能力域包括若干数据管理领域的能力项,共29个。
数据安全能力成熟度模型标准,由全国信息安全标准化技术委员会 (SAC/ TC260 ) 提出并发布,《GB/T 37988-2019数据管理能力成熟度评估模型》[5],2020年3月1日开始实施。
数据安全能力成熟度模型,简称DSMM(Data Security Capability Maturity Model),以组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力四个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
数据安全过程包含数据生存周期安全过程域(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全)和通用安全过程域。特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个过程或是其中的几个过程。 每个数据生存周期安全过程均由若干过程域PA,只有每个过程域PA的目标实现了,才表示该安全过程得以控制。
5.1 数据安全量化管理度量指标
DSMM成熟度模型第4级,量化控制,是比较高的成熟度等级,处在这一等级的组织,在数据安全管理上已经达到比较高的水准。参考DSMM标准和《数据安全法》,可以构建一个量化管理的度量指标。
数据资产梳理:
重要业务系统梳理完成率
数据资产清查完成率
分类分级:
数据分类分级完成率
数据安全保护:
网络数据泄漏检测覆盖率
邮件数据泄漏检测覆盖率
办公终端数据泄漏检测覆盖率
数据库访问审计覆盖率
敏感数据静态脱敏覆盖率
应用系统敏感数据动态脱敏覆盖率
敏感文档加密覆盖率
数据处理全生命周期审计追溯覆盖率
事件处置:
数据安全事件平均处置时间MTTR
数据安全相关“重要/严重”级别事件处置百分比
数据安全事件月平均数量
安全事件和未打补丁资产的关联百分比
授权与访问:
数据库超级权限账号数目
普通用户MFA访问应用系统百分比
管理员通过堡垒机访问服务器百分比
`
[2]数据管理能力成熟度评估模型DCMM,http://www.dcmm.org.cn/
[3]DMM, https://stage.cmmiinstitute.com/dmm
[4]DCAM, https://edmcouncil.org/page/aboutdcamreview
[5]数据安全能力成熟度模型DSMM,https://www.dsmm.com.cn/
[6]数据处理活动,http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
工信部关于《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)
http://www.echinagov.com/info/340815
`
(一)体系框架
工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理。技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作。新兴融合领域标准包括智能制造、工业互联网领域数据安全标准。垂直行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1所示。
1.基础共性标准
基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。
1.1 术语定义
术语定义用于规范工业数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。
1.2 分类分级规则
分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。
1.3 识别认定
识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。
1.4 分级防护
分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。
2.安全管理标准
安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括风险监测与应急处置、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。
2.1 风险监测与应急处置
风险监测与应急处置标准用于规范工业数据安全风险监测与应急处置,主要包括工业数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急预案与处置、信息上报与共享、数据容灾备份标准。
2.2 数据处理安全
数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。
2.3 组织人员管理
组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。
3.技术产品标准
技术产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术产品标准子体系如图4所示。
3.1 数据分类分级技术产品
数据分类分级技术产品标准用规范数据资产盘点、标识、分析方面技术产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。
3.2 数据安全防护技术产品
数据安全防护技术产品标准用于规范数据收集、存储、使用、加工、传输方面技术产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复、可信执行环境标准。
3.3 数据行为防控技术产品
数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计方面技术产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计标准。
3.4 数据共享安全技术产品
数据共享安全技术产品标准用于规范数据提供、公开方面技术产品要求,主要包括数据溯源、多方安全计算、联邦学习标准。
4.安全评估与产业评价标准
安全评估与产业评价标准用于支撑工业数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所示。
4.1 安全评估
安全评估标准用于指导评估机构开展数据安全风险评估能力评估、出境安全评估工作,主要包括工业数据安全风险评估、数据安全能力评估、数据出境安全评估标准。
4.2 产业评价
产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全服务能力要求、数据安全产业竞争力评价标准。
`
工业领域数据安全标准体系建设指南(2023版)(征求意见稿)
https://mp.weixin.qq.com/s/MpHxt3Za1Yb2pQUG___6ig
`
# A 基础共性
AA 术语定义
工业数据安全术语
AB 分类分级规则
工业数据分类分级指南、标识规则
AC识别认定
工业领域重要数据识别指南
AD 分级防护
工业企业数据安全防护要求
# B 安全管理
BA 风险监测与应急处置
BAA 监测预警
工业数据安全监测预警实施指南、监测接口规范
BAB 应急处置
工业数据安全事件分类分级指南、事件管理指南、应急预案与处置要求
BAC 信息上报和共享
工业数据安全风险信息上报和共享指南、风险信息上报和共享接口规范
BAD 数据容灾备份
工业数据灾备管理要求
BB 数据处理安全
BBA 数据使用安全
工业数据使用安全要求
BBB 数据共享安全
工业数据共享安全要求、接口安全要求
BBC 数据出境安全
工业数据出境安全要求
BC 组织人员管理
BCA 组织机构管理
工业数据安全组织机构建设指南
BCB 人员管理
工业数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求
# C 技术产品
CA 数据分类分级技术产品
CAA 数据分类分级
数据分类分级产品技术要求和测试评价方法
CAB 数据血缘分析
数据血缘分析技术要求
CAC 数据质量管理
数据清洗比对技术要求
CB 数据安全防护技术产品
CBA 数据防篡改
数据防篡改产品技术要求和测试评价方法
CBB 数据加密
数据加密产品技术要求和测试评价方法
CBC 数据脱敏
数据脱敏产品技术要求和测试评价方法
CBD 数据防泄漏
数据防泄漏产品技术要求和测试评价方法
CBE 数据销毁
数据销毁产品技术要求和测试评价方法
CBF 数据恢复
数据恢复产品技术要求和测试评价方法
CBG 可信执行环境
可信执行环境技术要求
CC 数据行为防控技术产品
CCA 用户行为分析
数据异常行为识别技术要求
CCB 数据流转监测
数据安全监测技术要求
CCC 数据安全态势感知
数据安全态势感知技术要求
CCD 安全审计
数据安全审计产品技术要求和测试评价方法
CD 数据共享安全技术产品
CDA 数据溯源
数据追踪溯源技术要求
CDB 多方安全计算
多方安全计算技术要求
CDC 联邦学习
联邦学习技术要求
# D 安全评估与产业评价
DA 安全评估
DAA 风险评估
工业领域数据安全风险评估指南、工业数据安全评估指南
DAB 能力评估
工业企业数据安全能力评估指南
DAC 出境评估
工业数据出境安全评估指南
DB 产业评价
DBA 产业评价指标
数据安全产业评价指标
DBB 服务能力评价
数据安全服务机构能力评价、数据安全服务能力要求
DBC 产业竞争力评价
数据安全产业竞争力评价
`
企业发生安全事件时,如何报警立案? | 总第189周
https://mp.weixin.qq.com/s/nzKweXUK5uFcsIEkj7z6HQ
`
请教各位大佬,一般遇到什么级别的安全事件,会报警呢,报警需要达到什么标准?
A1:对照 285、286、287、253 和 219 量刑标准看,共享个《员工法律风险防控培训》材料(作者:Monyer)
A2:想报警的时候报警,具体可以咨询下辖区的网警,什么样的能立案。我理解很多单位还是把报不报当一个决策。
A3:别人搞你,没搞进来被你发现了,你可以报警。别人搞你,刚搞进来,就被你发现了,没损失,可以不报警。别人搞你,搞进来很久了你才发现,那必须报警。
A4:一案双查,也得小心。不是涉及到个人隐私啥的,立案难度也很大。
A5:这个看企业在当地的地位,还有当地网安是否需要充业绩了。另外报警实操还是比较困难的。要先举证自己的损失,损失要能量化达到标准。
Q:举证责任在企业还是由网安查证?
A6:举证责任在企业,一般需要电子取证专业团队。
A7:不需要那么专业,但要能计算出来准确的损失。
A8:之前有个案子,带犯人回来的路上,jc一边翻书一边问我们:“你说他这个适用哪条法律起诉呢?”一般企业报案,是已经查完嫌疑人在哪儿的。
A9:jc有结案率考核的,所以很多时候,你不能证明这个案子能抓到人,他们会谨慎立案。但如果有热点能结合,jc会处于政绩,积极接。比如数据泄露,比如电信诈骗,比如扫黄。要看当时热点在哪里。
A10:很多地方警察压根没能力啊。以前地市的案子,一个快退休的老警察,带一个刚考公的小姑娘,俩人都一脸懵。
Q:有一个疑问,是在嫌疑人所在地报,还是企业总部所在地报?是在发生损失的(总部)所在地报警吗?
A11:一般是企业所在地报,jc会跨区抓。
A12:我们好像是按关系报,在与企业关系比较好的地市报。哪里容易立案,不然你跑到一个鸟不拉屎的地方,案子很难搞的。一些企业在某些地市,jc还会上门服务。
A13:跨省不太方便吧,尤其是河北跨到北京上海这种。
A14:看你报案之前能提供多少数据了。数据够用,如证据、嫌疑人定位都要有,跨省也不是问题。
A15:找有关系的地方,然后租个当地机房的服务器,迁移一些业务过去,当地就有管辖权了。
A16:警方阶段没问题,有的地方检察院会挑战,我们遇到过。而且这种情况挺多,不批捕,或最终判不了。你们后来认了吗?
A17:还在拉扯,好在我们弄的那台服务器放的数据跟案子有关联。
# 总结
当企业发现安全事件时,应根据不同情况来选择是否报警,尽量提供足够的证据,确保证据的完备性,保护企业利益。
在举证方面,企业需要承担举证责任,一般需要电子取证专业团队查询,及时收集和保留能够证明安全事件的相关证据和记录,将证据准确地提交给有关部门。
当企业面临法律风险时,可以选择网络安全维权平台或法律途径等多种途径进行维权解决。
此外,在报案时可选择企业所在地报,选择有良好关系的地方警方,为后续的调查提供便利。在资金充足的情况下,根据安全事件实际情况,在有业务或租用机房的地方立案来解决跨区维权问题。
最后,企业应加强网络安全事件监测和应急预案演练,积极防范安全风险。
`
漏洞实战 | 数据泄露
https://mp.weixin.qq.com/s/Z21a_MeXrJR6iSoPwWOEBA
`
API安全指的是确保应用程序接口的安全性,以防止未经授权的访问、数据泄露、篡改或其他恶意攻击。
# API架构
API,即应用程序接口,是应用程序之间通信的关键协议。它们定义了如何请求和响应资源或服务,使不同的应用程序可以集成和互操作。API接口通常包括请求方法(如GET、POST、PUT、DELETE等)、请求头、请求体、响应状态码、响应头和响应体等部分。这些元素共同构成了应用程序之间的信息交流方式。
以下是一些常见的API架构和规范:
## SOAP
SOAP在过去被广泛用于Web服务,它是基于XML 格式的,现在也有使用但不多,因为SOAP消息基于XML格式,这使得它的消息相对繁琐和冗长。XML消息包含大量的标记和元数据,这使得消息传输的数据量相对较大。但SOAP集成了WS-Security安全规范,可以使用令牌、签名和加密的方式来实现身份认证和数据安全传输。
## REST
REST是一种基于HTTP协议的架构风格,它使用HTTP的GET、POST、PUT、DELETE等方法来执行对资源的操作。RESTful API使用简单的URL和HTTP方法来表示资源,并通常使用JSON来进行数据交互。现在大部分Web服务和移动应用程序均使用REST API。
REST API本身不提供安全保护能力,所以需要使用Authorization头或Token参数来确保只有授权的用户能够访问受保护的资源。有时,API会要求数据传输进行签名以确保数据的完整性和真实性,通常使用数字签名或哈希算法来实现。
REST API存在一个非常典型的缺陷,存在响应过度问题,客户端仅需要部分信息,API也会返回完整的资源信息。这可能会导致数据冗余和信息泄露,以及带宽浪费。
## GraphQL
GraphQL是一种查询语言和运行时环境,用于从API中获取精确的数据。它允许客户端以自定义方式请求所需的数据,而不是像传统的RESTful API那样提供固定的端点。GraphQL通常使用HTTP作为传输协议。
在GraphQL中,客户端可以编写一个查询,指定所需的数据字段和关联数据,而服务器将根据查询来提供相应的数据。这使得客户端能够更加灵活地获取所需的数据,而无需多次请求不同的端点。这种能力使得GraphQL在移动应用和前端开发中非常受欢迎,因为它允许客户端精确控制数据的获取,减少了不必要的数据传输,从而提高了性能。
虽然GraphQL的这种特性非常有用,但也需要开发人员和API提供者注意安全性。由于客户端可以自由选择所需的数据,必须实施合适的鉴权和权限控制,以确保敏感数据不被未经授权的用户访问。这也是GraphQL API设计中的一个关键考虑因素。
## summary
不同的API架构在不同的应用场景和需求下发挥各自的优势。
REST通常被选用来构建简单的、无状态的API,特别适合用于大多数Web服务。REST的无状态性质使其成为轻量级的选择,能够应对高并发和分布式系统的需求。
SOAP通常被用于对安全性要求较高的企业级应用程序。SOAP提供了强大的功能和安全性,支持高级的消息传递、事务管理和安全协议。由于其复杂性,SOAP通常用于复杂的集成和通信场景,如金融服务和医疗保健领域。
GraphQL则适用于需要高度定制数据查询的场景。它允许客户端应用程序根据其具体需求定义数据查询,避免了过度或不足的数据传输。GraphQL的灵活性和强大的查询语言使其成为构建应对复杂数据需求的现代应用的理想选择。
因此,根据项目需求和安全级别,可以选择适合的API架构,以最好地满足业务需求和性能要求。
# 安全策略
## 认证机制
API 认证是确保 API 安全的核心。它用于验证请求的来源和合法性。常见的认证机制包括:
Token
基于令牌(Token)的认证:
这是一种常见的认证方式,其中请求者提供一个令牌,通常是访问令牌或身份验证令牌,来验证其身份。这可以确保请求者是经过身份验证的合法用户或应用程序。
签名(Sign)机制
但仅用Token认证则存在中间人攻击的安全隐患,这时就需要引入签名(Sign)机制,用于确保数据完整性和防止中间人攻击。
时间戳(timestamp)机制
但仅仅使用签名机制还会出现暴力破解和Ddos问题,为了解决这些问题就需要引入时间戳机制timestamp
OAuth 2.0
OAuth(开放授权)是一种开放标准和协议,用于第三方应用程序访问用户资源时进行授权,但无需分享用户的凭证,保护了用户的凭证。OAuth的设计目标是允许用户授权应用程序代表他们来执行特定操作,同时也提供了对应用程序访问资源的精确控制。OAuth 2.0 是OAuth协议的一个广泛采用的版本,它定义了一种标准的授权流程,被用于许多在线服务和应用程序中,如第三方微信登录、支付宝登录等等。
AccessKey&SecretKey
在开发者接口的安全设计中,Access Key 和 Secret Key 是一种常见的身份验证机制,通常用于确保只有合法的开发者可以访问和使用API。
## 授权机制:访问控制
访问控制机制用于限制 API 的访问权限,确保 API 的数据仅被授权的用户或应用程序访问。常见的授权机制包括:
1、基于角色的访问控制(RBAC): RBAC 是一种访问控制模型,其中权限与角色相关联。用户分配到特定角色,而角色有特定权限。这使得管理和控制权限变得更加可管理。
2、基于属性的访问控制(ABAC): ABAC 是一种更动态的授权模型,它使用属性来控制对资源的访问。这可以根据用户的属性、上下文或其他因素动态决定访问权限。
RBAC和ABAC可以通过不同的技术和底层组件来实现。在实际应用中,RBAC和ABAC通常依赖于数据库、身份验证和授权模块、访问控制列表、策略引擎以及上下文和属性管理模块,以维护和执行权限策略。
## 加密机制
API 数据的加密用于保护数据在传输和存储过程中的安全性。常见的加密机制包括:
1、HTTPS 协议: 使用加密的传输层安全性来保护数据在传输过程中不被窃取或篡改。这是通过使用 TLS/SSL 证书来实现的。
2、TLS 协议: 运行在应用层之上的安全传输协议,提供端到端的数据加密。TLS 可以用于保护数据在传输层和应用层之间的传输。
这些机制的组合可以确保 API 的安全性和数据完整性。同时,它们可以根据应用程序的具体需求进行调整和配置,以满足不同的安全标准和法规要求。
# API接口泄露+未授权访问
API由于鉴权机制存在问题或权限控制的细粒度不够导致,存在未授权访问漏洞泄露敏感数据,配合以下漏洞可获取API接口。获取到API接口后,通过调试对API进行未授权访问测试,有些接口可以直接获取敏感信息,有些可以通过多个接口组合获取信息,对于接口返回的URL信息也不要忽略,需要耐心进行测试。
Druid泄露
Spring Boot Actuator信息泄露
SVN泄露
接口手册泄露(Swagger/其它)
webpack
GraphQL 内省查询
# 逻辑漏洞
第三方API
参数遍历
认证失效
越权
接口易猜解
硬编码
# 过量的数据暴露
在安全规范欠缺和安全需求不明确的情况下,开放者有时为了方便,在设计过程中忽视后端服务器返回数据的筛选策略,直接返回数据对象的所有字段,然后在前端控制显示,即使在前端显示正常,但当攻击者抓包时就会发现其它数据。在实战环境中,此类漏洞出现频率最高,大部分接口会将诸如手机号之类的敏感信息返回,更有甚者直接将账号密码返回。
实战中使用burp + logger++(https://github.com/nccgroup/LoggerPlusPlus)
尽可能的点击网站的全部功能点,确保触发所有的接口流量,然后通过自定义正则即可发现接口的泄露的敏感信息。
# 敏感信息未加密或加密失效
前端加密
部分功能未加密(文件导出/)
加密方式失效
其它漏洞造成数据泄露
Google黑客语法-这里可以使用常用的谷歌高级语法:”敏感信息” filetype:进行搜索
文件泄露敏感信息导致数据泄露
开发工程文件泄露导致数据泄露
其它
GitHub泄露、MinIO、OSS、Nacos、ES、heapdump等均可能导致数据泄露这里不再赘述。
`
Using Backup Utilities for Data Exfiltration
使用备份工具/程序进行数据外传渗漏
https://www.huntress.com/blog/using-backup-utilities-for-data-exfiltration
`
In August 2023, Huntress analysts observed INC ransomware threat actors employing MegaSync for data exfiltration. Recently, GBHackers published an article outlining data exfiltration tools used by ransomware threat actors, one of which was the restic backup application. A Huntress Security Operations Center (SOC) analyst investigated and reported alerts from two endpoints related to the malicious use of the same backup application.
2023 年 8 月,Huntress 分析师观察到 INC 勒索软件威胁者使用 MegaSync 进行数据外渗。最近,GBHackers 发表了一篇文章,概述了勒索软件威胁行为者使用的数据外渗工具,其中之一就是 restic 备份应用程序。Huntress 安全运营中心 (SOC) 分析师调查并报告了来自两个端点的与恶意使用同一备份应用程序有关的警报。
System.exe
restic.ext
dns.exe
`