数据渗漏(Data Exfiltration)


=Start=

缘由:

最近在写一个文档,和数据安全审计相关的,需要有全局视角,思来想去好像还是用数据安全能力成熟度模型(DSMM, Data Security Maturity Model)中的数据生命周期来描述比较合适,一是因为这是一个数据安全领域通用的模型/框架,用起来不会错也不容易引发不必要的论战,二是因为确实比较好理解,更容易给没有相关背景知识的人讲。

这里简单记录一下“数据交换”阶段的数据渗漏风险,后面视具体情况看是否继续更新。

正文:

参考解答:

DSMM中数据生存周期分为以下6个阶段:

  • a) 数据采集: 组织内部系统中新产生数据,以及从外部系统收集数据的阶段;(一般是SDL从代码层面去控制,再加上一些功能/流量异常检测的监控)
  • b) 数据传输: 数据从一个实体传输到另一个实体的阶段;(主要通过加密和HTTPS来解决,但也需要有一些流量异常检测的监控)
  • c) 数据存储: 数据以任何数字格式进行存储的阶段;(一般通过网络隔离可以解决掉这一块大部分的风险,但生产网内部的安全,比如默认不出网和HIDS/RASP等能力要能覆盖,还有SDL来覆盖代码/接口层面的一些异常)
  • d) 数据处理: 组织在内部对数据进行计算、分析、可视化等操作的阶段;(知其所需,最小特权,全量审计日志记录,冷权限回收,批量操作审计,敏感操作审计,……)
  • e) 数据交换: 组织与组织或个人进行数据交换的阶段;(一般是用DLP兜底,但最好的办法还是敏感数据不落地,敏感数据仅在安全可控的空间内可用不可见,且操作全程有记录,否则一旦落了地,就会遇到下面ATT&CK中的Exfiltration这一部分,而且大部分企业真实环境对于攻击者来说会比下面描述的条件要更友好,不论是package方法还是media媒介抑或是network或者agent等维度的检测逃避,真实环境中真的是很难兜住前面步骤中埋下的坑)
  • f) 数据销毁: 对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。(一般公司遇不到,但也是一种很大的容易忽略的风险,简单的操作就是多进行几次强加密,然后把密钥给删掉)

特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个阶段或是其中的几个阶段。


Exfiltration

The adversary is trying to steal data. 对手正试图窃取数据。

Exfiltration consists of techniques that adversaries may use to steal data from your network. Once they’ve collected data, adversaries often package it to avoid detection while removing it. This can include compression and encryption. Techniques for getting data out of a target network typically include transferring it over their command and control channel or an alternate channel and may also include putting size limits on the transmission. 泄露包括攻击者可能用来从你的网络中窃取数据的技术。一旦他们收集到了数据,攻击者通常会将其打包,以避免在转移数据时被发现。打包方式包括压缩和加密。将获取数据的从目标网络带走的技术通常包括通过其命令和控制通道或备用通道传输数据,还可能包括对传输设置大小限制。

Techniques

Techniques: 9
IDNameDescription
T1020Automated Exfiltration 自动化渗漏Adversaries may exfiltrate data, such as sensitive documents, through the use of automated processing after being gathered during Collection. 攻击者可能会在收集过程中收集到数据(比如敏感文档)后,通过使用自动处理来泄露数据。
.001Traffic Duplication 流量复制Adversaries may leverage traffic mirroring in order to automate data exfiltration over compromised network infrastructure. Traffic mirroring is a native feature for some network devices and used for network analysis and may be configured to duplicate traffic and forward to one or more destinations for analysis by a network analyzer or other monitoring device. 攻击者可能利用流量镜像在被攻陷的网络基础设施上自动进行数据泄露。流量镜像是一些网络设备的固有特性,用于网络分析,可以配置成复制流量并将其转发到一个或多个目的地,以供网络分析器或其他监控设备进行使用。
T1030Data Transfer Size Limits 数据传输大小限制An adversary may exfiltrate data in fixed size chunks instead of whole files or limit packet sizes below certain thresholds. This approach may be used to avoid triggering network data transfer threshold alerts. 攻击者可能会通过传输固定大小的数据块,而不是整个文件或者将数据包大小限制在某些阈值以下来泄漏数据。这种方法可用于避免触发网络数据传输阈值警报。
T1048Exfiltration Over Alternative Protocol 通过替代协议进行泄漏Adversaries may steal data by exfiltrating it over a different protocol than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过与现有命令和控制通道不同的协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。
.001Exfiltration Over Symmetric Encrypted Non-C2 Protocol 通过对称加密非C2协议进行泄漏Adversaries may steal data by exfiltrating it over a symmetrically encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过非现有命令和控制通道的对称加密网络协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。
.002Exfiltration Over Asymmetric Encrypted Non-C2 Protocol 通过非对称加密非C2协议进行泄漏Adversaries may steal data by exfiltrating it over an asymmetrically encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过非对称加密的网络协议而不是现有的命令和控制通道来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。
.003Exfiltration Over Unencrypted Non-C2 Protocol 通过未加密的非C2协议进行泄漏Adversaries may steal data by exfiltrating it over an un-encrypted network protocol other than that of the existing command and control channel. The data may also be sent to an alternate network location from the main command and control server. 攻击者可以通过现有命令和控制通道以外的未加密网络协议来窃取数据。数据也可以从主命令和控制服务器发送到备用网络位置。
T1041Exfiltration Over C2 Channel 通过C2通道泄漏Adversaries may steal data by exfiltrating it over an existing command and control channel. Stolen data is encoded into the normal communications channel using the same protocol as command and control communications. 攻击者可以通过现有的命令和控制通道窃取数据。被盗数据被编码到使用与命令和控制通信相同的协议的正常通信通道中。
T1011Exfiltration Over Other Network Medium 通过其他网络介质进行泄漏Adversaries may attempt to exfiltrate data over a different network medium than the command and control channel. If the command and control network is a wired Internet connection, the exfiltration may occur, for example, over a WiFi connection, modem, cellular data connection, Bluetooth, or another radio frequency (RF) channel. 攻击者可能试图通过不同于命令和控制通道的网络媒介窃取数据。如果命令和控制网络是有线Internet连接,则可能通过WiFi连接、调制解调器、蜂窝数据连接、蓝牙或其他射频通道进行泄露。
.001Exfiltration Over Bluetooth 通过蓝牙进行泄漏Adversaries may attempt to exfiltrate data over Bluetooth rather than the command and control channel. If the command and control network is a wired Internet connection, an adversary may opt to exfiltrate data using a Bluetooth communication channel. 攻击者可能试图通过蓝牙而不是命令和控制通道窃取数据。如果命令和控制网络是有线Internet连接,攻击者可能会选择使用蓝牙通信通道窃取数据。
T1052Exfiltration Over Physical Medium 通过物理介质进行泄漏Adversaries may attempt to exfiltrate data via a physical medium, such as a removable drive. In certain circumstances, such as an air-gapped network compromise, exfiltration could occur via a physical medium or device introduced by a user. Such media could be an external hard drive, USB drive, cellular phone, MP3 player, or other removable storage and processing device. The physical medium or device could be used as the final exfiltration point or to hop between otherwise disconnected systems. 攻击者可能试图通过物理介质(如可移动驱动器)窃取数据。在某些情况下,例如an air-gapped network compromise,可能会通过用户引入的物理介质或设备进行泄漏。这种媒体可以是外部硬盘驱动器、USB驱动器、移动电话、MP3播放器或其他可移动存储和处理设备。物理介质或设备可以用作最终的泄漏点或在其他断开的系统之间跳转。
.001Exfiltration over USB 通过USB进行泄漏Adversaries may attempt to exfiltrate data over a USB connected physical device. In certain circumstances, such as an air-gapped network compromise, exfiltration could occur via a USB device introduced by a user. The USB device could be used as the final exfiltration point or to hop between otherwise disconnected systems.
T1567Exfiltration Over Web Service 通过Web服务进行泄漏Adversaries may use an existing, legitimate external Web service to exfiltrate data rather than their primary command and control channel. Popular Web services acting as an exfiltration mechanism may give a significant amount of cover due to the likelihood that hosts within a network are already communicating with them prior to compromise. Firewall rules may also already exist to permit traffic to these services. 攻击者可能使用已有的、合法的外部Web服务来窃取数据,而不是使用其主要的命令和控制通道。流行的Web服务作为一种泄露机制可能会提供大量的掩护,因为网络中的主机可能在泄露之前就已经与它们进行了通信。也可能已经存在防火墙规则来允许与这些服务的通信。
.001Exfiltration to Code Repository 借助代码仓库进行泄漏Adversaries may exfiltrate data to a code repository rather than over their primary command and control channel. Code repositories are often accessible via an API (ex: https://api.github.com). Access to these APIs are often over HTTPS, which gives the adversary an additional level of protection. 攻击者可能会将数据泄露到代码仓库,而不是通过他们的主要命令和控制通道。代码库通常可以通过API访问(例如 https://api.github.com)。通常通过HTTPS访问这些API,这为攻击者提供了额外的保护级别
.002Exfiltration to Cloud Storage 借助云存储进行泄漏Adversaries may exfiltrate data to a cloud storage service rather than over their primary command and control channel. Cloud storage services allow for the storage, edit, and retrieval of data from a remote cloud storage server over the Internet. 云存储服务允许通过Internet存储、编辑和检索来自远程云存储服务器的数据。
T1029Scheduled Transfer 计划转移Adversaries may schedule data exfiltration to be performed only at certain times of day or at certain intervals. This could be done to blend traffic patterns with normal activity or availability. 攻击者可以仅在一天中的特定时间或特定间隔执行数据泄露计划。这可以将流量模式与正常活动或可用性混合在一起。
T1537Transfer Data to Cloud Account 将数据传输到云帐户Adversaries may exfiltrate data by transferring the data, including backups of cloud environments, to another cloud account they control on the same service to avoid typical file transfers/downloads and network-based exfiltration detection. 攻击者可能通过将数据(包括云环境的备份)传输到他们在同一服务上控制的另一个云帐户来泄漏数据,以避免典型的文件传输/下载和基于网络的泄漏检测。

另外,说句实话,ATT&CK框架中的这一部分感觉没什么逻辑,有点乱,不符合金字塔原理中提到的MECE(相互独立,完全穷尽)的原则,直接用这个来讲可能会被喷,最多只能拿过来做个参考,看看ATT&CK框架中技战术的覆盖情况。

参考链接:

信息安全技术 数据安全能力成熟度模型
https://dsmm.cesidsat.com/assets/file/standard.pdf

数据安全复合治理与实践白皮书-学习思考
https://ixyzero.com/blog/archives/5204.html

DATA PROTECTION 101 – What is Data Exfiltration?
https://www.digitalguardian.com/blog/what-data-exfiltration

Advanced data exfiltration – the way Q would have done it
http://www.iamit.org/blog/wp-content/uploads/2012/01/Advanced-data-exfiltration-%E2%80%93-the-way-Q-would-have-done-it.pdf

数据渗漏(Data Exfiltration),比数据泄漏更隐蔽!
https://blog.51cto.com/yepeng/649540

MITRE ATT&CK
https://attack.mitre.org/

Exfiltration
https://attack.mitre.org/versions/v12/tactics/TA0010/

=END=


《“数据渗漏(Data Exfiltration)”》 有 7 条评论

  1. 大数据开发治理平台 DataWorks>数据治理>数据保护伞>配置数据规则>风险识别管理
    https://www.alibabacloud.com/help/zh/dataworks/latest/risk-identification-management-new
    https://help.aliyun.com/document_detail/424394.html
    `
    风险识别管理提供了多维度的关联分析及算法,智能化的分析技术帮助您通过风险识别规则,主动发现风险操作并预警,使用可视化方式进行一站式审计。DataWorks内置了多种场景的风险识别规则,您可以直接使用,也可以根据业务场景自定义规则。本文为您介绍如何创建并管理风险识别规则。

    # 背景信息
    数据输入DataWorks后会经过数据保护伞进行过滤处理,旧版风险识别管理的风险识别功能仅当涉及敏感数据时才会被识别为风险,不支持操作审计相关场景及事件统计聚合场景的识别。因此,DataWorks为解决该问题,为您提供了功能更加全面的新版风险识别管理功能。具体如下:
    * 易用性好包含**数据访问**风险、**数据导出**风险、**数据操作**风险、其他风险类型等4类风险类型,并支持**访问时间**、**敏感类型**、**访问量**等多种维度组合识别各类风险。
    * 精准度高增加事件聚合统计比较,通过比较时间窗口内事件发生次数的阈值,更精准识别风险,减少大量误报。例如,在10分钟内发生相同事件3次以上才会命中风险。
    * 精细化管理支持配置高、中、低的风险级别,根据风险级别精细化管理风险。
    * 规则灵活内置了多种场景的常用规则,可以直接使用;同时,您也可以基于业务需求,自定义风险识别规则。

    非工作时间查询大数据量敏感数据 数据访问风险 低 如下时间段查询数据量大于10000时命中该规则。(周一至周五:22:00~24:00。周六至周日:00:00~24:00。)
    相似SQL查询 数据访问风险 低 十分钟内查询相似SQL大于等于10次时,命中该规则。
    批量查询大量敏感数据 数据访问风险 中 单次查询数据量大于10000时命中该规则。

    **批量导出大量敏感数据** 数据导出风险 高 单次导出数据量大于10000时命中该规则。
    **非工作时间导出大数据量敏感数据** 数据导出风险 高 如下时间段导出数据量大于10000时命中该规则。(周一至周五:22:00~24:00。周六至周日:00:00~24:00。)
    ==

    **数据访问**风险、**数据导出**风险、**数据操作**风险、其他风险类型等4类风险类型,并支持**访问时间**、**敏感类型**、**访问量**等多种维度组合识别各类风险。
    `

  2. 之前刚说【数据销毁】是“一般公司遇不到,但也是一种很大的容易忽略的风险”没想到这么快就来了个例子,虽然不是直接泄漏大批量敏感数据,但是泄漏内部网络配置和凭证信息这个对于别有用心的人来说能造成的危害还是很大的。

    被忽略的风险,二手路由器竟成黑客的“秘密武器”
    https://www.freebuf.com/news/364654.html
    `
    据BleepingComputer 4月23日消息,网络安全公司 ESET的研究人员发现,在二手市场上售卖的一些企业级路由器中还存在未被擦除干净的敏感数据,能够被黑客用来破坏企业环境或获取客户信息。

    研究人员购买了 18 台二手核心路由器,其中包括 4 台 Cisco(ASA 5500)、3 台 Fortinet(Fortigate 系列)和 11 台 Juniper Networks(SRX 系列服务网关)。核心路由器是大型网络的主干,能够连接所有其他网络设备,它们支持多种数据通信接口,能以最高速度转发 IP 数据包。研究人员发现,其中一半以上仍然可以访问完整的配置数据,这些配置数据能够透露其所有者之前是如何设置网络,以及其他系统之间连接的大量详细信息。

    此外,一些路由器还保留了客户信息、允许第三方连接到网络的数据,甚至是作为可信方连接到其他网络的凭证,他们还在这些暴露了配置数据的路由器中发现了连接多台路由器的认证密钥和哈希值。

    研究人员表示,这些路由器透露的内部数据一般只有网络管理员及企业管理层等高权限人群可见, 比如VPN 凭据或其他容易破解的身份验证令牌,黑客完全可能利用这些数据制定高隐蔽性的攻击策略,比如冒充网络或内部主机进行攻击。他们甚至发现其中一台路由器属于托管安全服务提供商 (MSSP),该提供商为不同行业(例如教育、金融、医疗保健、制造)的数百个客户处理网络。

    对于将要淘汰的企业网络设备,管理员需要运行一些命令来安全地擦除配置并进行重置,否则,路由器可以启动到恢复模式,并暴露之前的设置信息。因此,研究人员强调,公司应制定安全销毁和处置其数字设备的程序。
    `
    https://www.bleepingcomputer.com/news/security/hackers-can-breach-networks-using-data-on-resold-corporate-routers/

    Discarded, not destroyed: Old routers reveal corporate secrets
    https://www.welivesecurity.com/2023/04/18/discarded-not-destroyed-old-routers-reveal-corporate-secrets/

    How I (could’ve) stolen your corporate secrets for $100
    https://www.welivesecurity.com/wp-content/uploads/2023/04/used_routers_corporate_secrets.pdf

    Q3 Ransomware and Network Access Report – KELA
    https://ke-la.com/wp-content/uploads/2022/10/KELA-RESEARCH_Ransomware-Victims-and-Network-Access-Sales-in-Q3-2022.pdf

    Guidelines for Media Sanitization
    https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final
    https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf

  3. Detecting Insider Threats 检测内部威胁
    https://www.jamf.com/blog/detecting-insider-threats-information-security/
    `
    User Activity Monitoring
    设备监控 Endpoint Monitoring
    网络监控 Network Monitoring

    Anomaly Detection
    用户行为分析 User Behavior Analytics
    机器学习 Machine Learning

    Data Loss Prevention
    内容分析 Content Analysis
    网络分析 Network Analysis

    一些建议Insider Threat Detection Best Practices
    * Conduct an inventory and assess the risk value of organizational resources, including data and compliance requirements that may apply
    * Determine a classification system that clearly determines the sensitivity and criticality levels of your data
    * Develop data handling and remediation policies
    * Align organizational needs and policies with endpoint security solutions to develop a defense-in-depth approach to mitigate insider threats
    * As part of your security plan, implement a centralized DLP solution with clearly documented consistent practices, processes and workflows
    * Execute your security plan alongside feedback from industry leaders, best practices, organizational needs and the evolving threat landscape
    * Document all incidents, true and false positives, and be prepared to update your security plan with iterative feedback from lessons learned
    * Institute an ongoing training program to educate employees, contractors and management on how to protect against and spot insider threats
    * Align security strategies with administrative organizational policies, such as acceptable use policy (AUP) to ensure that all stakeholders understand their role in data protection
    * Phased implementation is often an effective, long-term approach to DLP. One that prioritizes data types and communication channels in compliance with organizational needs

    简单来说就是——先摸底(盘点评估),根据数据的敏感性和量级还有法律合规要求制定一些政策,搞一个安全计划,分阶段进行培训、审计、反馈更新等一轮一轮的PDCA循环。
    `
    https://www.jamf.com/blog/overcome-unanticipated-business-risks/

  4. 成熟度·数据·安全
    http://blog.nsfocus.net/cmm/
    `
    提到成熟度模型,让大家最先想到得是软件能力成熟度模型CMM,它有个升级版,CMMI(Capability Maturity Model Integration)[1],评价和指导组织在软件开发各种能力评估框架。CMMI认证分为CMMI1-初始级、CMMI2-已管理级、CMMI3-已定义级、CMMI4-定量管理级、CMMI5-持续优化级,一共是5个等级。

    数据管理能力成熟度评估模型(简称DCMM,Data management Capability Maturity assessment Model),针对组织在数据管理、应用能力的评估框架,通过数据能力成熟度级别,组织可以清楚的定义数据当前所处的发展阶段以及未来发展方向。

    DCMM,定义了数据能力成熟度评价的8大能力域:数据战略、数据治理、数据架构、数据标准、数据质量、数据安全、数据应用、数据生命周期管理。每个能力域包括若干数据管理领域的能力项,共29个。

    数据安全能力成熟度模型标准,由全国信息安全标准化技术委员会 (SAC/ TC260 ) 提出并发布,《GB/T 37988-2019数据管理能力成熟度评估模型》[5],2020年3月1日开始实施。

    数据安全能力成熟度模型,简称DSMM(Data Security Capability Maturity Model),以组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力四个能力维度,按照1-5级成熟度,评判组织的数据安全能力。

    数据安全过程包含数据生存周期安全过程域(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全)和通用安全过程域。特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个过程或是其中的几个过程。 每个数据生存周期安全过程均由若干过程域PA,只有每个过程域PA的目标实现了,才表示该安全过程得以控制。

    5.1 数据安全量化管理度量指标
    DSMM成熟度模型第4级,量化控制,是比较高的成熟度等级,处在这一等级的组织,在数据安全管理上已经达到比较高的水准。参考DSMM标准和《数据安全法》,可以构建一个量化管理的度量指标。

    数据资产梳理:
    重要业务系统梳理完成率
    数据资产清查完成率

    分类分级:
    数据分类分级完成率

    数据安全保护:
    网络数据泄漏检测覆盖率
    邮件数据泄漏检测覆盖率
    办公终端数据泄漏检测覆盖率
    数据库访问审计覆盖率
    敏感数据静态脱敏覆盖率
    应用系统敏感数据动态脱敏覆盖率
    敏感文档加密覆盖率
    数据处理全生命周期审计追溯覆盖率

    事件处置:
    数据安全事件平均处置时间MTTR
    数据安全相关“重要/严重”级别事件处置百分比
    数据安全事件月平均数量
    安全事件和未打补丁资产的关联百分比

    授权与访问:
    数据库超级权限账号数目
    普通用户MFA访问应用系统百分比
    管理员通过堡垒机访问服务器百分比

    `
    [2]数据管理能力成熟度评估模型DCMM,http://www.dcmm.org.cn/
    [3]DMM, https://stage.cmmiinstitute.com/dmm
    [4]DCAM, https://edmcouncil.org/page/aboutdcamreview
    [5]数据安全能力成熟度模型DSMM,https://www.dsmm.com.cn/
    [6]数据处理活动,http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm

  5. 工信部关于《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)
    http://www.echinagov.com/info/340815
    `
    (一)体系框架

      工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理。技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作。新兴融合领域标准包括智能制造、工业互联网领域数据安全标准。垂直行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1所示。

    1.基础共性标准

      基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。

      1.1 术语定义

      术语定义用于规范工业数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。

      1.2 分类分级规则

      分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。

      1.3 识别认定

      识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。

      1.4 分级防护

      分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。

    2.安全管理标准

      安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括风险监测与应急处置、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。

      2.1 风险监测与应急处置

      风险监测与应急处置标准用于规范工业数据安全风险监测与应急处置,主要包括工业数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急预案与处置、信息上报与共享、数据容灾备份标准。

      2.2 数据处理安全

      数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。

      2.3 组织人员管理

      组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。

    3.技术产品标准

      技术产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术产品标准子体系如图4所示。

      3.1 数据分类分级技术产品

      数据分类分级技术产品标准用规范数据资产盘点、标识、分析方面技术产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。

      3.2 数据安全防护技术产品

      数据安全防护技术产品标准用于规范数据收集、存储、使用、加工、传输方面技术产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复、可信执行环境标准。

      3.3 数据行为防控技术产品

      数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计方面技术产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计标准。

      3.4 数据共享安全技术产品

      数据共享安全技术产品标准用于规范数据提供、公开方面技术产品要求,主要包括数据溯源、多方安全计算、联邦学习标准。

    4.安全评估与产业评价标准

      安全评估与产业评价标准用于支撑工业数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所示。

      4.1 安全评估

      安全评估标准用于指导评估机构开展数据安全风险评估能力评估、出境安全评估工作,主要包括工业数据安全风险评估、数据安全能力评估、数据出境安全评估标准。

      4.2 产业评价

      产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全服务能力要求、数据安全产业竞争力评价标准。
    `

  6. 工业领域数据安全标准体系建设指南(2023版)(征求意见稿)
    https://mp.weixin.qq.com/s/MpHxt3Za1Yb2pQUG___6ig
    `
    # A 基础共性

    AA 术语定义

    工业数据安全术语

    AB 分类分级规则

    工业数据分类分级指南、标识规则
    AC识别认定
    工业领域重要数据识别指南

    AD 分级防护

    工业企业数据安全防护要求

    # B 安全管理

    BA 风险监测与应急处置

    BAA 监测预警
    工业数据安全监测预警实施指南、监测接口规范
    BAB 应急处置
    工业数据安全事件分类分级指南、事件管理指南、应急预案与处置要求
    BAC 信息上报和共享
    工业数据安全风险信息上报和共享指南、风险信息上报和共享接口规范
    BAD 数据容灾备份
    工业数据灾备管理要求

    BB 数据处理安全

    BBA 数据使用安全
    工业数据使用安全要求
    BBB 数据共享安全
    工业数据共享安全要求、接口安全要求
    BBC 数据出境安全
    工业数据出境安全要求

    BC 组织人员管理

    BCA 组织机构管理
    工业数据安全组织机构建设指南
    BCB 人员管理
    工业数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求

    # C 技术产品

    CA 数据分类分级技术产品

    CAA 数据分类分级
    数据分类分级产品技术要求和测试评价方法
    CAB 数据血缘分析
    数据血缘分析技术要求
    CAC 数据质量管理
    数据清洗比对技术要求

    CB 数据安全防护技术产品

    CBA 数据防篡改
    数据防篡改产品技术要求和测试评价方法
    CBB 数据加密
    数据加密产品技术要求和测试评价方法
    CBC 数据脱敏
    数据脱敏产品技术要求和测试评价方法
    CBD 数据防泄漏
    数据防泄漏产品技术要求和测试评价方法
    CBE 数据销毁
    数据销毁产品技术要求和测试评价方法
    CBF 数据恢复
    数据恢复产品技术要求和测试评价方法
    CBG 可信执行环境
    可信执行环境技术要求

    CC 数据行为防控技术产品

    CCA 用户行为分析
    数据异常行为识别技术要求
    CCB 数据流转监测
    数据安全监测技术要求
    CCC 数据安全态势感知
    数据安全态势感知技术要求
    CCD 安全审计
    数据安全审计产品技术要求和测试评价方法

    CD 数据共享安全技术产品

    CDA 数据溯源
    数据追踪溯源技术要求
    CDB 多方安全计算
    多方安全计算技术要求
    CDC 联邦学习
    联邦学习技术要求

    # D 安全评估与产业评价

    DA 安全评估

    DAA 风险评估
    工业领域数据安全风险评估指南、工业数据安全评估指南
    DAB 能力评估
    工业企业数据安全能力评估指南
    DAC 出境评估
    工业数据出境安全评估指南

    DB 产业评价

    DBA 产业评价指标
    数据安全产业评价指标
    DBB 服务能力评价
    数据安全服务机构能力评价、数据安全服务能力要求
    DBC 产业竞争力评价
    数据安全产业竞争力评价
    `

  7. 企业发生安全事件时,如何报警立案? | 总第189周
    https://mp.weixin.qq.com/s/nzKweXUK5uFcsIEkj7z6HQ
    `
    请教各位大佬,一般遇到什么级别的安全事件,会报警呢,报警需要达到什么标准?

    A1:对照 285、286、287、253 和 219 量刑标准看,共享个《员工法律风险防控培训》材料(作者:Monyer)

    A2:想报警的时候报警,具体可以咨询下辖区的网警,什么样的能立案。我理解很多单位还是把报不报当一个决策。

    A3:别人搞你,没搞进来被你发现了,你可以报警。别人搞你,刚搞进来,就被你发现了,没损失,可以不报警。别人搞你,搞进来很久了你才发现,那必须报警。

    A4:一案双查,也得小心。不是涉及到个人隐私啥的,立案难度也很大。

    A5:这个看企业在当地的地位,还有当地网安是否需要充业绩了。另外报警实操还是比较困难的。要先举证自己的损失,损失要能量化达到标准。

    Q:举证责任在企业还是由网安查证?

    A6:举证责任在企业,一般需要电子取证专业团队。

    A7:不需要那么专业,但要能计算出来准确的损失。

    A8:之前有个案子,带犯人回来的路上,jc一边翻书一边问我们:“你说他这个适用哪条法律起诉呢?”一般企业报案,是已经查完嫌疑人在哪儿的。

    A9:jc有结案率考核的,所以很多时候,你不能证明这个案子能抓到人,他们会谨慎立案。但如果有热点能结合,jc会处于政绩,积极接。比如数据泄露,比如电信诈骗,比如扫黄。要看当时热点在哪里。

    A10:很多地方警察压根没能力啊。以前地市的案子,一个快退休的老警察,带一个刚考公的小姑娘,俩人都一脸懵。

    Q:有一个疑问,是在嫌疑人所在地报,还是企业总部所在地报?是在发生损失的(总部)所在地报警吗?

    A11:一般是企业所在地报,jc会跨区抓。

    A12:我们好像是按关系报,在与企业关系比较好的地市报。哪里容易立案,不然你跑到一个鸟不拉屎的地方,案子很难搞的。一些企业在某些地市,jc还会上门服务。

    A13:跨省不太方便吧,尤其是河北跨到北京上海这种。

    A14:看你报案之前能提供多少数据了。数据够用,如证据、嫌疑人定位都要有,跨省也不是问题。

    A15:找有关系的地方,然后租个当地机房的服务器,迁移一些业务过去,当地就有管辖权了。

    A16:警方阶段没问题,有的地方检察院会挑战,我们遇到过。而且这种情况挺多,不批捕,或最终判不了。你们后来认了吗?

    A17:还在拉扯,好在我们弄的那台服务器放的数据跟案子有关联。

    # 总结

    当企业发现安全事件时,应根据不同情况来选择是否报警,尽量提供足够的证据,确保证据的完备性,保护企业利益。

    在举证方面,企业需要承担举证责任,一般需要电子取证专业团队查询,及时收集和保留能够证明安全事件的相关证据和记录,将证据准确地提交给有关部门。

    当企业面临法律风险时,可以选择网络安全维权平台或法律途径等多种途径进行维权解决。

    此外,在报案时可选择企业所在地报,选择有良好关系的地方警方,为后续的调查提供便利。在资金充足的情况下,根据安全事件实际情况,在有业务或租用机房的地方立案来解决跨区维权问题。

    最后,企业应加强网络安全事件监测和应急预案演练,积极防范安全风险。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注