=Start=

缘由：

前段时间看到了 UpGuard 发布的2篇和数据泄露有关的文章，最近有时间的时候快速翻译整理一下，方便在写文章或是有需要的时候做参考。

• 第 1 阶段 – 网络钓鱼攻击 (员工安全意识培训、邮件安全、邮件钓鱼检测、EDR安全检测、……)
• 第 2 阶段 – 账户被盗 (员工安全意识培训、入网安全基线检测、EDR安全检测、MFA、凭证异常检测、零信任、SOAR、……)
• 第 3 阶段 – 横向运动 (网络隔离、内网操作异常检测、SOAR、……)
• 第 4 阶段 – 权限升级 (特权账户管理-PAM、零信任、……)
• 第 5 阶段 – 数据外泄 (系统敏感数据访问/下载异常检测、DLP、……)

简单来说，就是数据安全左移，在每一个阶段都做卡点和检测，提高入侵/获取敏感数据的成本，减少后续阶段的日志告警量，提高告警检测准确率，利用自动化工具/平台提高响应的速度和效率。

未授权不可访问；有账号凭证要检测是否正常（常用设备、常用网络、常见时间、常见操作行为、……）；有账号也仅知其所需最小权限；梳理出的高权限账号的敏感操作进行重点关注。

数据尽量不落地，大部分操作在线即可完成，系统埋点要全面和准确；对于数据下载和外发格外关注，下载设备的DLP的健康状态和策略的有效性需要及时检查。

正文：

参考解答：

数据泄露是指敏感信息在未经授权的情况下暴露给公众。这类事件越来越多，每次事件平均给企业造成 435 万美元的损失。不幸的是，许多公司仍在不知不觉中重蹈覆辙，造成了一些历史上最大的数据泄露事件。

为防止您的企业成为另一个网络安全漏洞的受害者，请根据本文章中概述的行之有效的漏洞预防策略调整您的网络安全计划。

数据泄露途径(The Data Breach Pathway)

要成功防止数据泄露企图，需要先对数据泄露事件的流程做一个剖析。一个导致入侵的典型网络攻击途径可分为 5 个阶段。

第 1 阶段 – 网络钓鱼攻击

在攻击的初始阶段，攻击者会向受害者发送一封冒充来自权威发件人的包含重要信息的电子邮件。这些电子邮件包含指向欺诈网站的恶意链接，旨在窃取网络凭据。

2022年，网络钓鱼是最昂贵的初始攻击向量，造成的数据泄露损失平均为 491 万美元（数据来自 IBM 和 Ponemon Institute 的《2022 年数据泄露成本报告》）。

第 2 阶段 – 账户被盗

在第 2 阶段，受害者执行网络钓鱼攻击的预期操作。这可能包括点击一个链接，进入一个窃取凭证的网站，或者下载一个恶意文件附件，让网络犯罪分子远程访问受害者的计算机。无论哪种情况，目的都是入侵受害者的账户，并利用它访问组织的网络。

第 3 阶段 – 横向移动

入侵网络后，黑客会横向移动以了解网络布局。有时，黑客会潜伏数月，观察内部活动并学习用户行为。然后，当他们准备就绪时，就会根据这些学习结果，使用先前泄露的凭据访问更深的网络区域。在这一阶段，黑客还在寻找可入侵的特权凭证，以方便访问高度敏感的数据资源。

第 4 阶段 – 权限升级

网络犯罪分子找到并破坏特权凭证后，就能深入访问只有特权账户才能访问的高敏感网络区域。一旦进入这一关键区域，网络犯罪分子就会开始寻找以下类型的敏感数据：

• 个人数据(Personal data);
• 客户数据(Customer data);
• 社会保障号码(Social security numbers);
• 企业电子邮件账户详情；
• 个人电子邮件账户详情，如 Gmail 账户；
• 任何可能被用于身份盗窃活动的数字足迹详情（可能被用于进一步的、更有针对性的网络钓鱼攻击）；
• 漏洞披露和报告-安全团队尚未修复的所有计算机系统漏洞的内部登记簿。

第 5 阶段 – 数据外泄

最后，在找到有价值的数据资源后，网络犯罪分子会部署木马恶意软件，与他们的服务器（称为指挥和控制服务器）建立后门连接，并开始将敏感数据秘密转移出受害者的网络。

如何防止数据泄露

一种简单而有效的数据泄露预防策略是在网络攻击途径中增加阻力，使黑客越来越难以实现其数据窃取目标。这一策略可分为两个阶段：

• 第 1 阶段 – 防止网络受损。
• 第 2 阶段 – 防止访问敏感数据。

第 1 阶段：防止网络受损

网络犯罪分子进入您的专用网络后，数据泄露企图就很难阻止了。第 1 阶段的目标是在网络被入侵之前阻止数据泄露企图，即防止黑客进入网络攻击生命周期的第 1 阶段之后。为了最大限度地减少数据泄露，应更加重视防止网络渗透的安全控制。网络漏洞可能来自内部网络漏洞，也可能来自第三方供应商网络的漏洞。因此，网络保护战略应同时应对内部和第三方攻击面的所有攻击载体。

这一完整的攻击面覆盖范围是通过四个网络安全学科实现的。

1. 安全意识培训 – 应对内部攻击向量
2. 内部安全漏洞管理 – 针对内部攻击载体
3. 数据泄露管理 – 应对内部和第三方攻击载体
4. 供应商风险管理 – 应对第三方攻击向量
5. 安全意识培训

员工是每个网络安全计划的第一道防线。尽管您在安全措施上投入了大量资金，但如果员工受骗上当，交出私人网络的钥匙，那也是无济于事的。

网络犯罪分子通过两种方式之一诱骗员工泄露私人网络凭据：

• 网络钓鱼 – 发送声称来自可靠来源的欺诈性电子邮件，胁迫收件人泄露私人信息的做法。
• 社会工程 – 利用情感操纵迫使受害者泄露私人信息。社会工程攻击不仅通过电子邮件发生。它们可能通过电话（例如，来电者冒充 IT 部门人员），甚至当面（例如，求职者要求接待员访问 WI-FI 网络以修改其简历）。

因员工泄密而导致的数据泄露并不是内部威胁精心设计的策略的结果。原因要简单得多。这些数据泄露事件的发生是因为员工不知道如何识别和应对网络威胁。开展安全意识培训可以让员工避免成为网络钓鱼企图的受害者。如果您的培训卓有成效，仅此一项努力就能保护您的企业免受全球数据泄露的主要原因之害。

安全意识培训应（至少）涵盖以下主题：

• 网络钓鱼攻击(Phishing attacks)
• 可移动媒体(Removable media)
• 强密码最佳实践(Strong password best practices)
• 物理安全(Physical security)
• 移动设备安全(Mobile device security)
• 远程工作(Working remotely)
• 公共 Wi-Fi(Public Wi-Fi)
• 云安全(Cloud Security)
• 社交媒体的使用(Social media use)
• 互联网和电子邮件的使用(Internet and email use)
• 社会工程学(Social engineering)

一个理想的网络安全意识培训计划应与频繁的模拟网络钓鱼攻击相结合，以保持网络威胁意识的前瞻性。

2. 内部安全漏洞管理

内部安全漏洞可能包括产品配置错误、端口开放、缺乏 MFA 甚至是typosquatting susceptibility。发现这些安全威胁需要内部审计（使用风险评估和/或安全问卷调查）和安全评级的共同努力。安全评级是对企业安全状况的客观定性衡量，评分范围从 0 到最高 950 分。与内部风险评估结合使用时，安全评级可帮助您跟踪所有必要的补救措施对整体安全状况的影响，支持与企业风险偏好持续保持一致。

最大限度降低网络泄露风险的直接策略是尽可能提高公司的安全等级。

以减少网络访问为重点的内部安全策略还应包括以下常见的安全漏洞控制措施：

• 防火墙(Firewall)
• 端点检测和响应解决方案(EDR)
• 杀毒软件(Antivirus software)

安全等级是跟踪数据泄露敏感性的一个简单、高级的衡量标准。

3. 数据泄露管理

大多数传统的数据泄露缓解战略都缺乏数据泄露管理的内容。这是令人遗憾的，因为数据泄露会压缩网络攻击的途径，从而大大加快数据泄露的速度。

暴露内部凭证的数据泄漏可帮助网络犯罪分子规避所有防止未经授权访问网络的安全控制，使他们能够直接进入网络攻击途径的第 4 阶段。泄露的特权凭证会进一步压缩网络攻击路径，让黑客直接进入最后的数据外泄阶段。

根据 IBM 和 Ponemon Institute 发布的《2022 年数据泄露的成本》报告，在 200 天内对数据泄露做出反应的受害者在数据泄露损害赔偿上平均少花费 110 万美元。因此，如果您目前是数据泄露的受害者，您不仅会增加遭受快速数据泄露的风险，还会增加支付更多数据泄露损害赔偿的风险。

常见的暗网数据泄漏系统包括：

• 勒索软件博客 – 勒索软件团伙的公告栏，显示公告和被盗数据链接。
• 暗网市场 – 网络犯罪分子出售从网络攻击中窃取的数据的市场。
• 暗网论坛 – 关于网络犯罪讨论的网络犯罪论坛。
• Telegram 群组 – 网络犯罪分子之间的私人信息群组。

在选择数据泄漏检测解决方案时，有两个重要的考虑因素：

1.误报(False positives)
并非所有数据泄漏公告都是真实/有效的。网络犯罪分子经常在勒索软件博客中伪造此类公告，以误导和转移安全调查。由于发生这种情况的可能性很高，因此检测到的数据泄漏应始终由内部 IT 安全团队或外部（如果利用托管数据泄漏检测服务的支持）进行人工审查，以防误报。

2.第三方数据泄露(Third-Party Data Leaks)
近 60% 的数据泄露是由第三方供应商泄露造成的（第三方泄露）。由于第三方数据泄露会助长第三方数据泄露，因此忽视这些攻击载体就意味着忽视了最有可能导致贵组织遭受数据泄露的事件。

数据泄漏转储的范围很广，而且在不断扩大。只有在自动扫描解决方案的支持下，才能在成千上万的潜在系统中以与数据泄漏相匹配的速度跟踪数据泄漏。

4. 供应商风险管理

供应商风险管理（VRM）是降低来自第三方供应商和服务提供商的安全风险的过程。VRM 计划针对供应商关系每个阶段所面临的独特安全风险和暴露。

入职(Onboarding) – 结合使用风险评估和安全评级，虚拟关系管理计划对潜在供应商的安全态势进行评估，以确保与风险偏好相一致。
合规性 – 通过将安全问卷的回答与流行的网络安全框架进行映射，VRM 计划可以确定合规性差距，以支持持续的合规性并防止代价高昂的违规行为。
持续监控 – 通过对第三方攻击面的持续监控，VRM 计划可以检测到可能导致第三方漏洞的新出现的供应商安全风险。
终止(Termination) – 通过定制的风险评估对访问级别进行严格审查，虚拟关系管理计划可确保离岗的供应商不再能够访问敏感资源。

供应商风险管理的一个重要组成部分是第三方攻击面监控。该功能可识别潜在的安全漏洞，这些漏洞可能会助长第三方的违规行为，进而危及贵公司的内部敏感数据。检测和处理第三方安全风险可以防止黑客通过受损的供应商入侵网络。

第 2 阶段 – 防止访问敏感数据

如果网络犯罪分子规避了所有第 1 阶段的控制措施，侵入了您的内部网络，仍可通过以下第 2 阶段的控制措施防止数据泄露。

• 多因素身份验证（MFA）

多因素身份验证（MFA）在登录请求和访问批准之间引入了一系列额外的用户身份确认步骤。最安全的多因素身份验证形式包括生物识别身份验证方法。

• 生物识别数据，如指纹或先进的面部识别形式，很难被网络犯罪分子窃取或复制。
• 无密码身份验证（Passwordless Authentication）是一种功能强大的用户身份验证协议，经常与 MFA 结合使用。无密码身份验证要求用户在不输入密码的情况下提交身份证明。常见的身份验证方法包括提交指纹或硬件令牌代码。
• 特权账户管理（PAM）

特权账户访问管理是对有权访问敏感业务资源的用户进行监控并确保其安全的过程。有了 PAM 控制，黑客就无法超越网络攻击路径的第四个阶段（权限升级）。特权账户管理策略通过 4 个支柱框架保护敏感资源，防止未经授权的访问。

监控 – 识别并监控所有特权账户。
保护 – 保护所有特权账户。
跟踪 – 跟踪所有特权访问活动。
扩展 – 实现权限管理自动化。

• 零信任架构（ZTA）

零信任是美国国家标准与技术研究院（NIST）开发的一种网络安全架构。该架构假定所有网络活动，无论是内部还是外部活动，都存在安全威胁。为了证明这一点，每当请求敏感资源时，都要对用户账户进行持续验证。零信任架构包括其他账户泄露控制措施，如多因素身份验证和权限升级管理策略。零信任模式在防止数据泄露方面非常有效，拜登总统的 2021 年网络安全行政命令将其指定为联邦政府的理想网络安全架构。

• 网络隔离

黑客入侵网络后，会开始横向移动，以确定所有敏感资源的位置。可以通过将敏感网络区域与普通用户路径分隔开来，来阻止横向移动。为了最大限度地进行混淆，所有访问这些封闭区域的用户账户都应采用多因素身份验证，所有连接请求都应在跳转箱（隔离网络中托管特权凭证的加固机器）内批准。

• 数据加密

如果上述第二阶段的控制措施全部失效，黑客获得了敏感客户数据库的访问权，那么其中包含的数据如果经过加密，对黑客来说就没有什么用处了。理想情况下，使用AES算法加密数据，这是政府机构信任的加密标准。数据加密安全政策应适用于所有静态和动态内部数据，而不仅仅是敏感区域，包括存储在硬盘和笔记本电脑中的数据。加密所有内部数据可以防止黑客学习用户行为，为他们的横向移动和权限破坏工作提供支持，从而破坏攻击路径第三和第四阶段之间的攻击进程。

以下数据安全措施也可以保护高度机密信息（如财务信息）不被泄露：

• 安全信息和事件管理（SIEM） – 侧重于实时监控可能导致泄漏的网络活动。
• 密码管理器 – 该解决方案有助于执行强大的密码策略，防止特权凭证外泄。

事件响应计划的重要性

事件响应计划（IRP）是一份网络攻击应对手册，概述了如何应对特定的网络攻击，以最大限度地减少其影响。精心设计的 IRP 将帮助您的安全团队快速应对数据泄露攻击，从而大大降低这些事件的损失成本。

参考链接：

2024年防止数据泄露的高效策略
https://www.upguard.com/blog/prevent-data-breaches

=END=