防止数据泄露的高效策略-翻译整理


=Start=

缘由:

前段时间看到了 UpGuard 发布的2篇和数据泄露有关的文章,最近有时间的时候快速翻译整理一下,方便在写文章或是有需要的时候做参考。

  • 第 1 阶段 – 网络钓鱼攻击 (员工安全意识培训、邮件安全、邮件钓鱼检测、EDR安全检测、……)
  • 第 2 阶段 – 账户被盗 (员工安全意识培训、入网安全基线检测、EDR安全检测、MFA、凭证异常检测、零信任、SOAR、……)
  • 第 3 阶段 – 横向运动 (网络隔离、内网操作异常检测、SOAR、……)
  • 第 4 阶段 – 权限升级 (特权账户管理-PAM、零信任、……)
  • 第 5 阶段 – 数据外泄 (系统敏感数据访问/下载异常检测、DLP、……)

简单来说,就是数据安全左移,在每一个阶段都做卡点和检测,提高入侵/获取敏感数据的成本,减少后续阶段的日志告警量,提高告警检测准确率,利用自动化工具/平台提高响应的速度和效率。

未授权不可访问;有账号凭证要检测是否正常(常用设备、常用网络、常见时间、常见操作行为、……);有账号也仅知其所需最小权限;梳理出的高权限账号的敏感操作进行重点关注。

数据尽量不落地,大部分操作在线即可完成,系统埋点要全面和准确;对于数据下载和外发格外关注,下载设备的DLP的健康状态和策略的有效性需要及时检查。

正文:

参考解答:

数据泄露是指敏感信息在未经授权的情况下暴露给公众。这类事件越来越多,每次事件平均给企业造成 435 万美元的损失。不幸的是,许多公司仍在不知不觉中重蹈覆辙,造成了一些历史上最大的数据泄露事件。

为防止您的企业成为另一个网络安全漏洞的受害者,请根据本文章中概述的行之有效的漏洞预防策略调整您的网络安全计划。

数据泄露途径(The Data Breach Pathway)

要成功防止数据泄露企图,需要先对数据泄露事件的流程做一个剖析。一个导致入侵的典型网络攻击途径可分为 5 个阶段。

第 1 阶段 – 网络钓鱼攻击

在攻击的初始阶段,攻击者会向受害者发送一封冒充来自权威发件人的包含重要信息的电子邮件。这些电子邮件包含指向欺诈网站的恶意链接,旨在窃取网络凭据。

2022年,网络钓鱼是最昂贵的初始攻击向量,造成的数据泄露损失平均为 491 万美元(数据来自 IBM 和 Ponemon Institute 的《2022 年数据泄露成本报告》)。

第 2 阶段 – 账户被盗

在第 2 阶段,受害者执行网络钓鱼攻击的预期操作。这可能包括点击一个链接,进入一个窃取凭证的网站,或者下载一个恶意文件附件,让网络犯罪分子远程访问受害者的计算机。无论哪种情况,目的都是入侵受害者的账户,并利用它访问组织的网络。

第 3 阶段 – 横向移动

入侵网络后,黑客会横向移动以了解网络布局。有时,黑客会潜伏数月,观察内部活动并学习用户行为。然后,当他们准备就绪时,就会根据这些学习结果,使用先前泄露的凭据访问更深的网络区域。在这一阶段,黑客还在寻找可入侵的特权凭证,以方便访问高度敏感的数据资源。

第 4 阶段 – 权限升级

网络犯罪分子找到并破坏特权凭证后,就能深入访问只有特权账户才能访问的高敏感网络区域。一旦进入这一关键区域,网络犯罪分子就会开始寻找以下类型的敏感数据:

  • 个人数据(Personal data);
  • 客户数据(Customer data);
  • 社会保障号码(Social security numbers);
  • 企业电子邮件账户详情;
  • 个人电子邮件账户详情,如 Gmail 账户;
  • 任何可能被用于身份盗窃活动的数字足迹详情(可能被用于进一步的、更有针对性的网络钓鱼攻击);
  • 漏洞披露和报告-安全团队尚未修复的所有计算机系统漏洞的内部登记簿。
第 5 阶段 – 数据外泄

最后,在找到有价值的数据资源后,网络犯罪分子会部署木马恶意软件,与他们的服务器(称为指挥和控制服务器)建立后门连接,并开始将敏感数据秘密转移出受害者的网络。

如何防止数据泄露

一种简单而有效的数据泄露预防策略是在网络攻击途径中增加阻力,使黑客越来越难以实现其数据窃取目标。这一策略可分为两个阶段:

  • 第 1 阶段 – 防止网络受损。
  • 第 2 阶段 – 防止访问敏感数据。
第 1 阶段:防止网络受损

网络犯罪分子进入您的专用网络后,数据泄露企图就很难阻止了。第 1 阶段的目标是在网络被入侵之前阻止数据泄露企图,即防止黑客进入网络攻击生命周期的第 1 阶段之后。为了最大限度地减少数据泄露,应更加重视防止网络渗透的安全控制。网络漏洞可能来自内部网络漏洞,也可能来自第三方供应商网络的漏洞。因此,网络保护战略应同时应对内部和第三方攻击面的所有攻击载体。

这一完整的攻击面覆盖范围是通过四个网络安全学科实现的。

  1. 安全意识培训 – 应对内部攻击向量
  2. 内部安全漏洞管理 – 针对内部攻击载体
  3. 数据泄露管理 – 应对内部和第三方攻击载体
  4. 供应商风险管理 – 应对第三方攻击向量
  5. 安全意识培训

员工是每个网络安全计划的第一道防线。尽管您在安全措施上投入了大量资金,但如果员工受骗上当,交出私人网络的钥匙,那也是无济于事的。

网络犯罪分子通过两种方式之一诱骗员工泄露私人网络凭据:

  • 网络钓鱼 – 发送声称来自可靠来源的欺诈性电子邮件,胁迫收件人泄露私人信息的做法。
  • 社会工程 – 利用情感操纵迫使受害者泄露私人信息。社会工程攻击不仅通过电子邮件发生。它们可能通过电话(例如,来电者冒充 IT 部门人员),甚至当面(例如,求职者要求接待员访问 WI-FI 网络以修改其简历)。

因员工泄密而导致的数据泄露并不是内部威胁精心设计的策略的结果。原因要简单得多。这些数据泄露事件的发生是因为员工不知道如何识别和应对网络威胁。开展安全意识培训可以让员工避免成为网络钓鱼企图的受害者。如果您的培训卓有成效,仅此一项努力就能保护您的企业免受全球数据泄露的主要原因之害。

安全意识培训应(至少)涵盖以下主题:

  • 网络钓鱼攻击(Phishing attacks)
  • 可移动媒体(Removable media)
  • 强密码最佳实践(Strong password best practices)
  • 物理安全(Physical security)
  • 移动设备安全(Mobile device security)
  • 远程工作(Working remotely)
  • 公共 Wi-Fi(Public Wi-Fi)
  • 云安全(Cloud Security)
  • 社交媒体的使用(Social media use)
  • 互联网和电子邮件的使用(Internet and email use)
  • 社会工程学(Social engineering)

一个理想的网络安全意识培训计划应与频繁的模拟网络钓鱼攻击相结合,以保持网络威胁意识的前瞻性。

  1. 内部安全漏洞管理

内部安全漏洞可能包括产品配置错误、端口开放、缺乏 MFA 甚至是typosquatting susceptibility。发现这些安全威胁需要内部审计(使用风险评估和/或安全问卷调查)和安全评级的共同努力。安全评级是对企业安全状况的客观定性衡量,评分范围从 0 到最高 950 分。与内部风险评估结合使用时,安全评级可帮助您跟踪所有必要的补救措施对整体安全状况的影响,支持与企业风险偏好持续保持一致。

最大限度降低网络泄露风险的直接策略是尽可能提高公司的安全等级。

以减少网络访问为重点的内部安全策略还应包括以下常见的安全漏洞控制措施:

  • 防火墙(Firewall)
  • 端点检测和响应解决方案(EDR)
  • 杀毒软件(Antivirus software)

安全等级是跟踪数据泄露敏感性的一个简单、高级的衡量标准。

  1. 数据泄露管理

大多数传统的数据泄露缓解战略都缺乏数据泄露管理的内容。这是令人遗憾的,因为数据泄露会压缩网络攻击的途径,从而大大加快数据泄露的速度。

暴露内部凭证的数据泄漏可帮助网络犯罪分子规避所有防止未经授权访问网络的安全控制,使他们能够直接进入网络攻击途径的第 4 阶段。泄露的特权凭证会进一步压缩网络攻击路径,让黑客直接进入最后的数据外泄阶段。

根据 IBM 和 Ponemon Institute 发布的《2022 年数据泄露的成本》报告,在 200 天内对数据泄露做出反应的受害者在数据泄露损害赔偿上平均少花费 110 万美元。因此,如果您目前是数据泄露的受害者,您不仅会增加遭受快速数据泄露的风险,还会增加支付更多数据泄露损害赔偿的风险。

常见的暗网数据泄漏系统包括:

  • 勒索软件博客 – 勒索软件团伙的公告栏,显示公告和被盗数据链接。
  • 暗网市场 – 网络犯罪分子出售从网络攻击中窃取的数据的市场。
  • 暗网论坛 – 关于网络犯罪讨论的网络犯罪论坛。
  • Telegram 群组 – 网络犯罪分子之间的私人信息群组。

在选择数据泄漏检测解决方案时,有两个重要的考虑因素:

1.误报(False positives)
并非所有数据泄漏公告都是真实/有效的。网络犯罪分子经常在勒索软件博客中伪造此类公告,以误导和转移安全调查。由于发生这种情况的可能性很高,因此检测到的数据泄漏应始终由内部 IT 安全团队或外部(如果利用托管数据泄漏检测服务的支持)进行人工审查,以防误报。

2.第三方数据泄露(Third-Party Data Leaks)
近 60% 的数据泄露是由第三方供应商泄露造成的(第三方泄露)。由于第三方数据泄露会助长第三方数据泄露,因此忽视这些攻击载体就意味着忽视了最有可能导致贵组织遭受数据泄露的事件。

数据泄漏转储的范围很广,而且在不断扩大。只有在自动扫描解决方案的支持下,才能在成千上万的潜在系统中以与数据泄漏相匹配的速度跟踪数据泄漏。

  1. 供应商风险管理

供应商风险管理(VRM)是降低来自第三方供应商和服务提供商的安全风险的过程。VRM 计划针对供应商关系每个阶段所面临的独特安全风险和暴露。

入职(Onboarding) – 结合使用风险评估和安全评级,虚拟关系管理计划对潜在供应商的安全态势进行评估,以确保与风险偏好相一致。
合规性 – 通过将安全问卷的回答与流行的网络安全框架进行映射,VRM 计划可以确定合规性差距,以支持持续的合规性并防止代价高昂的违规行为。
持续监控 – 通过对第三方攻击面的持续监控,VRM 计划可以检测到可能导致第三方漏洞的新出现的供应商安全风险。
终止(Termination) – 通过定制的风险评估对访问级别进行严格审查,虚拟关系管理计划可确保离岗的供应商不再能够访问敏感资源。

供应商风险管理的一个重要组成部分是第三方攻击面监控。该功能可识别潜在的安全漏洞,这些漏洞可能会助长第三方的违规行为,进而危及贵公司的内部敏感数据。检测和处理第三方安全风险可以防止黑客通过受损的供应商入侵网络。

第 2 阶段 – 防止访问敏感数据

如果网络犯罪分子规避了所有第 1 阶段的控制措施,侵入了您的内部网络,仍可通过以下第 2 阶段的控制措施防止数据泄露。

  • 多因素身份验证(MFA)

多因素身份验证(MFA)在登录请求和访问批准之间引入了一系列额外的用户身份确认步骤。最安全的多因素身份验证形式包括生物识别身份验证方法。

  • 生物识别数据,如指纹或先进的面部识别形式,很难被网络犯罪分子窃取或复制。
  • 无密码身份验证(Passwordless Authentication)是一种功能强大的用户身份验证协议,经常与 MFA 结合使用。无密码身份验证要求用户在不输入密码的情况下提交身份证明。常见的身份验证方法包括提交指纹或硬件令牌代码。
  • 特权账户管理(PAM)

特权账户访问管理是对有权访问敏感业务资源的用户进行监控并确保其安全的过程。有了 PAM 控制,黑客就无法超越网络攻击路径的第四个阶段(权限升级)。特权账户管理策略通过 4 个支柱框架保护敏感资源,防止未经授权的访问。

监控 – 识别并监控所有特权账户。
保护 – 保护所有特权账户。
跟踪 – 跟踪所有特权访问活动。
扩展 – 实现权限管理自动化。

  • 零信任架构(ZTA)

零信任是美国国家标准与技术研究院(NIST)开发的一种网络安全架构。该架构假定所有网络活动,无论是内部还是外部活动,都存在安全威胁。为了证明这一点,每当请求敏感资源时,都要对用户账户进行持续验证。零信任架构包括其他账户泄露控制措施,如多因素身份验证和权限升级管理策略。零信任模式在防止数据泄露方面非常有效,拜登总统的 2021 年网络安全行政命令将其指定为联邦政府的理想网络安全架构。

  • 网络隔离

黑客入侵网络后,会开始横向移动,以确定所有敏感资源的位置。可以通过将敏感网络区域与普通用户路径分隔开来,来阻止横向移动。为了最大限度地进行混淆,所有访问这些封闭区域的用户账户都应采用多因素身份验证,所有连接请求都应在跳转箱(隔离网络中托管特权凭证的加固机器)内批准。

  • 数据加密

如果上述第二阶段的控制措施全部失效,黑客获得了敏感客户数据库的访问权,那么其中包含的数据如果经过加密,对黑客来说就没有什么用处了。理想情况下,使用AES算法加密数据,这是政府机构信任的加密标准。数据加密安全政策应适用于所有静态和动态内部数据,而不仅仅是敏感区域,包括存储在硬盘和笔记本电脑中的数据。加密所有内部数据可以防止黑客学习用户行为,为他们的横向移动和权限破坏工作提供支持,从而破坏攻击路径第三和第四阶段之间的攻击进程。

以下数据安全措施也可以保护高度机密信息(如财务信息)不被泄露:

  • 安全信息和事件管理(SIEM) – 侧重于实时监控可能导致泄漏的网络活动。
  • 密码管理器 – 该解决方案有助于执行强大的密码策略,防止特权凭证外泄。

事件响应计划的重要性

事件响应计划(IRP)是一份网络攻击应对手册,概述了如何应对特定的网络攻击,以最大限度地减少其影响。精心设计的 IRP 将帮助您的安全团队快速应对数据泄露攻击,从而大大降低这些事件的损失成本。

参考链接:

2024年防止数据泄露的高效策略
https://www.upguard.com/blog/prevent-data-breaches

=END=


《 “防止数据泄露的高效策略-翻译整理” 》 有 2 条评论

  1. 荐读丨10个数据安全最佳实践:保护数据的简单方法
    https://mp.weixin.qq.com/s/zeE1vWZN7byx4KQX9GvSDg
    `
    随着网络攻击面的扩大、供应链攻击的频繁发生以及向云的转移,数据安全比以往任何时候都更加重要。根据IBM Security 发布的2023 年数据泄露成本报告, 2023 年全球数据泄露平均成本达到 445 万美元,创下历史新高。

    在本文中,您将了解数据安全的主要原则,并了解适用于大多数行业的 10 种数据安全最佳实践。

    # 强大的数据安全性的主要好处

    1. 保护信息——了解您的信息受到保护,免受内部和外部威胁,可以让您高枕无忧。因此,您将有更多时间专注于业务策略,而不必担心数据泄漏。

    2. 增强声誉——寻求长期合作的组织和企业总是密切关注潜在合作伙伴的声誉。应用可靠的数据保护实践还可以激发客户的信任。

    3. 遵守数据安全要求——实施适当的安全措施可以确保遵守数据安全要求。这将帮助您的组织避免因违规而遭受巨额罚款。

    4. 减少诉讼费用——预防事件发生总是比处理事件后果更具成本效益。您在数据安全上花费的时间和精力越多,用于控制潜在事件并从中恢复的费用就越少。

    5. 增强业务连续性——强大的数据安全实践有助于不间断运营,降低业务中断的风险,从而降低收入损失。

    # 哪些数据需要保护?

    要了解哪些数据面临风险,我们首先看一下最常被盗的数据类型:
    * 个人身份识别信息-PII
    * 账号凭证
    * 企业内部信息
    * 医疗信息
    * 银行卡信息
    * 支付信息

    # 如何保护组织的敏感数据?

    为了回答这个问题,我们来看看保护数据的关键方法。根据Gartner 的说法,保护数据的四种主要方法是:

    1. 加密——防止未经授权的人员读取您的数据。

    2. 屏蔽——通过用随机字符替换敏感信息来抑制或匿名化高价值数据。您还可以用低价值的代表代币替换数据;这种方法称为标记化。

    3. 数据擦除——涉及清理不再使用或不再活动的数据存储库。

    4. 数据弹性 —涉及关键数据的完整备份、差异备份和增量备份。将有价值的数据存储在不同位置有助于使其可恢复并能够抵御不同的网络安全威胁。

    # 适合您组织的 10 大数据安全最佳实践

    虽然不同的企业、地区和行业可能需要不同的数据保护实践,但我们选择了适合大多数组织的最佳实践。如果您想知道如何确保组织的数据安全,请遵循以下十大数据保护最佳实践。

    1. 定义您的敏感数据

    2. 制定网络安全政策

    3. 制定事件响应计划

    4. 确保数据存储安全

    5. 限制对关键资产的访问

    6.持续监控用户活动

    7. 管理第三方相关风险

    8.特别关注特权用户

    9. 对所有员工进行数据安全风险教育

    10.部署专用数据安全软件
    考虑部署专门的数据保护解决方案来控制敏感数据的安全。实施安全软件时,优先考虑具有以下功能的解决方案:
    * 用户活动监控
    * 自动访问管理
    * 安全事件通知
    * 审计和报告
    * 密码管理
    此外,您可能需要确保从一处查看各种类型的设备和端点。部署太多不同的工具和解决方案并不总是有效,因为它会减慢 IT 和安全管理流程、增加开支并使维护复杂化。
    `

  2. 数据安全场景最佳实践
    https://www.volcengine.com/docs/6427/1280926
    `
    本文档旨在为企业提供一套详细的数据分级分类和审计策略实施的最佳实践。通过与飞连数据防泄露(DLP)功能的整合,企业能够确保数据安全,同时提高审计工作的效率。

    功能概述
    飞连数据防泄露(DLP)功能通过先进的数据分级管理,为企业提供了一种灵活而有效的数据保护机制。企业可以根据自身业务需求和数据的敏感性,将数据划分为不同的安全等级。这种分级策略不仅帮助企业明确数据的保密需求,而且确保了关键信息得到适当的保护措施。同时,DLP 系统通过自动化审计策略配置,实时监控数据的外发行为,自动执行审计流程,确保数据传输和访问活动符合企业的安全政策和合规要求。

    场景一:研发部门数据管控

    场景介绍
    研发部门是企业创新的引擎,管理着包括工程图纸、3D 模型在内的核心敏感数据。这些数据对保护公司知识产权至关重要。研发人员频繁使用多种应用创建和编辑数据,但必须通过授权渠道进行数据共享。飞书邮箱作为主要的审计点,确保所有外发文件均符合安全标准。

    操作结果
    实施数据分级后,研发部门大部份的敏感数据在未经授权的外发尝试中能被成功拦截,显著提升了数据保护的效率和效果。

    场景二:供应链部门数据管控

    场景介绍
    供应链部门负责协调采购和物流,经常需要处理 BOM 等敏感信息。他们通过微信和飞书等渠道与供应商共享文件,但所有外发行为都需接受审计,以保障信息安全。策略上,鼓励通过飞书进行文件共享,同时严格限制其他渠道的外发权限。

    操作结果
    通过应用阻断策略,供应链部门的外发文件审计覆盖率提升,有效避免了敏感信息的非授权传播。

    场景三:制造业 HR 部门数据管控

    场景介绍
    HR 部门负责管理薪酬数据,这些数据通常具有高敏感性,需要特别的保护措施。社保公积金数据、薪酬方案等均属于 L3 级别敏感文件,需要通过特定的文件类型和内容进行识别和保护。

    操作结果
    HR 部门的薪酬数据审计策略实施后,成功减少了大部份的非必要审计操作,同时确保了所有关键薪酬信息的安全。

    场景四:云文档审计

    场景介绍
    随着企业文档向飞书平台迁移,云文档的安全性和审计需求日益增长。飞书审计功能需确保下载后的文档流转可追踪,防止敏感信息泄露。

    操作结果
    云文档审计策略的实施,使得飞书平台上的敏感文档外发率降低,提高了文档流转的透明度和可控性。

    场景五:审计运营提效

    场景介绍
    为了减轻运营团队的审计负担,同时避免影响终端性能,公司内部文件在特定环境下的外发审计被豁免。飞书租户和内网网站的外发操作不受 DLP 策略限制,以优化审计流程。

    操作结果
    优化后的审计策略使得运营团队的审计工作量减少,同时保持了企业数据的安全性和终端性能的稳定性。

    ==
    默认必选告警上报,此外您可以根据实际需求选择截图存证和文件存档方式中的一个或多个。

    告警上报:当策略生效范围内的员工终端发生数据泄露行为时,告警信息会被飞连客户端上传至飞连管理后台。
    截图存证:可选择 Windows、macOS 和 Linux 中的一个或多个。当策略生效范围内的员工终端发生数据泄露行为时,飞连客户端会截图存证并上传至飞连管理后台。截图存证可以在指定的员工风险和外发文件详情中查看。
    文件存档:当策略生效范围内的员工终端发生数据泄露行为时,飞连客户端会保存外泄的文件并上传至飞连管理后台。文件存档可以在指定的员工风险中查看。
    `

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注