4W1H即what、why、when、who、how。What代表泄露了哪些数据、具体特征格式以及大致被泄露数据量级。Why代表为什么会泄露这些数据以及可能的泄露渠道。When代表数据的泄露时间。Who代表哪些人有权限可以接触到泄露数据。How即根据以上信息大致确认可能的泄露渠道、缩小排查范围,制定排查方案开始具体排查。6月9日,安全工程师田夜明在FreeBuf甲方社群第五场内部直播中担任主讲嘉宾,分享数据泄露排查。数据对于企业来说是无形的资产,数据一旦泄露将导致难以估量的损失。可能造成数据泄露的原因有,身份冒用、越权操作、违规操作、误操作、配置失当、基础设施不可控、社工钓鱼、安全漏洞等。
| 三种数据泄露事件事件获知渠道 |
企业如何监测、获知数据泄露事件?田夜明介绍,企业通常有外部情报、内部监测、监管通报三种方式获知数据泄露。外部情报一般通过安全厂商、白帽子等途径提供的威胁情报,或者在暗网发现企业数据被售卖。田夜明提醒,从外部获得的数据泄露情报需找业务方、DBA确认样本数据的真实性,然后根据样本数据特征排查可能的泄露渠道;如果在暗网发现企业数据,需要仔细核对数据,是否为敏感数据以及数据时效性。内部监测则通过注意用户接口是否被大量异常遍历、用户异常外发行为等,以及欺诈客诉。企业需要根据不同的泄露渠道及场景,制定不同的排查方案。此外,企业还需注意直属监管机构的监管通报,根据监管部门通报内容梳理可能泄露的渠道,进行整改。
| 4W1H排查思路 |
如果不幸发生数据泄露事件发生,企业或数据主体需要及时进行排查并启动应急响应。田夜明介绍,可以用4W1H排查思路。4W1H即what、why、when、who、how。What代表泄露了哪些数据、具体特征格式以及大致被泄露数据量级。Why代表为什么会泄露这些数据以及可能的泄露渠道。When代表数据的泄露时间。Who代表哪些人有权限可以接触到泄露数据。How即根据以上信息大致确认可能的泄露渠道、缩小排查范围,制定排查方案开始具体排查。
| 事后复盘 |
田夜明还提到,发生数据泄露事件后要及时进行事后复盘,主要分为事件回顾、分析原因、故障总结、改进计划和事件闭环五个环节。
在事件回顾时,要以时间线形式复原事件处理及发展的始末、提出事件排查过程中遇到的问题并判断处理结果是否达到预期。
分析原因环节,需要分析事前执行是否充分、流程是否规范、策略覆盖是否全面;还需分析事中的监控机制是否建立、是否覆盖到位、规则是否及时更新、是否配置告警、是否人为未重视、是否未能及时定位事件起因。
故障总结环节,需注意暴露问题和责任认定,梳理数据泄露事件暴露了哪些工作上的问题,厘清事件中各方的权责关系,方便后期跟进改进。
改进计划环节,根据复盘发现的问题,制定出可实施的改进计划。
事件闭环环节,相关责任人跟进制定出的改进计划,并定期进行进度汇报,同时将改进计划涉及的项目进行归档,方便后期翻阅或审计。
| 如何对数据泄露事件定级 |
在互动问答环节,有观众提到,如何对数据泄露事件定级。田夜明表示,数据泄露事件定级与企业传统信息安全事件分级大致相同,分为特别重大事件、重大事件、较大事件和一般事件。评级的指标包括数据敏感等级、影响业务程度、对公司声誉度的影响;还需考虑公司所在行业特殊性、所在行业监管要求等因素进行综合评级。还有观众提问,如何推动下游配合数据泄露排查。田夜明回答,企业在购买的对外服务时,需在采购合同中对服务提供方进行事前、事中、事后约束。例如发生数据泄露时,服务方需24小时内进行远程协助或现场排查。事后,要求服务方限时整改。最后,田夜明还和主持人一起抽取了数位互动观众送出精美礼品。
| 加入FreeBuf甲方社群 |
本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部
申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部