威胁情报:是谁泄露了敏感信息?
2021-09-14
摘要:本文将介绍敏感信息泄露的原因、泄露的内容、泄露的主要渠道以及如何进行敏感信息监测等技术手段。
01 引言
随着中国经济的崛起,中国互联网行业迎来了蓬勃发展新机遇。远程办公、视频会议、远程开户、互动式系统、门户型系统等极大地提高了工作效率。数字化建设的迅速发展和大规模应用彻底改变了社会生产及生活方式,推动了社会进步和经济的发展。业务依托于安全,安全服务于业务,信息安全建设的本质还是风险管理。资产、威胁、脆弱性是风险管理的三大要素,其中资产既是数字化业务的基础载体,又是风险管理的基础,其安全性无疑是信息化建设过程中的重要环节。
然而,随着互联网、云计算、大数据、移动端业务平台、远程办公等技术的快速应用,企业和个人的数据安全也面临越来越大的安全挑战。
02 敏感信息泄露的原因
造成敏感信息泄露的原因很多,其中最常见的原因包括以下方式:
(1)企业自身安全管理疏漏
企业员工为了工作便利,将敏感数据文件放到互联网上任何人均可访问的公共文档服务器上,造成敏感数据的泄露。企业自身安全管理不严、员工安全意识参差不齐、外包等临时工培训不到位以及远程办公广泛使用,使得此类信息泄露普遍存在各类企业中。
(2)未加密数据库暴露公网
企业存放敏感数据的数据库暴露在互联网上。数据库未进行安全加密或者使用弱口令加密导致的数据外泄。
(3)黑客针对性攻击
黑客团伙采用网络入侵方式攻入企业系统,获取系统权限后,窃取系统中的敏感数据。
(4)内部人员有意泄露
企业内部员工出于商业利益,有意将数据拷贝并泄露给外部。例如重要岗位员工离职时带走之前拷贝的数据或者内部员工私下对外转卖内部数据等。
03 敏感信息泄露的内容
根据类型不同,敏感信息泄露的内容可以分为:客户敏感信息和业务敏感信息两大类。以下介绍这两类的特点:
(1)客户敏感信息
客户敏感信息主要指企业为自己客户提供服务时保存的客户个人信息。例如医院的患者数据、银行的银行卡用户数据、学校的学生信息数据等。客户敏感信息丢失可能会造成客户流失、客户遭受网络诈骗、客户遭受广告骚扰等问题。
例如,2020年2月某酒店1060万名客人个人信息泄露,超过1060万名曾入住酒店的旅客个人信息被发布至黑客论坛。泄露的身份信息包括姓名、家庭地址、电话号码和邮件地址。
(2)业务敏感信息
业务敏感信息主要指企业自身网络环境、系统、重要资产数据等信息。例如企业网络拓扑、重要业务系统的账号密码、员工账号密码、内部机密文件、项目源代码、工资表等信息。企业自身业务敏感信息丢失可能会造成核心员工被竞争对手挖角、重要项目竞标失败、黑客针对网络脆弱点入侵、利用员工邮箱进行网络钓鱼等风险。
04 敏感信息泄露的主要渠道
根据信息泄露时使用网络媒介的不同,泄露的渠道包括:互联网公开资源站点、黑客资源站点、暗网资源站点等三种。
(1)互联网公开资源站点
云网盘、在线文库、源代码托管平台、企业公示信息等互联网公开资源站点上通常存在安全意识较差员工上传的企业敏感文档、项目源代码等敏感数据。
(2)黑客资源站点
黑客在获取敏感数据后,出于黑产牟利的需要会在黑客站点或黑客圈中进行数据的销售。通过对常见黑客交易资源站点、黑客数据交易群的跟踪,可获悉被黑客获取并在进行销售的数据情况。
(3)暗网资源站点
互联网由表层网和深网构成。表层网包含一切互联网可搜索到的信息,但除此之外,还有一张比表层网还要庞大数百倍的暗网,人们可以通过匿名访问的技术进入暗网,但表层网中不会留下它的痕迹。
暗网存在大量以敏感信息数据交易为目的的资源交易网站。暗网资源站点通常以售卖企业客户的敏感数据为主,例如银行泄露的客户银行卡信息、电商企业泄露的客户个人信息、国家网站泄露公职人员信息等。在暗网资源网站上,不仅可以观察企业已经泄露和正在交易的敏感信息数据,还可以发现正在求购的交易信息,可以帮助评估当前企业面临的安全风险。
05 基于威胁情报的敏感信息泄露实时监测
面对泄露渠道的复杂多样,对企业敏感信息泄露进行全面的核查发现,也需要多样化的检测和发现手段。绿盟威胁情报中心采用多样化的实时监测技术,对互联网公开网站、在线文库、源代码托管平台、黑客交易论坛、暗网资源监控、公网暴露数据库等6大安全风险进行实时监测,帮助客户全面梳理可能的数据泄露风险。
06 威胁情报赋能,守护网络安全底线
9月13日,国新办举行“推进制造强国网络强国建设助力全面建成小康社会”发布会,工信部部长肖亚庆在回答记者就平台互联互通相关问题提问时表示:平台经济总体发展态势良好,在促进经济发展和提供生活便利方面都发挥了重要作用,对于发展过程中出现的一些问题,需要从发展角度来解决,确保互联网安全是底线。信息通信管理局局长赵志国进一步表示,如何保障合法合规的网址正常访问,是互联网发展基本需求。工信部正在按照专项行动方案安排,指导互联网企业自查整改。要求企业按照整改要求,务实推动分步骤、分阶段得到解决。
近年来,敏感信息泄露事件频发,网络安全越来越受到国家和社会的关注。《网络安全法》《网络安全等级保护基本要求2.0》《数据安全法》《个人信息保护法》等多个法律法规相继出台,数据安全已经成为新一代信息安全标准的基本内容。基于新的安全形势下,如何保障数字资产安全,避免因敏感信息泄露带来的声誉受损、竞争力下降等问题成为网络安全建设的重要一环。
绿盟威胁情报中心推出基于威胁情报的敏感信息泄露监测服务,依托云端强大的实时监测能力,对企业可能出现各类泄露渠道进行全面、实时的监测,帮助客户提早发现安全风险,守好网络安全底线。
绿盟威胁情报中心
绿盟威胁情报中心(NSFOCUS Threat Intelligence center, NTI)是海王捕鱼为落实智慧安全3.0战略,促进网络空间安全生态建设和威胁情报应用,增强客户攻防对抗能力而组建的专业性安全研究组织。其依托公司专业的安全团队和强大的安全研究能力,对全球网络安全威胁和态势进行持续观察和分析,以威胁情报的生产、运营、应用等能力及关键技术作为核心研究内容,推出了绿盟威胁情报平台以及一系列集成威胁情报的新一代安全产品,为用户提供可操作的情报数据、专业的情报服务和高效的威胁防护能力,帮助用户更好地了解和应对各类网络威胁。
