网络攻防学习笔记 Day75
数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。
确认是否为数据泄露安全事件主要依据以下三条基本原则。
(1)违反机密性:未授权或意外披露机密数据。
(2)违反可用性:意外丢失数据访问权或对机密数据造成不可逆转的破坏。
(3)违反完整性:机密数据未授权或意外变更。
Hawkeye 是一个开源 GitHub 数据泄露监控系统。通过该系统监控 GitHub 代码库,可及时发现员工托管公司敏感信息到 GitHub 的行为并预警,降低数据泄露风险。
系统监视器(Sysmon)是 Windows 系统服务和设备驱动程序,可监视系统活动并将其记录到 Windows 事件日志中。Sysmon View:Sysmon 日志可视化工具,Sysmon Shell:Sysmon 配置文件生成工具,Sysmon Box:Sysmon 网络捕获日志记录工具。
发生数据泄露事件后,首先可及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等。具体可从以下六方面(5W+1H)了解数据泄露的现状。
(1)What——了解泄露了什么数据,泄露数据的表现形式及量级。
(2)Where——了解在什么位置可以访问和下载到相关的泄露数据。
(3)When——了解数据泄露的大致时间。
(4)Who——了解可以接触到这些数据的人员。
(5)Why——了解为什么会泄露该数据,该数据泄露后可能造成的影响。
(6)How——根据了解的现状初步判断数据是如何泄露的,缩小排查范围。
快速确认现场网络环境中安全措施配备、管控范围及功能配置情况,为后续确立处置策略提供依据和支撑。重点对以下内容进行确认。
(1)专用数据泄露防护类产品:确认数据泄露行为监测、预警、阻断情况。
(2)安全审计类产品:确认数据库审计、应用审计、运维操作审计情况。
(3)入侵检测类产品:确认入侵攻击监测、预警情况。
(4)流量分析类产品(如天眼):确认攻击和异常行为监测、预警情况。
(5)确认应用系统、服务器、终端等日志情况。
禁止服务器主动发起外部连接请求,对于需要向外部服务器推送共享数据的情况,应使用白名单的方法,在出口防火墙加入相关策略,对主动连接的 IP 地址范围进行限制。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/46f42b9492c5ae8de6bf5aaeb】。文章转载请联系作者。
评论