网络攻防学习笔记 Day75

数据泄露指对存储、传输或以其他形式处理的个人或机构数据造成意外或非法破坏、遗失、变更、未授权披露和访问的一类安全事件。

确认是否为数据泄露安全事件主要依据以下三条基本原则。

（1）违反机密性：未授权或意外披露机密数据。

（2）违反可用性：意外丢失数据访问权或对机密数据造成不可逆转的破坏。

（3）违反完整性：机密数据未授权或意外变更。

Hawkeye 是一个开源 GitHub 数据泄露监控系统。通过该系统监控 GitHub 代码库，可及时发现员工托管公司敏感信息到 GitHub 的行为并预警，降低数据泄露风险。

系统监视器（Sysmon）是 Windows 系统服务和设备驱动程序，可监视系统活动并将其记录到 Windows 事件日志中。Sysmon View：Sysmon 日志可视化工具，Sysmon Shell：Sysmon 配置文件生成工具，Sysmon Box：Sysmon 网络捕获日志记录工具。

发生数据泄露事件后，首先可及时了解数据泄露事件发生的时间、泄露的内容、数据存储的位置、泄露数据的表现形式等。具体可从以下六方面（5W+1H）了解数据泄露的现状。

（1）What——了解泄露了什么数据，泄露数据的表现形式及量级。

（2）Where——了解在什么位置可以访问和下载到相关的泄露数据。

（3）When——了解数据泄露的大致时间。

（4）Who——了解可以接触到这些数据的人员。

（5）Why——了解为什么会泄露该数据，该数据泄露后可能造成的影响。

（6）How——根据了解的现状初步判断数据是如何泄露的，缩小排查范围。

快速确认现场网络环境中安全措施配备、管控范围及功能配置情况，为后续确立处置策略提供依据和支撑。重点对以下内容进行确认。

（1）专用数据泄露防护类产品：确认数据泄露行为监测、预警、阻断情况。

（2）安全审计类产品：确认数据库审计、应用审计、运维操作审计情况。

（3）入侵检测类产品：确认入侵攻击监测、预警情况。

（4）流量分析类产品（如天眼）：确认攻击和异常行为监测、预警情况。

（5）确认应用系统、服务器、终端等日志情况。

禁止服务器主动发起外部连接请求，对于需要向外部服务器推送共享数据的情况，应使用白名单的方法，在出口防火墙加入相关策略，对主动连接的 IP 地址范围进行限制。