漫谈数据泄露排查 | FreeBuf甲方社群直播回顾
2022-6-13 15:37:38 Author: www.freebuf.com(查看原文) 阅读量:10 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

6月9日,安全工程师田夜明FreeBuf甲方社群第五场内部直播中担任主讲嘉宾,分享数据泄露排查

数据对于企业来说是无形的资产,数据一旦泄露将导致难以估量的损失。可能造成数据泄露的原因有,身份冒用、越权操作、违规操作、误操作、配置失当、基础设施不可控、社工钓鱼、安全漏洞等。

三种数据泄露事件获知渠道

企业如何监测、获知数据泄露事件?田夜明介绍,企业通常有外部情报、内部监测、监管通报三种方式获知数据泄露

外部情报一般通过安全厂商、白帽子等途径提供的威胁情报,或者在暗网发现企业数据被售卖。田夜明提醒,从外部获得的数据泄露情报需找业务方、DBA确认样本数据的真实性,然后根据样本数据特征排查可能的泄露渠道;如果在暗网发现企业数据,需要仔细核对数据,是否为敏感数据以及数据时效性。

内部监测则通过注意用户接口是否被大量异常遍历、用户异常外发行为等,以及欺诈客诉。企业需要根据不同的泄露渠道及场景,制定不同的排查方案。

此外,企业还需注意直属监管机构的监管通报,根据监管部门通报内容梳理可能泄露的渠道,进行整改。

4W1H排查思路

如果不幸发生数据泄露事件发生,企业或数据主体需要及时进行排查并启动应急响应。

4W1H即what、why、when、who、how。What代表泄露了哪些数据、具体特征格式以及大致被泄露数据量级。Why代表为什么会泄露这些数据以及可能的泄露渠道。When代表数据的泄露时间。Who代表哪些人有权限可以接触到泄露数据。How即根据以上信息大致确认可能的泄露渠道、缩小排查范围,制定排查方案开始具体排查。

事后复盘

田夜明还提到,发生数据泄露事件后要及时进行事后复盘,主要分为事件回顾、分析原因、故障总结、改进计划和事件闭环五个环节

在事件回顾时,要以时间线形式复原事件处理及发展的始末、提出事件排查过程中遇到的问题并判断处理结果是否达到预期。

分析原因环节,需要分析事前执行是否充分、流程是否规范、策略覆盖是否全面;还需分析事中的监控机制是否建立、是否覆盖到位、规则是否及时更新、是否配置告警、是否人为未重视、是否未能及时定位事件起因。

故障总结环节,需注意暴露问题和责任认定,梳理数据泄露事件暴露了哪些工作上的问题,厘清事件中各方的权责关系,方便后期跟进改进。

改进计划环节,根据复盘发现的问题,制定出可实施的改进计划。

事件闭环环节,相关责任人跟进制定出的改进计划,并定期进行进度汇报,同时将改进计划涉及的项目进行归档,方便后期翻阅或审计。

如何对数据泄露事件定级

在互动问答环节,有观众提到,如何对数据泄露事件定级。田夜明表示,数据泄露事件定级与企业传统信息安全事件分级大致相同,分为特别重大事件、重大事件、较大事件和一般事件评级的指标包括数据敏感等级、影响业务程度、对公司声誉度的影响;还需考虑公司所在行业特殊性、所在行业监管要求等因素进行综合评级。

还有观众提问,如何推动下游配合数据泄露排查。田夜明回答,企业在购买的对外服务时,需在采购合同中对服务提供方进行事前、事中、事后约束。例如发生数据泄露时,服务方需24小时内进行远程协助或现场排查。事后,要求服务方限时整改。

最后,田夜明还和主持人一起抽取了数位互动观众送出精美礼品。

加入FreeBuf甲方社群

本期直播精彩回顾到此结束啦~此外,FreeBuf会定期开展不同的甲方社群直播,想了解更多话题和观点,快来扫码免费申请加入FreeBuf甲方群吧!

加入即可获得FreeBuf月刊专辑,还有更多精彩内容尽在FreeBuf甲方会员专属社群,小助手周周送福利,社群周周有惊喜,还不赶快行动?

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!

申请流程:扫码申请-后台审核(2-5个工作日)-邮件通知-加入会员俱乐部

如有疑问,也可扫码添加小助手微信哦!


文章来源: https://www.freebuf.com/articles/database/336048.html
如有侵权请联系:admin#unsafe.sh