序言
数据泄露对于企业和个人来说都是致命性的影响,企业在运营过程中,对数据的保护是至关重要的,如果企业的数据因内外部原因而出现数据泄露的情况,那么这必将对企业的正常运营发展带来风险和影响。
下面就谈谈针对数据泄露排查的一些思路。
应用系统排查
一个企业发展往往需要开发或者购买一定量的应用系统,这些系统能很好解决企业发展的业务需要,同时这些应用系统也会存在数据泄露的风险,针对应用系统数据泄露排查方式可以从下面5个方面入手。
-
对重点怀疑的应用系统进行专项功能排查测试,特别需要多端都进行排查测试;
-
对重点怀疑的应用系统的访问权限进行排查确认;
-
对重点怀疑的应用系统的业务调用关系拓扑进行梳理确认;
-
根据被泄露的数据特征,进行判断排查确认归属企业中的具体归属哪个应用系统;
-
排查WAF、IDS、全流量设备、HIDS等安全设备日志,确认是否存在被攻击者入侵。
员工排查
员工是企业发展壮大的基础,各个职能岗位的员工构成的团队,并且员工所属的权限和安全意识都是不一致的,碰到企业数据泄露,对员工的权限、行为、环境排查是必不可少的。
-
针对重点怀疑拥有应用系统,所属系统权限员工进行操作行为排查分析;
-
针对具有重点怀疑拥有系统权限员工在堡垒机、数据库的操作审计日志排查分析;
-
排查具有重点怀疑系统权限的员工是否存在违规从生产环境种将业务数据拉取到本地环境;
-
排查内部员工的办公环境是否有存在中钓鱼邮件、病毒木马行为,从而导致数据泄露。
企业供应链排查
-
排查分析企业自有的供应链渠道是否存在物流、外卖等个人泄露的可能;
-
排查企业和一些合作方或SaaS的服务业务有哪些,并且排查确实是否存在和合作方或SaaS的交换传输方案是否安全或传输的参数是否和存在被泄露的数据有关联性和相似性;
3、排查企业的短信模块内容是否存在包含被泄露的数据。
网络公开信息排查
1、排查企业的代码托管平台是否存在企业内部代码、配置信息或敏感数据被上传到公开的github、gitee等代码托管平台;
2、排查网络上公开的网盘或文库是否存在企业内部敏感的文档或敏感数据;
3、通过终端安全软件、DLP等排查是否有人通过即时通讯工具进行对外发送敏感信息;
4、通过网络控件测绘系统检索是否存在企业相关的钓鱼网站、虚假APP甚至一些非法的引流网站或软件。
总结
数据泄露的排查并不是最终的处理方案,排查只是为了溯源排查出现数据泄露问题的根源点,通过挖掘出来的的数据泄露的根源点,然后进行针对性的优化和补漏。
针对数据泄露可以重点从人员、权限、第三方合作服务去进行管控。这样可以相对性的降低数据被泄露的风险。
结束
点个在看你最好看
原文始发于微信公众号(安全架构):谈谈数据泄露的排查方法
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论