探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。
点击 "合规社" > 点击右上角“···” > 设为星标⭐
■ 分享嘉宾:王明博
▽
为提升合规社星球社区服务体验,拓宽不同领域的知识和实战经验,搭建更好的“数据安全及个人信息保护“知识交流和分享平台,合规社精心策划了“星球社区私享会”。邀请来自不同行业的专家,包括数据合规、数据安全和数据业务等领域的专业人士,分享实战经验和专业领域的见解。以星球会员“私享会”方式,为星友提供一个深度讨论和答疑解惑的平台,直击工作中的难题。
6月13日,由Smart启动了第一期分享,大家反馈形式新颖、效果不错,可以深入讨论实务难题。第二期邀请李传龙律师分享热门主题《企业数据资产入表中的合规审查实践》。第三期邀请郑老师分享《互联网公司的数据安全治理实践分享》。最近一期王明博老师分享《数据泄漏黑产现状分享和对抗经验交流》。不到两个月时间,合规社组织了四期高质量的星球内部分享。
图1:合规社-知识星球社区闭门私享会
本人每一期都参加,从中收获很大,尤其对明博老师分享的黑灰产话题,更是感触深刻,和平常偏安全管理类工作形成很好的补充,为此整理成本文。
本文包含两部分,第一部分王明博老师分享的黑灰产现状、对抗经验和数据安全的落地实务经验为核心内容,另一部分从学员视角听完分享会后,整理一些个人新感知。
01王明博专家介绍
很早就听说明博老师,知道他拥有丰富的安全履历,听完分享之后印象更加深刻。他现任九方智投信息安全总监,拥有15年信息安全行业工作经验,在数据安全产品开发、数据安全体系建设和黑灰产对抗方面有丰富的实战经验,一句话总结就是“安全大佬”。
02黑灰产泄漏的类型和行业分布
从数据泄漏信息类型占比看,用户信息泄漏高达92.74%,剩余数据泄漏的类型包括内部文件文档泄漏、员工信息泄漏、敏感代码泄漏。
图2:2023年三季度数据泄露信息类型占比(来源威胁猎人)
图3:2023年三季度行业数据泄露事件数占比(来源威胁猎人)
因此,结合泄漏数据的类型和行业看,金融、物流、航旅的用户信息泄漏是数据黑灰产的集中地。
03数据泄漏黑/灰产生态链概览
图4:数据泄漏黑/灰生态链概览(来源于明博老师分享会课件)
(1)上游
数据泄漏的供应方式主要包括六类,分别是短信劫持、运营商DPI、黑客攻击、违规APP&SDK、快递渠道、内鬼。
(2)中游
料商是黑市中的数据中间人,负责连接数据买卖双方。他们通过非法手段获取个人信息,如短信代理商泄露、黑客攻击或内鬼泄露等。他们可能通过撞库、暗网搜集或买卖等方式收集数据,并可能伪造数据进行销售。这些经过处理的数据因其真实性和质量,在黑市上非常受欢迎,尤其是短信数据。
(3)渠道
Telegram和暗网,黑灰产的数据交易通道。Telegram是一款提供高度加密、无审查、无广告的即时通讯软件。暗网是互联网一个隐秘的部分,包含未被传统搜索引擎搜索的内容。
(4)下游
黑灰产相关数据的购买方。例如电信诈骗、灰色电销、X情/博X团伙、网络勒索、恶意代维等。其中恶意代维是指一些个人或机构在没有法律执业资格的情况下,通过虚假宣传、误导消费者,以帮助消费者维权的名义进行非法活动,牟取不正当利益的行为。这些行为不仅侵犯了消费者的权益,也扰乱了金融市场的秩序,对社会诚信体系造成了破坏。
04暗网数据泄漏的主要途径
图5:暗网数据泄漏的主要途径(来源于明博老师分享课件)
一种网络犯罪手段,它通过非法获取用户手机接收到的短信验证码来实施犯罪活动。以前人与人之间的短信被即时通信软件替代了,但人与系统、人与业务的短信验证码却急剧增长,如今几乎所有网页应用、APP应用需要通过验证码进行注册、登入和访问,尤其涉及金融、商旅与钱相关的场景。短信变成了身份认证、营销通知工具。短信通道监管不严格、层层分包、低价恶意竞争可能造成短信通道成为数据泄漏的重要原因。
(2)网络服务商DPI
Deep Packet Inspection,深度数据包检测,一种基于应用层的流量检测和控制技术。用户访问网址或者App时,会产生对应的网络流量,通过这些流量进行分析,将用户手机号、访问地址关联匹配。针对HTTP明文流量,可以精确到URL(访问地址);针对HTTPS,虽然经过了加密,但依然能够抓到对应的接口域名、端口等信息,关联出更有价值的内容。
通常,网络服务商的内鬼,违规外包、违规代理商通过网络DPI筛选出高价值信息进行利用。该方式最大特征是能够筛选出特定浏览记录的用户,甚至可以根据App的API接口区分出对应注册、登录等操作。此类数据时效性较高,一般获取当天或者隔天的数据,单条均价较高。
(3)违规APP及SDK
SDK(软件开发工具包)因其可获取用户个人信息、网络行为记录、个人账号等,其数据被黑产获取后会用于网购退货诈骗、金融诈骗等特定类型的电信诈骗犯罪。此类数据获取方式主要是利用SDK采集用户手机上近期新装、活跃的App及对应的用户机号信息。
-
基于流量检测:通过分析SDK与后端接口的通信数据,利用每个SDK的标识符获取到用户的App信息,利用运营商流量数据匹配出对应手机号。
-
被第三方泄漏:通过SDK所属的第三方公司内部数据流出或者某些仿冒App所包含恶意SDK直接收集相关信息,可通过IMEI、IMSI等信息匹配出用户手机号。
受害机型主要为Android手机,SDK数据获取特征是能够筛选出安装使用特定App的用户,数量虽多但准确性较低。不过,黑产团伙往往为了增加出售价值,会通过撞库的方式额外增加一些家属信息。该数据时效性较高,一般为两天内,平均单价接近0.5元/条。
(4)内鬼(有意识)
由于庞大的暗网市场,使得黑产组织通过超出想象的报酬,尝试收买一些企事业单位拥有特权的内部人员,通过这些“内鬼”非法获取数据并进行贩卖。
(5)安全意识薄弱(无意识)
企业员工安全意识薄弱,在无意识下(非主动)情况下造成的数据泄漏,流转到各个料商。
(6)黑客攻击
因网络、业务、系统、应用等有漏洞,由黑客攻击造成的数据泄漏情况。
01数据安全建设实务经验
因为数据是流动的,需要用整体的思想进行数据安全管控,除了业务系统的数据安全,针对办公场景、运维研发场景、云端数据的安全,需要分场景设置不同的防护方案。
他在工作中为企业搭建的数据安全框架包括五大部分:数据安全管理及运营、云端数据安全、业务应用数据安全、办公数据安全、运维/研发数据安全。如下图:
图6:企业数据安全基础架构(来源于明博老师分享课件)
(1)数据安全管理及运营:流程上应用“IPDRR”模型,平台建设上数据安全管理平台、用户行为实体分析、信息安全管理中心(SOC),进行整体风险监测与告警,通过预警、通知、处置实现安全闭环。
(2)云端数据安全:IT基础环境的通用安全能力,依赖云上安全措施。企业建设私有云环境,可参考配置相关安全能力。例如数据库安全审计、KMS/HSM密钥管理系统、敏感数据识别系统等;
(3)业务应用数据安全:与业务相关的各类系统,主要聚焦APP(如有)隐私合规、API数据安全网关、WEB应用程序和API保护等。
(4)办公数据安全:容易被忽视的场景安全,可再细分成三类:终端安全、网络安全、邮件安全。标准的安全产品包括终端数据防泄漏、数据泄漏、VPN(远程接入)、NAC网络准入、安全浏览器(零信任原理)
(5)运维/研发数据安全:也是出现内部泄漏的典型场景,包括有意识和无意识情形。标准的安全产品包括堡垒机、数据运维或审核平台、云桌面(数据沙箱)、数据脱敏平台等。
02实践分享:数据防泄漏的实务建议
问题1:数据防泄漏(DLP)产品能否起到好的防护和阻断效果?
全球范围内的数据防泄漏产品都难以达到安全防护与工作效率和用户体验相互平衡的效果。由于电脑终端、网络协议的复杂性导致数据外传是容易被绕过的。
问题2:既然效果不好,为什么说DLP产品是企业数据安全的关键产品?
DLP产品的主要价值在于:关键渠道管控 + 数据外发行为审计 + 管理震慑 + 事后安全取证,上述的价值已经足以支撑企业落地DLP产品来实施数据安全管控了。
问题3:如何建设和运营DLP才能起到好的效果?
核心要点是“聚焦关键数据的保护,切勿贪大贪全”。根据企业实际办公场景,封堵关键渠道,例如:
-
外设或特殊渠道USB/AirDrop/蓝牙/光驱 -
非办公IM限制文件外传 -
限制各类风险软件和网站:各类网盘,迅雷,远程协助
此外,针对办公场景下,终端安全管控,需要联合多个部门合作推进数据泄漏风险监控和事件处置。通过企业领导层自上而下落地实施,结合安全制度规范,做到赏罚分明原则。
03黑灰产外部渠道对抗建议
(1)短信劫持泄漏
经过实践验证,企业短信通道建议直接对接网络运营商(短信接入号),类似1099*****,尽量避免采用第三方的通道,可大大降低因短信劫持导致的数据泄漏可能性。
(2)DPI渠道泄漏
业务应用上,禁止使用HTTP协议,全链路使用HTTPS协议,实现通信流量的加密;移动端使用HTTP DNS服务;考虑DGA动态域名技术,进行动态域名请求。
(3)违规SDK/违规APP
目前没有什么好办法,尤其是针对SDK,一个应用的组成可能涉及大量直接或间接的SDK,还存在不同APP之间相互预览。
“HTTP DNS”小科普:
是一种基于HTTP协议实现的域名解析服务。它通过HTTP与DNS服务器进行交互,代替了传统的基于UDP协议的DNS服务。当客户端需要进行DNS解析时,不是向本地DNS服务器发送查询请求,而是直接通过HTTP请求访问HTTP DNS 接口。HTTP DNS服务端根据客户端的IP地址、运营商等信息,返回最优的IP地址,从而帮助客户端实现就近访问业务节点,提高访问速度和成功率。解决原来传统DNS变更同步实效性慢,且容易被劫持的问题。
下面内容是个人听完明博分享后的一些收获和触发的感受,写成文字供参考:
01不同视角看数据安全
个人理解,数据安全是需要从不同视角进行综合思考,避免片面化看问题。比如@数据安全合规人员关注法律法规、政策要求,关注数据采集、数据共享的合规协议和保密条款;@数据安全测评人员聚焦测评的标准条款和具体要求,大部分从满足要求视角看问题,但是针对这些条款要求如何转化成企业安全实践落地经验,并没有很好的落地建议。同样,作为@企业内部安全管理和技术人员,非常了解企业现状和业务系统情况,也有技术基础,但对国家数据安全合规要求理解和转化,存在较大的差距。
02安全意识的警醒需要亲身经历
分享中他提到很多典型的数据泄漏实践,个人经历或听到亲身经历安全事件的感受,比如DPI机房流量镜像外泄情况、数据业务产品线存在风险,整个楼层人员被监管人员喊“起立”情形、疑似大规模数据泄漏的配合调查等等。只有经历过这些极大的压力环境,在随后的工作中,习惯主动的安全防范意识,比如人离开电脑锁屏、不设置弱口令等安全红线,需要谨记于潜意识中。
在数据时代,我们每个人生活和工作都接触大量的数据和提供大量的数据,养成良好的数据安全素养是必备技能,不仅仅是防止数据泄漏,更是在保护我们自己。
03跨行业分享学习的好处
合规社刚好搭建这一个内部分享平台,所以每一期我都认真听、认真做笔记,会议后把纸质笔记转化成电子稿,慢慢很多知识和思路就转化成自己的一部分。
04听专家的整体思路和实践做法
所以,保持开放的心态,听听专家们怎么思考问题,在面对不同环境时他们解决实际问题的能力,用来给我们开拓经验,而不是照搬作业,很多时候环境条件变了,方法就不适用。
05关于办公安全的新理解
办公场景下“网络、终端、邮件”是三要素,不同规模的企业安全诉求不同,不同场景的技术解决方案也不一样,但是总体思路可以概括如下:
(1)建立企业内部统一办公平台
类似钉钉、企业微信、飞书等基础底座通用能力平台,它们是整个平台的应用底座和安全底座。作为统一的应用能力网关,应用内生的安全功能在不断地完善和丰富,如聊天功能、网盘功能、邮箱功能、文件发送等,可以通过精细化安全配置和启用内生安全功能,比外挂式的安全产品更加靠谱。
在这个能力底座上,再构建共性业务应用,比如OA、CRM、HR等应用,它们的身份数据来源于数字身份平台,进行统一身份识别和身份认证,可以解决了人员离职后各应用软件单独删除账户问题。数字身份平台统一集中管控,应用权限由各个应用自行配置管理。
简要理解,通过能力底座网关实现应用的统一接入,通过数字身份实现人访问应用的统一卡口,解决人访问应用的问题。
(2)做好企业终端安全防护
人访问应用需要通过终端(办公笔记本、PC、移动端),终端安全是核心,做好终端接入的安全管控,需要终端防泄漏、终端EDR、桌面管理等产品。需要注意,企业内部推动终端安全管理需要从上到下推进,避免过多的终端安全软件、过度侵入终端问题。
06数据安全合规比重在增加
处理数据安全合规工作时,因涉及安全、法务、审计、风控等多岗位角色,建立合作和协同机制非常重要,一同把数据安全合规工作找好。
合规社-知识星球社区分享会是一个常态化的分享机制,会定期邀请各行业专家进行分享。如果您有好的做法、好的实践和新鲜的想法,欢迎一同加入分享,一同建设数据安全及合规交流平台。
3.数据安全风险评估:如何快速理解业务系统?
注:往期知识星球私享会课件下载及回看视频链接,请前往知识星球获取。
-END-
⬇️⬇️⬇️
星主微信:15316189587
原文始发于微信公众号(合规社):数据泄漏黑灰产现状及对抗思路 | 精华整理
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论