数据泄露典型判例 分析报告 b u m o c . 5 h t i g 奇安信集团网络安全部 2019 年 12 月 17 日 h t i g b u m o c . 5 主要观点  个人用户数据是数据泄露的主要类型，由此导致了大量通信网络诈骗的泛滥。用户数据 泄露呈现出数据量大，影响范围广的特点。由于基础资源变现能力强,在地下产业链中， 用户数据的交易非常活跃，成为数据泄露的重灾区。  数据泄露风险主要来自于内部人员，而牟利是造成数据泄露的主要动机。内部人员泄露 占数据泄露角色分布的 80%，而其中在职人员占比 67.5%,离职人员占比 32.5%。内部人 员因其身份的合法性，是数据安全监控体系最具挑战的部分。防范内部人员的数据泄露， 技术上需要结合多种监控手段，外部情报；管理上需要联动审计、人力资源、法务等部 门，进行多方验证。 关键词：数据，泄露，判例，监控 h t i g b u m o c . 5 h t i g b u m o c . 5 目 录 第一章 研究背景 ................................................................................................................................. 1 第二章 泄露类型分析 ......................................................................................................................... 2 第三章 泄露角色分析 ......................................................................................................................... 3 第四章 泄露动机分析 ......................................................................................................................... 4 第五章 泄露渠道分析 ......................................................................................................................... 5 h t i g b u m o c . 5 h t i g b u m o c . 5 第一章 研究背景 近年来，数据安全已经成为网络安全行业聚焦点最高的一个细分领域。随着“云大物移 智”的快速发展，数据已经成为企业的重要生产资料，数据驱动业务决策也成为实践业务创 新的核心手段。随着数据交易的常态化，勒索软件开发市场的规模化，数据衍生服务的体系 化，在低成本高收益的诱惑下，政府，企业的核心数据保护均面临着来自内外部的巨大风险。 当前数据泄露途径呈现出多元化和隐蔽化的特点，数据实战监控面临挑战。为了更精准 的制定数据监控策略，更有效的落实数据安全防控一体化机制，提升数据安全防护的投入产 出比，奇安信集团网络安全部以中国裁判文书网（http://wenshu.court.gov.cn）自 2011 年-2019 年 10 月发布的所有与数据泄露相关的典型判例（包含侵犯公民个人信息、网络安全法、非 法获取公民个人信息等关键字）的 150 份裁判文书样本数据，从泄露数据类型、泄露人身份、 泄露动机和泄露渠道等维度对样本数据进行解读整理，还原泄露过程，识别关键因素。希望 此项研究能够为政企机构数据保护策略的制定提供一些有价值的参考。 b u m o c . 5 h t i g 1 第二章 泄露类型分析 我们对判例样本中的数据泄露类型进行了分类分析，发现泄露数据主要包含为 5 大类， 分别是用户数据、客户数据、源代码、商业机密数据和政企涉密文件。5 类数据在数据泄露 判例中的占比如下图： m o c . 5 b u 数据泄露类型分布图显示，用户数据是数据泄露重灾区，占数据泄露 35%，也符合地下 产业链常见数据交易类型的特点，相关判例所涉及的数据泄露量均是百万或千万级的。此类 泄露事件一经报道，被公众所知，对企业的声誉、客户满意度、市场占有量、股价以及企业 合规都会产生极其负面的影响。 h t i g 在分析用户数据泄露这类事件时，我们发现攻击者往往是精准定向获取数据后卖给特 定买家，交易极其隐蔽，难以追踪溯源。在数据经过脱库-洗库-撞库-制作字典等环节之后， 失去其核心价值，便在黑市上进行交易，形成一条完整的黑色产业链。 商业机密数据和政企涉密文件的泄露更多的是企业或者政府单位。这类事件造成的经 济损失是最大的，其次是声誉损失，导致公众满意度下降，客户对企业信任度下降。政企机 构的客户数据泄露是近几年来同类型企业在进行恶意竞争，市场抢占时所关注的核心类资 源。任何一个在企业内部工作的员工，或多或少都能够接触到企业内部各种类型的数据。如 何有效甄别数据敏感度，如何对不同敏感度数据实施差分保护，如何在不降低工作效率的前 提下控制访问权限，如何保证数据访问和操作均具备可审计性，这是数据安全防护建设需要 重点考虑的内容。 2 第三章 泄露角色分析 我们对判例样本中的数据泄露人身份角色角度进行了分类，发现泄露人员角色主要分 为 2 大类 7 子类，一类是内部人员，一类是外部人员。其中内部人员又分为在职普通岗位、 在职重要岗位、在职技术人员、待离职人员、离职人员；外部分为合作伙伴和黑客，不同角 色在数据泄露中的分布如下图： m o c . 5 b u h t i g 从泄露角色分布图可以看出，泄露的发生无外乎外部人员的主动攻击和内部人员的有 意或无意泄露。其中数据泄露角色 80%来自内部人员，外部人员中 90%的攻击来源是黑客， 黑客利用漏洞直接脱库，或者开展社会工程学攻击，获取高权限的账户直接对数据库进行操 作，从而达到数据窃取的目的。外部人员中第三方合作伙伴也是最常见数据泄露角色，由于 业务合作需要共享数据，而下游合作厂商的数据保护意识或数据保护能力存在偏差从而导致 数据泄露，这也是近年来攻击者更愿意从数据产业链的下游发起攻击，从而窃取数据的原因。 内部在职人员造成的数据泄露呈现高速增长趋势，待离职员工和已离职员工造成的数 据泄露大多都发生在求职阶段。无论是新东家要求夹带机密数据离职，还是员工自己主动留 存窃取资料给自己增加谈判筹码，都会对原所在企业造成损失。另外近一两年随着互联网信 息互通共享，合作者或者竞争厂商未经允许私自利用共享信息牟利的案例也呈增长趋势。 企业应在趋于完善的安全防护体系之上，强化内部数据保护宣导，加强特权账号管理、 核心操作审计，提升内部用户行为分析、回溯能力。从流量、终端、应用各个方面建立预防 为主，监控为辅的数据安全能力机制。 3 第四章 泄露动机分析 我们对判例样本中的数据泄露动机进行了分类，发现泄露动机主要有以下几类：牟利、 不正当竞争/利用、公开/成名、增加求职筹码和误操作。泄露动机占比如下图所示： m o c . 5 b u 牟利永远是数据窃取的最强原动力，无论是窃取核心数据售卖获得直观的经济收益，还 是拥有核心数据增加求职筹码的间接收益，总之有利可图才会使人铤而走险。这三类动机 （牟利、增加求职筹码、不正当利用）造成了 80%的数据泄露案件。针对动机的发现和提前 预判，可以通过员工网络流量，上网行为、数据操作行为偏差值综合判定，如员工近期大量 浏览求职网站，可判断其有离职倾向，从而就可以调整安全策略，对该员工的某些数据访问 操作采取以阻断防护、监控审计为主的数据防护策略。 h t i g 剩余两成数据泄露案件大多是由员工误操作引起的，且越是技术人员的误操作所造成 的影响和破坏越是严重。针对误操作，应尽可能在高权限用户的关键操作环节，增加复核审 批手段。 4 第五章 泄露渠道分析 泄露渠道是数据监控的重点环节。我们对判例样本中数据泄露的渠道进行了分类，发 现泄露渠道主要包括：移动存储介质（U 盘）、即时通讯工具（QQ/微信）、网盘类工具 （百度网盘） 、邮件、拍照截图共 5 大类。数据泄露渠道分布如下图： b u m o c . 5 移动存储介质（U 盘/移动硬盘/存储卡）占据近半壁江山，也符合其拷贝量大、传输速 度快的特点。其次即时通讯、网盘类工具、邮件也常用于数据外发或数据备份，拍照常见于 不能直接获取到此类数据，只具备查看权限的案例，例如拍照生产车间关键设备的参数数据。 h t i g 目前对于数据泄露渠道的监控市面上均有成熟的产品和方案，无论是从终端上做文章 （终端 DLP、EDR、数字水印、透明文档加密），还是从网络流量或日志分析作为切入点（上 网行为管理、邮件服务器审计日志），数据安全不应脱离于具体业务，需要与业务场景高度 耦合。这些除了数据安全的基础能力建设之外，有一批懂运营会分析，服务意识强的安全人 员，积极在企业内部推动数据安全的各项举措，从而构建有效（真正产生价值）的数据安全 体系。 5