导读:全球每年都会有大量的爆炸性的数据泄漏事件发生,但是今年的数据泄漏事件特别多,此起彼伏,而且数据泄漏的规模和造成的破坏性影响,一次比一次大。

根据Identify Theft Research Center中心的数据显示,与2021年同期相比,今年的数据泄漏事件增长了14%,公用事业企业、医疗机构、金融服务公司、制造企业是黑客的首要攻击目标。

本文主要讲解3个方面的内容:

  1. 简单梳理2022年上半年全球最大的10起数据泄漏事件;
  2. 从红蓝攻防的角度去分析这些数据泄漏事件背后的原因;
  3. 从红蓝攻防的角度为企业如何保护好自己的数据给出几点建议。

一、2022年全球10大数据泄漏事件

根据国内知名媒体ZDNet的报道,今年全球发生了如下10起数据泄漏事件,根据数据泄漏规模和影响力倒序排列:

1.美国德克萨斯州圣安东尼奥医疗中心

  • 受影响的人数:124万

6月下旬,位于美国得克萨斯州圣安东尼奥的Baptist Medical Center医疗中心和德克萨斯州新布朗费尔斯的Resolute Health Hospital附属医院发生了重大的数据泄漏事件,该事件是美国卫生与公众服务部最近追踪到的、规模最大的数据泄漏事件之一,其中涉及到未经授权访问高度敏感的患者数据。

2.美国旗星银行

  • 受影响的人数:154万

今年6月,位于密歇根州特洛伊的美国星旗银行称在去年底发生了一次重大数据泄漏事件,客户数据被泄漏,这是该银行发生的第二次数据泄漏事件。

3.美国得克萨斯州保险部

  • 受影响的人数:180万

今年3月,美国德克萨斯州保险部的数据被泄漏,泄漏的敏感数据包括社保号码、出生日期等个人信息。

4.希尔兹医疗集团

  • 受影响的人数:200万

今年6月,总部位于美国马萨诸塞州昆西的希尔兹医疗集团(Shields Health Care Group)数据泄漏,可能影响数十个地区医疗机构约200万人,包括姓名、社保号码和保险信息。

5. Horizon Actuarial Services

  • 受影响的人数:229万

Horizon Actuarial是一家为美国很多工会福利计划提供技术和精算咨询服务的公司,黑客攻陷了这家公司内部的2台服务器,用户的姓名、出生日期、社保号码和健康计划信息遭泄漏,受影响的福利计划包括美国职业棒球大联盟球员福利计划、全国冰球联盟球员协会健康和福利基金、以及纽约时报福利协会。

6.Lakeview Loan Servicing

  • 受影响的人数:257万

位于美国佛罗里达州Coral Gables的Lakeview Loan Servicing的数百万客户的高度敏感信息遭泄漏,在暗网挂牌销售,该公司正面临多起诉讼。

7.Elephant Insurance Services

  • 受影响的人数:276万

今年5月,总部位于美国弗吉尼亚州Henrico的Elephant Insurance ServicesDE 数百万客户的保单信息被泄漏,包括姓名、驾照号码和出生日期等信息。

8.FlexBooker

  • 受影响的人数:375万

今年1月,总部位于美国俄亥俄州哥伦布市的公司FlexBooker(企业网站嵌入在线预约工具提供商)的AWS服务器遭到入侵,用户的信用卡数据等信息遭泄漏。

9. Beetle Eye

  • 受影响的人数:700万

美国的一家提供在线电子邮件营销工具的公司Beetle Eye发生重大数据泄漏,此次事件是由于AWS S3存储桶未进行任何加密且配置错误造成的,该漏洞导致Amazon S3存储桶处于打开状态,泄漏了大约700万人的敏感数据。

10.Cash App Investing

  • 受影响的人数:820万

今年4月,美国知名投资公司Cash App Investing的820万客户数据被泄漏,由一名前员工下载了公司内部的一份报告引起,泄漏的信息包含客户的全名和经纪帐号等信息。

其实,最近还有一起数据泄漏事件比上面这10起事件还要劲爆,即欧洲某国领导人与俄罗斯总统普京的通话内容被泄漏,原因是该领导人使用的iPhone被植入了侦听软件。

如果仔细分析和追查这些数据泄漏的背后原因,无外乎奇安信出版的畅销书《红蓝攻防:构建实战化的网络安全防御体系》中总结的10个原因。

二、导致数据泄漏的10种常见原因

1.互联网未知资产/服务大量存在

在攻防演练中,资产的控制权和所有权始终是攻防双方的争夺焦点。互联网暴露面作为流量的入口,是攻击方重要的攻击对象。

资产不清是很多政企单位面临的现状。数字化转型带来的互联网暴露面不断扩大,政企机构资产范围不断外延。除了看得到的“冰面资产”之外,还有大量的冰面之下的资产,包括无主资产、灰色资产、僵尸资产等。

在实战攻防演练中,一些单位存在“年久失修、无开发维护保障”的老/旧/僵尸系统,因为清理不及时,容易成为攻击者的跳板,构成严重的安全隐患。 

2.网络及子网内部安全域之间隔离措施不到位

网络内部的隔离措施是考验企业网络安全防护能力的重要环节。由于很多机构没有严格的访问控制(ACL)策略,在DMZ和办公网之间不做或很少有网络隔离,办公网和互联网相通,网络区域划分不严格,可以直接使远程控制程序上线,令攻击方可以很轻易地实现跨区攻击。 

大中型政企机构还存在“一张网”的情况,习惯于使用单独架设专用网络,来打通各地区之间的内部网络连接,不同区域内网间也缺乏必要的隔离管控措施,缺乏足够有效的网络访问控制。这就导致蓝队一旦突破了子公司或分公司的防线,便可以通过内网进行横向渗透,直接攻击到集团总部,或是漫游整个企业内网,进而攻击任意系统。 

3.互联网应用系统常规漏洞过多

在历年的实战攻防演练期间,已知应用系统漏洞、中间件漏洞以及因配置问题产生的常规漏洞,是攻击方发现的明显问题和主要攻击渠道。

通过中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

Weblogic应用比较广泛,因存在反序列化漏洞,所以常常会被作为打点和内网渗透的突破点。所有行业基本上都有对外开放的邮件系统,可以针对邮件系统漏洞,譬如跨站漏洞、CoreMail漏洞、XXE漏洞来针对性开展攻击,也可以通过钓鱼邮件和鱼叉邮件攻击来开展社工工作,均是比较好的突破点。

4.互联网敏感信息泄漏明显

网络拓扑、用户信息、登录凭证等敏感信息在互联网大量泄漏 , 成为攻击方突破点。针对暗网的调查发现,与政企机构网络登录凭证等相关信息的交易正在蓬勃发展。

2019 年第四季度,暗网市场网络凭证数据的交易数量开始有所上升,出售的数量就相当于 2018 年全年的总和。2020 年第一季度,暗网市场销售的网络登录的帖子数量比上一季度猛增了 69%。暗网出售的网络登录凭据涉及政府机构、医疗机构以及其他社会组织。

实际上,2020 年是有记录以来数据泄漏最糟糕的一年。根据Canalys的最新报告“网络安全的下一步”, 2020年短短12个月内泄漏的记录比过去15年的总和还多。大量互联网敏感数据泄漏,为攻击者进入内部网络和开展攻击提供了便利。

5.边界设备成为进入内网的缺口

互联网出口和应用都是攻入内部网络的入口和途径。目前政企机构的接入防护措施良莠不齐,给蓝队创造了大量的机会。针对 VPN 系统等开放于互联网边界的设备或系统,为了避免影响到员工使用,很多政企机构都没有在其传输通道上增加更多的防护手段;再加上此类系统多会集成统一登录,一旦获得了某个员工的账号密码,蓝队可以通过这些系统突破边界直接进入内部网络中来。 

此外,防火墙作为重要的网络层访问控制设备,随着网络架构与业务的增长与变化,安全策略非常容易混乱,甚至一些政企机构为了解决可用性问题,出现了“any to any”的策略。防守单位很难在短时间内梳理和配置几十个应用、上千个端口的精细化访问控制策略。缺乏访问控制策略的防火墙,就如同敞开的大门,安全域边界防护形同虚设。

6. 内网管理设备成为扩大战果突破点

主机承载着政企机构关键业务应用,需重点关注、重点防护。但很多机构的内部网络的防御机制脆弱,在实战攻防演练期间,经常发现早已披露的陈年漏洞未修复,特别是内部网络主机、服务器以及相关应用服务补丁修复不及时,成为蓝队利用的重要途径,从而顺利 拿下内部网络服务器及数据库权限。

集权类系统成为攻击的主要目标。在攻防演练过程中,云管理平台、核心网络设备、堡垒机、SOC 平台、VPN 等集权系统,由于缺乏定期的维护升级,已经成为扩大权限的突破点。集权类系统一旦被突破,整个内部的应用和系统基本全部突破,可以实现以点打面,掌握对其所属管辖范围内的所有主机控制权。

7.安全设备自身安全成为新的风险点

安全设备作为政企机构对抗攻击者的重要工具,其安全性应该相对较高。但实际上安全产品自身也无法避免 0Day 攻击,安全设备自身安全成为新的风险点。每年攻防演练都会爆出某某安全设备自身存在某某漏洞被利用、被控制,反映出安全设备厂商自身安全开发和检测能力没有做到位,给蓝队留下了“后门”,形成新的风险点。

2020 年实战攻防演练中的一大特点是,安全产品的漏洞挖掘和利用现象非常普遍,多家企业的多款安全产品被挖掘出新漏洞(0day 漏洞)或存在高危漏洞。 

历年攻防实战演练中,被发现和利用的各类安全产品 0Day 漏洞,主要涉及安全网关、身份与访问管理、安全管理、终端安全等类型安全产品。这些安全产品的漏洞一旦被利用,可以使蓝队突破网络边界,获取控制权限进入网络;获取用户账户信息,并快速拿下相关设备和网络的控制权限。

近两三年,出现了多起VPN、堡垒机、终端管理等重要安全设备被蓝队利用重大漏洞突破的案例,这些安全设备被攻陷,直接造成网络边界防护失效、大量管理权限被控制。

8. 供应链攻击成为攻击方的重要突破口

在攻防演练过程中,随着防守方对攻击行为的监测、发现和溯源能力大幅增强,攻击队开始更多地转向供应链攻击等新型作战策略。蓝队会从IT(设备及软件)服务商、安全服务商、办公及生产服务商等供应链机构入手,寻找软件、设备及系统漏洞,发现人员及管理薄弱点并实施攻击。

常见的系统突破口包括:邮件系统、OA系统、安全设备、社交软件等;常见的突破方式包括软件漏洞,管理员弱口令等。

由于攻击对象范围广、攻击方式隐蔽,供应链攻成为攻击方的重要突破口,给政企安全防护带来了极大的挑战。从奇安信在 2021 年承接的实战攻防演练情况来看,由于供应链管控弱,软件外包、外部服务提供商等成为迂回攻击的重要通道。

9. 员工安全意识淡薄是攻击的突破口

利用人员安全意识不足或安全能力不足,实施社会工程学攻击,通过钓鱼邮件或社交平台进行诱骗,是攻击方经常使用的手法。 

钓鱼邮件是最经常被使用的攻击手法之一。即便是安全意识较强的 IT 人员或管理员,也很容易被诱骗点开邮件中钓鱼链接或木马附件,进而导致关键终端被控,甚至整个网络沦陷。在历年攻防演练过程中,攻击队通过邮件钓鱼等方式攻击 IT 运维人员办公用机并获取数据及内网权限的案例数不胜数。

10.内网安全检测能力不足

攻防演练中, 攻击方攻击测试,对防守方的检测能力要求更高。网络安全监控设备的部署、网络安全态势感知平台的建设,是实现安全可视化、安全可控的基础。部分企业采购部署了相关工具,但是每秒上千条报警,很难从中甄别出实际攻击事件。

此外,部分老旧的防护设备,策略配置混乱,安全防护依靠这些系统发挥中坚力量,势必力不从心。流量监测及主机监控工具缺失,仅依靠传统防护设备的告警去判断攻击、甚至依靠人工去翻阅海量的日志,导致“巧妇难为无米之炊”。

更重要的是,精于内部网络隐蔽渗透的攻击方,在内部网络进行非常谨慎而隐蔽的横向移动,很难被流量监测设备或态势感知系统检测。

三、保障数据不被泄漏的8个常用策略

企业内部的数据泄漏,究其原因,总结起来大致就以上这10种。对于企业或机构(红队:防守方)而言,如何做好防守以保证自己的数据不被泄漏呢,奇安信的这本《红蓝攻防》里也给出了8个常用策略。

1.信息清理:互联网敏感信息

攻击队会采用社工、工具等多种技术手段,对目标单位可能暴露在互联网上的敏感信息进行搜集,为后期攻击做充分准备。

防守队除了定期对全员进行安全意识培训,不准将带有敏感信息的文件上传至公共信息平台外,针对漏网之鱼还可以通过定期开展敏感信息泄漏搜集服务,能够及时发现在互联网上已暴露的本单位敏感信息,提前采取应对措施,降低本单位敏感信息暴露的风险,增加攻击队搜集敏感信息的时间成本,为后续攻击抬高难度。

2.收缩战线:缩小攻击暴露面

攻击队首先会通过各种渠道收集目标单位的各种信息,收集的情报越详细,攻击则会越隐蔽,越快速。此外,攻击队往往不会正面攻击防护较好的系统,而是找一些可能连防守者自己都不知道的薄弱环节下手。

这就要求防守者一定要充分了解自己暴露在互联网的系统、端口、后台管理系统、与外单位互联的网络路径等信息。哪方面考虑不到位、哪方面往往就是被攻陷的点。互联网暴露面越多,越容易被攻击队“声东击西”,最终导致防守者顾此失彼,眼看着被攻击却无能为力。结合多年的防守经验,可从如下几方面收敛互联网暴露面。

  • 攻击路径梳理
  • 互联网攻击面收敛
  • 外部接入网络梳理
  • 隐蔽入口梳理

3.纵深防御:立体防渗透

收缩战线工作完成后,针对实战攻击,防守队应对自身安全状态开展全面体检,此时可结合战争中的纵深防御理论来审视当前网络安全防护能力。

从互联网端防护、内外部访问控制(安全域间甚至每台机器之间)、主机层防护、供应链安全甚至物理层近源攻击的防护,都需要考虑进去。通过层层防护,尽量拖慢攻击队扩大战果的时间,将损失降至最小。

  • 资产动态梳理
  • 互联网端防护
  • 访问策略梳理
  • 主机加固防护
  • 供应链安全

4.守护核心:找到关键点

正式防守工作中,根据系统的重要性划分出防守工作重点,找到关键点,集中力量进行防守。

根据实战攻防经验,核心关键点一般包括:靶标系统、集权类系统、具有重要数据的业务系统等,在防守前应针对这些重点系统再次进行梳理和整改,梳理得越细越好。必要情况下对这些系统进行单独的评估,充分检验重点核心系统的安全性。同时在正式防守工作,对重点系统的流量、日志进行实时监控和分析。

  • 靶标系统
  • 集权系统
  • 重要业务系统

5.协同作战:体系化支撑

面对大规模有组织的攻击时,攻击手段会不断快速变化升级,防守队在现场人员能力无法应对攻击的情况下,还应该借助后端技术资源,相互配合协同作战,建立体系化支撑,才能有效应对防守工作中面临的各种挑战。

  • 产品应急支撑
  • 安全事件应急支撑
  • 情报支撑
  • 样本数据分析支撑
  • 追踪溯源支撑

6.主动防御:全方位监控

近两年的红蓝对抗,攻击队的手段越来越隐蔽,越来越单刀直入,通过0day、Nday直指系统漏洞,直接获得系统控制权限。

红队需拥有完整的系统隔离手段,蓝队成功攻击到内网之后,会对内网进行横向渗透。所以系统与系统之间的隔离,就显得尤为重要。红队必须清楚哪些系统之间有关联、访问控制措施是什么。在发生攻击事件后,应当立即评估受害系统范围和关联的其他系统,并及时做出应对的访问控制策略,防止内部持续的横向渗透。

任何攻击都会留下痕迹。攻击队会尽量隐藏痕迹、防止被发现。而防守者恰好相反,需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径、甚至对可疑攻击源进行反制。建立全方位的安全监控体系是防守者最有力的武器,总结多年实战经验,有效的安全监控体系需在如下几方面开展:

  • 自动化的IP封禁
  • 全流量网络监控
  • 主机监控
  • 日志监控
  • 蜜罐诱捕
  • 情报工作支撑

7.应急处突:完备的方案

通过近几年的红蓝对抗发展来看,红蓝对抗初期,蓝队成员通过普通攻击的方式,不使用0day或其他攻击方式,就能轻松突破红队的防守阵地。

但是,随着时间的推移,红队防护体系早已从只有防火墙做访问控制,发展到现在逐步完善了WAF、IPS、IDS、EDR等多种防护设备,使蓝队难以突破,从而逼迫蓝队成员通过使用0day、Nday、现场社工、钓鱼等多种方式入侵红队目标,呈无法预估的特点。

所以应急处突是近两年红蓝对抗中发展的趋势,同时也是整个红队防守水平的体现之处,不仅考验应急处置人员的技术能力,更检验多部门(单位)协同能力,所以制定应急预案应当从以下几个方面进行:

  • 完善各级组织结构,如监测组、研判组、应急处置组(网络小组、系统运维小组、应用开发小组、数据库小组)、协调组等。
  • 明确各方人员,在各个组内担任的职责,如监测组的监测人员,负责某台设备的监测,并且7×12小时不得离岗等。
  • 明确各方设备的能力与作用,如防护类设备、流量类设备、主机检测类设备等。
  • 制定可能出现的攻击成功场景,如Web攻击成功场景、反序列化攻击成功场景、Webshell上传成功场景等。
  • 明确突发事件的处置流程,将攻击场景规划至不同的处置流程:上机查证类处置流程、非上机查证类处置流程等。

8.溯源反制:人才是关键

溯源工作一直是安全的重要组成部分,无论在平常的运维工作,还是红蓝对抗的特殊时期,在发生安全事件后,能有效防止被再次入侵的有效手段,就是溯源工作。

在红蓝对抗的特殊时期,防守队中一定要有经验丰富、思路清晰的溯源人员,能够第一时间进行应急响应,按照应急预案分工,快速理清入侵过程,并及时调整防护策略,防止再次入侵,同时也为反制人员提供溯源到的真实IP,进行反制工作。

反制工作是红队反渗透能力的体现,普通的防守队员一般也只具备监测、分析、研判的能力,缺少反渗透的实力。这将使防守队一直属于被动的一方,因为红队没有可反制的固定目标,也很难从成千上万的攻击IP里,确定哪些可能是攻击队的地址,这就要求红队中要有经验丰富的反渗透的人员。

经验丰富的反渗透人员会通过告警日志,分析攻击IP、攻击手法等内容,对攻击IP进行端口扫描、IP反查域名、威胁情报等信息收集类工作,通过收集到的信息进行反渗透。红队还可通过效仿蓝队社工手段,诱导蓝队进入诱捕陷阱,从而达到反制的目的,定位蓝队自然人身份信息。

限于篇幅,以上8种防守策略的细节并没有展开,只给出了大致的思路,如果你想了解策略的具体内容,可以阅读《红蓝攻防》这本书。

道高一尺,魔高一丈,网络攻防是没有硝烟和终局的战争,要保障信息的安全,我们应该时刻保持警惕,从策略、技术、人才等各方面做好准备。