本文主要从三个方面进行解读:第一时间简单回顾全球10大数据泄露事件2022年下半年;从红蓝攻防的角度,从不同角度分析这些数据泄露事件背后的原因;从红蓝攻防的角度为企业如何保护自身数据给出一些建议。一、2022年全球十大数据泄露事件据国内知名媒体ZDNet报道,今年全球发生了以下10起数据泄露事件,按照数据规模和影响力倒序排列泄露:NO.10美国德克萨斯州圣安东尼奥医疗中心受影响人数:124万6月下旬,德克萨斯州圣安东尼奥的浸信会医疗中心和新布朗费尔斯的ResoluteHealthHospital附属医院发生重大数据泄露事件,美国德克萨斯州卫生与公共服务部最近追踪的最大数据泄露事件之一涉及未经授权访问高度敏感的患者数据。NO.9美旗星银行受影响人数:154万。第二次数据泄露事件。NO.8德州保险局受影响人数:180万今年3月,德州保险局数据泄露。泄露的敏感数据包括社会安全号码、出生日期和其他个人信息。NO.7希尔兹医疗集团受影响人数:200万今年6月,总部位于马萨诸塞州昆西市的希尔兹医疗集团(ShieldsHealthCareGroup)数据泄露事件可能波及数十家地区医疗机构。200万人,包括姓名、社会安全号码和保险信息。NO.6Horizo??nActuarialServices受影响人数:229万Horizo??nActuarial是一家为美国众多工会福利项目提供技术和精算咨询服务的公司。黑客入侵了公司的两台内部服务器,用户的姓名和出生日期、社会安全号码和健康计划信息被泄露,包括美国职业棒球大联盟球员福利计划、国家冰球联盟球员协会健康和福利基金、和纽约时报福利协会。NO.5LakeviewLoanServicing受影响人数:257万美国佛罗里达州科勒尔盖布尔斯的LakeviewLoanServicing数百万客户的高度敏感信息被泄露并在暗网上挂牌出售。该公司面临多起诉讼。NO.4ElephantInsuranceServices受影响人数:276万今年5月,总部位于美国弗吉尼亚州亨里科的ElephantInsuranceServicesDE数百万客户的保单信息被泄露,包括姓名、司机姓名等信息执照号码和出生日期。NO.3FlexBooker受影响人数:375万今年1月,总部位于美国俄亥俄州哥伦布市的FlexBooker(一家嵌入企业网站的在线预订工具提供商)的AWS服务器被黑客入侵,用户信用卡被盗数据和其他信息被泄露。NO.2BeetleEye受影响人数:700万美国一家提供在线电子邮件营销工具的公司BeetleEye遭遇重大数据泄露。此事件是由于AWSS3存储桶未加密且配置不正确造成的。该漏洞导致AmazonS3存储桶处于打开状态,暴露了大约700万人的敏感数据。NO.1CashAppInvesting受影响人数:820万今年4月,美国知名投资公司CashAppInvesting的820万客户数据泄露。这是由一名前雇员下载了公司内部报告引起的。泄露的信息包括客户全名、经纪账号等信息。事实上,最近还有一起数据泄露事件比上述10起事件更具爆炸性。即,某欧洲国家领导人与俄罗斯总统普京的通话内容被泄露,原因是该领导人使用的iPhone手机中植入了窃听软件。如果仔细分析追溯这些数据泄露背后的原因,奇安信出版的畅销书《红蓝攻防:构建实战化的网络安全防御体系》中总结了10个原因。2.数据泄露的10大常见原因NO.1未知互联网资产/服务大量存在攻防演练中,资产的控制权和归属始终是攻防双方争夺的焦点。互联网的暴露面作为流量的入口,是攻击者的重要攻击目标。资产不清是很多政企单位面临的现状。数字化转型带来的互联网接触面不断扩大,政企资产范围不断扩大。除了肉眼可见的“冰面资产”,冰面下还有大量资产,包括无主资产、灰色资产、僵尸资产等。在实际攻防演练中,部分单位存在“年久失修、无开发维护保障”的老/旧/僵尸系统。由于不及时清理,很容易成为攻击者的跳板,造成严重的安全隐患。NO.2网络内安全域与子网之间的隔离措施不充分网络内的隔离措施是检验企业网络安全防护能力的重要内容。由于很多机构没有严格的访问控制(ACL)策略,DMZ与办公网络之间没有或很少有网络隔离,办公网络与Internet相连,网络区域划分不严格,所以可以直接启动远程控制程序,使得攻击者可以轻松实施跨区域攻击。大中型政企机构仍存在“一张网”的情况,习惯于使用单独的专网打通区域间的内部网络连接。不同地域的网络之间也缺乏必要的隔离控制措施,缺乏足够有效的网络访问控制。这样一来,一旦蓝队突破了子公司或分支机构的防线,就可以通过内网进行横向渗透,直接攻击集团总部,或者漫游整个企业内网,进而攻击任意系统。NO.3互联网应用系统常规漏洞太多。在历年的实战攻防演练中,已知的应用系统漏洞、中间件漏洞、配置问题导致的常规漏洞都是攻击者发现的明显问题和主要攻击渠道。从中间件来看,Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都用到了。Weblogic被广泛使用。由于反序列化漏洞的存在,常被用作打点和内网渗透的突破口。基本上所有行业都有对外开放的邮件系统。可以针对跨站漏洞、CoreMail漏洞、XXE漏洞等邮件系统漏洞进行针对性攻击,也可以通过钓鱼邮件、鱼叉邮件攻击等方式开展社会工作。这是一个更好的突破点。NO.4互联网敏感信息泄露网络拓扑结构、用户信息、登录凭据等敏感信息在互联网上大量泄露,成为攻击者的突破口。暗网调查发现,涉及政企组织网络登录凭证等信息的交易十分火爆。2019年第四季度,暗网市场在线凭证数据交易量开始增加,成交量相当于2018年全年的总和。2020年第一季度,网络登录量暗网市场上售出的帖子比上一季度增长了69%。暗网上出售的在线登录凭证涉及政府机构、医疗机构和其他社会组织。事实上,2020年是有记录以来数据泄露最严重的一年。根据Canalys的最新报告《网络安全的下一步》,2020年短短12个月内泄露的记录数量超过过去15年的总和。大量互联网敏感数据的泄露,为攻击者进入内网实施攻击提供了便利。NO.5边界设备成为进入内网的缝隙互联网出口,应用既是进入内网的入口,也是途径。目前政企组织的准入保护措施鱼龙混杂,这给蓝队创造了很多机会。对于VPN系统等开放在互联网边界的设备或系统,为了避免影响员工的使用,很多政企组织并没有在其传输通道上增加更多的保护措施;另外,这些系统大多会集成统一登录,一旦获得员工的账号密码,蓝队就可以突破边界,直接通过这些系统进入内网。此外,防火墙是重要的网络层访问控制设备。随着网络架构和业务的增长和变化,安全策略很容易混淆。一些政府和企业组织甚至采取了“anytoany”的策略来解决可用性问题。防御单位很难在短时间内对几十个应用、上千个端口进行细粒度的访问控制策略梳理和配置。缺乏访问控制策略的防火墙就像一扇敞开的门,安全域边界保护毫无用处。NO.6内网管理设备成为扩大战果的突破口。主机承载政企组织的关键业务应用,需要重点关注和保护。然而,许多组织内部网络的防御机制是脆弱的。在实际攻防演练中,经常发现已经披露的老漏洞没有得到修复,尤其是内网主机、服务器及相关应用服务补丁没有及时修复,成为一个重要问题供蓝队使用。方式,从而成功获得内网服务器和数据库权限。集中式系统是攻击的主要目标。在攻防演练中,云管平台、核心网设备、堡垒机、SOC平台、VPN等集中式系统由于缺乏定期维护升级,成为扩大权限的突破口。中心化系统一旦被攻破,整个内部应用和系统就基本被攻破,可以实现对其管辖范围内所有主机的点对点控制。NO.7安防设备本身的安全成为新的风险点安防设备是政企组织对抗攻击者的重要工具,其安全性应该是比较高的。但实际上,安全产品本身无法避免0-day攻击,安全设备本身的安全成为新的风险点。每年在攻防演练中,都会暴露出某款安全设备存在一定的漏洞被利用和控制,反映出安全设备厂商自身的安全开发和检测能力不到位,留下“后门”对于蓝队并形成新的风险。观点。2020年实战攻防演练的一大特点是安全产品漏洞发现和利用非常普遍,在多家公司的多款安全产品中发现了新漏洞(0day漏洞)或高危漏洞。在历年实际攻防演练中,发现并利用的各类安全产品0day漏洞主要涉及安全网关、身份与访问管理、安全管理、终端安全等多类安全产品。一旦这些安全产品的漏洞被利用,蓝队就可以突破网络边界,获得进入网络的控制权;获取用户账号信息,快速获得相关设备和网络的控制权限。近两三年,蓝队利用重大漏洞攻破VPN、堡垒机、终端管理等重要安全设备的案例屡见不鲜。这些安全设备的攻陷,直接导致了网络边界保护的失效和大量管理权限的失控。NO.8供应链攻击成为攻击者的重要突破口。在攻防演练中,随着防御方对??攻击行为的监测、发现和追溯能力大幅提升,攻击方开始更多地转向供应链攻击等新的作战策略。蓝队将从IT(设备和软件)服务商、安全服务商、办公和生产服务商等供应链组织入手,寻找软件、设备和系统漏洞,发现人员和管理薄弱环节并实施攻击。常见的系统突破包括:邮件系统、OA系统、安全设备、社交软件等;常见的突破方式包括软件漏洞、弱管理员密码等,供应链攻击由于攻击对象广泛,攻击方式隐蔽,成为攻击者的重要突破口,给政企安全防护带来了巨大挑战.从奇安信2021年进行的实战攻防演练来看,由于供应链管控薄弱,软件外包和外部服务商成为迂回攻击的重要渠道。NO.9员工安全意识薄弱是攻击的突破口。利用安全意识或安全能力不足的人员,通过钓鱼邮件或社交平台实施社会工程攻击和诱饵是攻击者常用的手段。网络钓鱼电子邮件是最常用的攻击方法之一。即使是安全意识强的IT人员或管理员,也很容易被诱骗点击邮件中的钓鱼链接或木马附件,导致关键终端被起诉,甚至全网瘫痪。在历年的攻防演练中,攻击团队通过邮件钓鱼等方式攻击IT运维人员办公电脑,获取数据和内网权限的案例不计其数。NO.10内网安全检测能力不足在攻防演练中,攻击方的攻击测试对防御方的检测能力要求较高。部署网络安全监控设备,建设网络安全态势感知平台,是实现安全可视化、安全可控的基础。一些企业购买并部署了相关工具,但每秒发送数千条告警,难以识别实际攻击事件。此外,一些老旧的防护设备策略配置混乱,仅靠这些系统发挥安全防护的中坚力量势必力不从心。缺乏流量监控和主机监控工具,仅靠传统防护设备告警判断攻击,甚至靠人工浏览海量日志,造成“巧妇难为无米之炊”。更重要的是,专门从事内网隐蔽渗透的攻击者在内网进行非常谨慎和隐蔽的横向移动,流量监控设备或态势感知系统很难发现。3.保护数据不被泄露的八种常用策略。企业内部数据泄露的原因大致可以归纳为以上10种。对于企业或机构(红队:Defender)来说,如何做好防御,保证自己的数据不被泄露,奇安信在本书中也给出了8个常用策略《红蓝攻防》。NO.1信息清理:互联网敏感信息攻击团队将通过社工、工具等技术手段,收集目标单位可能暴露在互联网上的敏感信息,为后期攻击做好充分准备。除定期对辩护团全体成员进行安全意识培训,禁止将含有敏感信息的文件上传至公共信息平台外,辩护团还可以定期开展漏网之鱼的敏感信息泄露收集服务,能够及时发现已经暴露在互联网上的文件。提前采取应对措施,降低本单位敏感信息暴露的风险,增加攻击团队收集敏感信息的时间成本,增加后续攻击的难度。NO.2ShrinkingFront:缩小攻击的暴露面攻击团队首先会通过各种渠道收集目标单位的各种信息。收集到的信息越详细,攻击就越隐蔽,速度也就越快。此外,攻击方往往不会正面攻击保护良好的系统,而是寻找防御方自己可能都不知道的薄弱环节。这就需要防御者充分了解暴露在互联网上的系统、端口、后台管理系统、与外部单元连接的网络路径等信息。哪个方面考虑不到位,往往就是哪个方面的攻击点。接触网络越多,进攻方越容易“东打西撞”,最终导致防守方望而却步,眼见被攻却无能为力。结合多年的防御经验,可以从以下几个方面抑制互联网的暴露。梳理攻击路径,汇聚互联网攻击面,梳理外部访问网络,梳理隐藏入口,梳理隐藏入口NO.3纵深防御:立体反渗透,收缩战线线。纵深防御理论用于检验当前网络安全防护能力。互联网侧防护、内外访问控制(安全域之间甚至各机器之间)、主机层防护、供应链安全,甚至物理层的近源攻击防护都需要考虑。通过层层保护,尽量延缓进攻队伍扩大战果的时间,将损失降到最低。资产动态排序互联网侧防护访问策略排序主机加固防护供应链安全NO.4守核心:找重点在正式防御工作中,根据系统重要性划分防御工作重点,找重点,并集中精力进行防御。根据实战经验,核心关键点一般包括:目标系统、中心化系统、有重要数据的业务系统等,在防御前,应对这些关键系统进行再次梳理和整改。必要时,对这些系统进行单独评估,全面测试关键核心系统的安全性。同时,在正式防御工作中,对关键系统的流量和日志进行实时监控和分析。目标系统中心化系统重要业务系统NO.5协同作战:系统性支持面对大规模、有组织的攻击,攻击手段会不断变化,快速升级。当现场人员无法应对攻击时,防御团队也应利用后端技术资源,相互配合、协同作战,建立系统化支撑,才能有效应对防御工作面临的各种挑战.产品应急支持安全事件应急支持情报支持样本数据分析支持跟踪溯源支持NO.6主动防御:近两年红蓝对抗的全方位监控。Nday直指系统漏洞,直接获得系统控制权限。红队需要有完整的系统隔离方法。蓝队成??功攻击内网后,将对内网进行横向渗透。因此,系统之间的隔离就显得尤为重要。红队必须知道连接了哪些系统以及访问控制是什么。攻击发生后,应立即评估受害系统及其他关联系统的范围,及时制定相应的访问控制策略,防止持续的内部横向渗透。任何攻击都会留下痕迹。攻击团队将尝试隐藏他们的踪迹并防止被发现。另一方面,防御者需要尽早发现攻击痕迹,通过分析攻击痕迹,调整防御策略,追踪攻击路径,甚至反击可疑的攻击源。建立全方位的安全监控体系,是防御者最有力的武器。总结多年实战经验,一个有效的安全监控系统需要在以下几个方面开发:自动IP封禁、全流量网络监控、主机监控??、日志监控、蜜罐诱捕、情报工作支持NO.7应急响应:a彻底解决从近几年红蓝对抗的发展来看,在红蓝对抗初期,蓝队成员可以通过普通攻击轻松突破红队,而无需使用0day等攻击手段防御阵地。但随着时间的推移,红队的防护体系从单纯的防火墙进行访问控制,发展到现在逐渐完善WAF、IPS、IDS、EDR等各种防护设备,蓝队难以攻破通过,从而迫使蓝队成员利用0day、Nday、现场社工、钓鱼等方式入侵红队目标,不可预知。所以,应急响应是近两年红蓝对抗中的一个发展趋势,也是整个红队防守水平的体现。它不仅考验应急人员的技术能力,也考验多部门(单位)的协调能力。应急预案应从以下几个方面进行:完善各级组织架构,如监控组、研判组、应急响应组(网络组、系统运维组、应用开发组、数据库组)、协调组等。明确各组各方人员的职责,如监控组监控人员,负责某台设备的监控,7天内不得离岗×12小时。明确所有设备的能力和功能,如防护设备、流量设备、主机检测设备等。制定可能的攻击成功场景,如Web攻击成功场景、反序列化攻击成功场景、Webshel??l上传成功场景等。明确NO.8溯源与对策:人才是关键溯源工作一直是重点安全的重要组成部分。无论是在正常的运维工作中,还是在红蓝对抗的特殊时期,发生安全事件后,都能有效防止再次入侵。手段就是追根溯源。在红蓝对抗的特殊时期,防御团队必须有经验丰富的溯源人员,思路清晰,能够第一时间响应突发事件,根据应急预案分工,快速理清入侵流程,及时调整防护策略是时候防止进一步的攻击了。入侵,同时为反制人员提供可追溯的真实IP以进行反制。对策是红队反渗透能力的体现。普通的防守队员一般只有监测分析判断的能力,缺乏反渗透的实力。这会让防守方一直处于被动状态,因为红方没有固定的反击目标,很难从上千个攻击IP中判断出哪些地址可能是攻击方,这就需要红方必须有经验丰富的反渗透人员。有经验的反渗透人员会通过告警日志分析攻击IP和攻击方式,对攻击IP进行端口扫描、IP反搜域名、威胁情报等信息收集工作,通过收集到的信息进行反渗透。红队还可以通过模仿蓝队的社工手段,诱导蓝队进入陷阱,从而达到反制的目的,定位到蓝队自然人的身份信息。限于篇幅,以上8种防御策略的细节没有展开,只给出一个大概的思路。想要了解攻略的具体内容,可以阅读本书《红蓝攻防》。道高一尺,魔高一尺。网络攻防是一场没有硝烟、没有尽头的战争。保障信息安全,要时刻保持警惕,做好战略、技术、人才等方面的准备。本文部分内容摘自《红蓝攻防:构建实战化网络安全防御体系》(ISBN:978-7-111-70640-3),经出版社授权发布。
