官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 数据安全

6月9日，安全工程师田夜明在FreeBuf甲方社群第五场内部直播中担任主讲嘉宾，分享数据泄露排查。

数据对于企业来说是无形的资产，数据一旦泄露将导致难以估量的损失。可能造成数据泄露的原因有，身份冒用、越权操作、违规操作、误操作、配置失当、基础设施不可控、社工钓鱼、安全漏洞等。

三种数据泄露事件获知渠道

企业如何监测、获知数据泄露事件？田夜明介绍，企业通常有外部情报、内部监测、监管通报三种方式获知数据泄露。

外部情报一般通过安全厂商、白帽子等途径提供的威胁情报，或者在暗网发现企业数据被售卖。田夜明提醒，从外部获得的数据泄露情报需找业务方、DBA确认样本数据的真实性，然后根据样本数据特征排查可能的泄露渠道；如果在暗网发现企业数据，需要仔细核对数据，是否为敏感数据以及数据时效性。

内部监测则通过注意用户接口是否被大量异常遍历、用户异常外发行为等，以及欺诈客诉。企业需要根据不同的泄露渠道及场景，制定不同的排查方案。

此外，企业还需注意直属监管机构的监管通报，根据监管部门通报内容梳理可能泄露的渠道，进行整改。

4W1H排查思路

如果不幸发生数据泄露事件发生，企业或数据主体需要及时进行排查并启动应急响应。

4W1H即what、why、when、who、how。What代表泄露了哪些数据、具体特征格式以及大致被泄露数据量级。Why代表为什么会泄露这些数据以及可能的泄露渠道。When代表数据的泄露时间。Who代表哪些人有权限可以接触到泄露数据。How即根据以上信息大致确认可能的泄露渠道、缩小排查范围，制定排查方案开始具体排查。

事后复盘

田夜明还提到，发生数据泄露事件后要及时进行事后复盘，主要分为事件回顾、分析原因、故障总结、改进计划和事件闭环五个环节。

在事件回顾时，要以时间线形式复原事件处理及发展的始末、提出事件排查过程中遇到的问题并判断处理结果是否达到预期。

分析原因环节，需要分析事前执行是否充分、流程是否规范、策略覆盖是否全面；还需分析事中的监控机制是否建立、是否覆盖到位、规则是否及时更新、是否配置告警、是否人为未重视、是否未能及时定位事件起因。

故障总结环节，需注意暴露问题和责任认定，梳理数据泄露事件暴露了哪些工作上的问题，厘清事件中各方的权责关系，方便后期跟进改进。

改进计划环节，根据复盘发现的问题，制定出可实施的改进计划。

事件闭环环节，相关责任人跟进制定出的改进计划，并定期进行进度汇报，同时将改进计划涉及的项目进行归档，方便后期翻阅或审计。

如何对数据泄露事件定级

在互动问答环节，有观众提到，如何对数据泄露事件定级。田夜明表示，数据泄露事件定级与企业传统信息安全事件分级大致相同，分为特别重大事件、重大事件、较大事件和一般事件。评级的指标包括数据敏感等级、影响业务程度、对公司声誉度的影响；还需考虑公司所在行业特殊性、所在行业监管要求等因素进行综合评级。

还有观众提问，如何推动下游配合数据泄露排查。田夜明回答，企业在购买的对外服务时，需在采购合同中对服务提供方进行事前、事中、事后约束。例如发生数据泄露时，服务方需24小时内进行远程协助或现场排查。事后，要求服务方限时整改。

最后，田夜明还和主持人一起抽取了数位互动观众送出精美礼品。

加入FreeBuf甲方社群

本期直播精彩回顾到此结束啦~此外，FreeBuf会定期开展不同的甲方社群直播，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！