1、 1 中国政企机构数据安全风险 研究报告(2022.11)2 主要观点 2022 年,数据泄露事件已经超过数据破坏事件,成为全球数据安全风险的首要问题。从全球公开新闻报道来看,51.7%的数据安全事件为数据泄露事件。而针对机构数据的外部威胁,57.4%是为了窃取数据。仅 2022 年 110 月,就有超过 950 亿条,至少 46.4TB的中国境内机构数据在海外被非法交易。数据泄露问题形势严峻。数据破坏问题,是仅次于数据泄露的第二大数据安全问题,占到全球公开新闻报道的数据安全事件的 23.3%。2022 年 110 月,在 95015 网络安全服务热线接到的 697 起应急响应求助事件中,数据
2、破坏事件排名第一,占比高达 30.3%。勒索软件是造成数据破坏最主要的原因,59.7%的数据安全应急响应事件和勒索软件攻击有关。个人信息是数据泄露最主要的类型。从全球公开新闻报道来看,60.2%的数据泄露事件,泄露的是个人信息数据,其中,实名制信息占比个人信息数据泄露总量的 64.3%,其次是账号密码和用户行为等数据。在海外非法交易的境内机构数据中,55.6%的交易事件涉及个人信息,81.0%的交易数据为个人信息数据。商业机密数据的泄露,是对政企机构安全经营的重大挑战。在海外非法交易的境内机构数据中,19.3%的交易,买卖的是商业机密数据。商业机密数据泄露的主要形式是各类文档,包括内部制度、员
3、工手册、财务报表、战略分析、产品文档、项目策划等等,占比高达 73.2%。特别值得警惕的是,文档类商业机密数据泄露的最大源头,并不是外部威胁,而是合作伙伴和内部员工。而百度文库、道客巴巴、豆丁网、360 文库等文档分享平台,则是文档类商业机密数据泄露的主要渠道。从全球范围来看:政府、IT 信息技术和互联网行业是数据安全事件最为高发的行业;从海外非法交易的境内机构数据来看,互联网、制造业、生活服务、金融等行业的数据被买卖的最多;从国内应急响应情况来看,政府及事业单位、医疗卫生、制造业和金融行业等是安全应急响应的重灾区;而从文档类商业机密数据的泄露来看,金融、能源、医疗卫生、交通运输和制造业等行业
4、是最主要的受害者。3 摘 要 据统计 2022 年 1 月2022 年 10 月,安全内参共收录全球政企机构重大数据安全报道180 起,其中数据泄露相关安全事件高达 93 起,占 51.7%。2022 年,全球数据安全大事件涉及数据破坏的大事件下降至 42 件,占总量的 23.3%;而数据泄露事件有 93 件,占 51.7%。2022 年 1 月2022 年 10 月,全球政企机构重大数据安全事件中,16.1%为政府机构事业单位;14.4%为 IT 信息技术行业;11.7%为互联网行业。2022 年 1 月2022 年 10 月,政企机构重大数据安全事件发生的原因来看,超过五成安全事件是由于外
5、部攻击导致的,但也有 5.0%的事件是由于内部人员违规操作,3.9%的重大数据安全事件是由于存在漏洞。从攻击者目的来看,57.4%的外部威胁目的为数据窃取;其次为数据破坏,占比 40.6%。从 2022 年 1 月2022 年 10 月全球重大数据泄露事件造成的影响来看,60.2%的事件导致个人信息泄露;8.6%的数据安全大事件导致商业机密泄露;8.6%的事件导致软件源代码泄露。截至 2022 年 10 月,奇安信威胁情报中心累计监测到境内政企机构泄露数据的海外非法交易信息 171 条。其中,共有 106 条交易信息明确给出了泄露数据的数量或数据包的大小,约占交易信息总量的 62.0%。明确给
6、出了泄露数据数量的交易信息合计约含有 950多亿条 46.4TB 各类数据信息。按照交易信息的数量来看,55.6%的交易,买卖的是个人信息数据;其次是商业机密数据,占比 19.3%;内网管理信息数据排第三,占比 11.7%。按照泄露数据的数量来看,个人信息数据约有 868.8 亿条,占比为 91.4%;其次是运营数据,约有 79.5 亿条,占比为 8.4%。二者之和占到了泄露数据总数量的 99.8%。2022 年 19 月,95015 网络安全服务热线共接到全国各地大中型政企机构网络安全应急响应求助电话 697 起,其中,涉及到数据安全事件共 295 起,占比约为 42.3%。从事件损失来看,
7、数据丢失事件 211 起,占所有应急响应事件的 30.3%;数据泄露事件 68起,占比 9.8%;数据篡改事件 16 起,占比 2.3%。对于触发数据安全应急响应事件的原因进行分析发现,勒索软件是当前阶段对国内政企机构数据安全威胁最大的攻击方式,占到所有攻击方式的 59.7%;其次是漏洞利用,占比为 14.6%;钓鱼邮件排第三,占比 10.5%。通过对数据安全应急响应事件的溯源分析发现,攻击者之所以会对政企机构数据进行破坏、窃取和篡改,最主要的目的还是敲诈勒索(不仅仅是勒索软件),占比约为 60.7%;其次是窃取机密,占比 9.8%;内部违规排第三,占比 6.8%。2022 年 1 月9 月,
8、补天平台共收录各类的网站漏洞 102118 个,其中可导致数据安全问题的网站漏洞 28751 个,占比为 28.1%,是所有漏洞中占比最高的类型。2022 年 16 月,天际友盟共监测到商业机密数据泄露事件 1948 例,其中,文档数据泄露事件最多,共 1426 例,占比为 73.2%;其次是代码数据泄露事件,共 368 例,占比18.9%。5 目 录 研究背景研究背景.1 第一章 综述.2 一、全球公开数据安全事件综述.2 二、全球公开数据安全事件行业分类.3 三、全球公开数据安全事件发生原因.3 四、全球公开数据安全事件的影响.4 第二章 境内数据海外非法交易.6 一、泄露数据的交易规模.
9、6 二、泄露数据的行业分布.6 三、泄露数据的数据类型.7 四、个人信息泄露行业分布.7 第三章 数据安全事件应急响应.9 一、数据安全应急响应事件损失分析.9 二、数据安全应急响应事件攻击类型.9 三、数据安全应急响应事件攻击目的.10 四、数据安全应急响应事件行业分布.10 五、网站安全漏洞的潜在数据泄露风险.11 第四章 商业机密数据泄露风险.12 一、商业机密数据泄露概况.12 二、文档数据泄露情况分析.12 三、商业机密数据泄露原因.14 第五章 数字品牌安全事件典型案例.16 一、大型能源央企内部系统安装手册遭泄露.16 二、知名移动支付企业的关键代码在开源平台上被公开.16 6
10、三、知名作家付费小说遭搬运.17 附录 1 全球数据安全公开事件案例集.19 附录 2 CEATI 联盟.22 附录 2 奇安信行业安全研究中心.23 附录 3 奇安信集团安服团队.24 附录 4 补天漏洞响应平台.25 附录 7 天际友盟.26 1 研究背景 近年来,数据已成为产业发展的创新要素,不仅在数据科学与技术层次,而且在商业模式、产业格局、生态价值与教育层面,数据都能带来新理念和新思维。大数据与现有产业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景,使得生产更加绿色智能、生活更加便捷高效,逐渐成为企业发展的有力引擎,在提升产业竞争力和推动商
11、业模式创新方面发挥越来越重要的作用。一些信息技术领先企业向大数据转型,提升对大数据的认知和理解的同时,也要充分意识到大数据安全与大数据应用也是一体之两翼,驱动之双轮,必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。如:数据安全保护难度加大、个人信息泄露风险加剧等。数据技术时代,数据成为业务发展核心动力,也成为黑客的主要目标。对于数据拥有者来讲,数据泄露几乎等同于经济损失。在开放的网络化社会,蕴含着海量数据和潜在价值的大数据更受黑客青睐,近年来也频繁爆发信息系统邮箱账号、社保信息、银行卡号等数据大量被窃的安全事件。分布式的系统部署、开放的网络环境、复杂的数据应用和众多
12、的用户访问,都使得大数据在保密性、完整性、可用性等方面面临更大的挑战。为更加充分的研究政企机构数据安全风险,奇安信行业安全研究中心联合天际友盟、补天漏洞响应平台、奇安信安服团队、奇安信安全监测与响应中心、奇安信数据安全子公司针对政企机构数据安全状况及风险展开深入研究。研究分别从公开事件、应急事件、网站漏洞、暗网、数字品牌风险等几方面,针对数据安全(包括数据泄露、数据篡改、数据破坏等)展开深入的研究。希望该项研究能够对全国各地政企机构展开数据安全防护等建设规划有所警示和帮助。2 第一章 综述 本章内容主要基于安全内参平台收录的新闻,筛选整理出数据安全大事件,本报告中所提到的数据安全事件,多指代数
13、据泄露、数据篡改、数据破坏等情况。一、全球公开数据安全事件综述 近年来,全球政企机构均发生了大量的重大数据安全相关事件,据统计 2022 年 1 月2022 年 10 月,安全内参共收录全球政企机构重大数据安全报道 180 起,其中数据泄露相关安全事件高达 93 起,占 51.7%。与近三年平均每月公开报道频次相比,2022 年相较前三年全球重大数据安全相关事件数量有小幅下降,略低于 2020 年与 2021 年。就全球网络安全而言,2022 年数据泄露是最严重的网络威胁之一。与 2021 年相比,从数量来看,2021 年全球数据安全大事件,涉及数据破坏的有 102 件,占总量的 42.0%;
14、涉及数据泄露的有 100 件,占总量的 41.2%。2022 年,全球数据安全大事件涉及数据破坏的大事件下降至 42 件,占总量的 23.3%;而数据泄露事件有 93 件,占 51.7%。可见近两年来,由于数据破坏导致的数据安全事件数量大幅减少,同时,数据泄露类事件一直较为严重。3 二、全球公开数据安全事件行业分类 2022 年 1 月2022 年 10 月,全球政企机构重大数据安全事件中,16.1%为政府机构事业单位;14.4%为 IT 信息技术行业;11.7%为互联网行业。下图给出了 2022 年 1 月2022 年 10 月全球政企机构重大数据安全事件所涉及到的十大行业分布。按数据安全事
15、件类型分析,2022 年,引发政府机构事业单位数据安全事件的类型主要包括数据泄露和数据破坏。引发 IT 信息技术行业数据安全事件的类型主要为数据泄露。三、全球公开数据安全事件发生原因 从 2022 年 1 月2022 年 10 月,政企机构重大数据安全事件发生的原因来看,超过五成 4 安全事件是由于外部攻击(指没有获得认证的、未经授权的非法用户对内网进行的访问请求或攻击行为)导致的,但也有 5.0%的事件是由于内部人员违规操作。3.9%的重大数据安全事件是由于存在漏洞。内鬼作案是数据安全事件发生的重要途径。我们不仅要防外也要防内,做好数据操作的审计,防止非授权信息读取,防止越权的敏感信息读取,
16、包括一些过度的数据读取其实也是一种泄露,比如:在办一些业务的时候本来只用知道该用户的姓名、性别及年龄,但是在相关资料上还能看到其联系方式、工作单位等信息,这样的过度读取或者暴露个人信息的行为也不合适。如上图所示,从攻击者目的来看,57.4%的外部威胁目的为数据窃取;其次为数据破坏,占比 40.6%。综合数据安全事件类型与发生原因来看,62.4%的数据泄露事件由外部威胁导致。外部威胁(外部攻击)均是造成数据泄漏、数据破坏与数据篡改的最主要原因。可见,外部威胁是数据安全事件发生的最大威胁。四、全球公开数据安全事件的影响 根据数据的敏感度,我们把政企机构泄露的信息划分为以下几个类型:1)个人信息:公
17、民个人身份、账号卡号及行为信息等数据,主要包括:姓名、身份证、性别、婚姻状况、固定资产、电话、地址、邮箱、账号、密码、工作、出行、防疫、保险信息等。本节包括实名信息(如姓名、电话、身份证、银行卡、家庭住址等信息)、账号密码(如:各类网站登陆账号密码、游戏账号密码、电子邮箱账号密码等)、行为数据、保单信息、人脸指纹等个人信息。2)商业机密:企业经营活动中的商业机密信息,主要包括:客户信息、员工信息、投资人信息、经销 5 商信息、业务合同、工程项目、内部报告、研究成果、核心数据库数据等。3)政府机密:有关政府部门的内部机密信息,主要包括:邮件、会议、重大项目、重要文件、国家事务决策文件等信息。4)
18、软件源代码:企业开发的软件或网站系统平台的源代码,一般属于企业的核心研发机密。本节特别针对数据泄露事件进行分析,从 2022 年 1 月2022 年 10 月全球重大数据泄露事件造成的影响来看,60.2%的事件导致个人信息泄露;8.6%的数据安全大事件导致商业机密泄露;8.6%的事件导致软件源代码泄露。值得一提的是,涉及个人信息泄露的事件中,超六成为实名信息,网络发展迅速的如今,实名信息泄露近年来一直是信息泄露的主角。全球大量公民个人信息因为外部攻击、内部泄露、等原因“公开”于网上,具体分布如下图所示。2022 年,从南非所有公民征信数据泄露,到香格里拉酒店被黑,再到热搜不断的学习通事件,无不
19、说明个人信息泄露不分国界,信息保护形势严峻,个人信息保护法实施一周年,在世界各地将近有 150 个国家都对于个人信息做了保护规定,一直以来我国也高度关注个人信息泄露问题,不断完善规制个人信息泄露相关制度规则。我们可以看到,在我国 个人信息保护法 立法和执法层面越来越丰富,条线越来越清晰。甚至涉及到具体的行业产业,这种适用的场景越来越明确,所以立法和执法也越来越有活力,对企业合规也提出了越来越高的要求。6 第二章 境内数据海外非法交易 一、泄露数据的交易规模 2022 年 3 月以来,奇安信威胁情报中心对 BreachForum 及各种暗网黑客黑产交易平台,以及 LeakIX(一个数据泄露监测的
20、网站)、Telegram、Twitter 等海外网络平台上的数据泄露及交易信息(以下简称“交易信息”)进行了系统性的监测,并对其中涉及中国境内政企机构泄露数据的交易信息进行了评估和验证。截至 2022 年 10 月,奇安信威胁情报中心累计监测到境内政企机构泄露数据的海外非法交易信息 171 条。其中,共有 106 条交易信息明确给出了泄露数据的数量或数据包的大小,约占交易信息总量的 62.0%。明确给出了泄露数据数量的交易信息共有 85 条,约占交易信息总数的 49.7%,合计约含有 950 多亿条各类数据;明确给出了泄露数据数据包大小的交易信息共有 40 条,约占交易信息总数的 23.4%,
21、合计约有 46.4TB 数据信息。其中,有 19 条交易信息同时给出了泄露数据的数量和数据包大小。在本章报告中,我们将以明确给出了泄露数据数量或数据包大小的交易信息为抽样样本,对交易信息的各类分布情况进行全局分析。二、泄露数据的行业分布 境内机构数据在海外的非法交易共涉及 20 余个不同的行业。其中,涉及互联网行业企业数据的交易信息占比 28.7%,排名第一。其次是制造业,占比为 12.9%。生活服务类、金融类并列第三,占比为 9.4%。从泄露数据的数量来看,互联网行业仍然排名第一,泄露数据447.5 亿条,占比 47.1%。其次是电信运营商,312.0 亿条,占比 32.8%。环境行业排第三
22、,66.5 亿条,占比 7.0%,主要为某环境企业对汽车尾气排放的监测数据。7 三、泄露数据的数据类型 在海外被非法交易的境内机构泄露数据包括除上文提到的个人信息、商业机密、政府机密和软件源代码外,还有运营数据与内网管理信息:1)运营数据:网络平台或政企机构在生产运营过程中产生的基础数据。本次报告涉及的相关泄露数据,主要包括:某些互联网平台的运营数据、某些商业查询平台的后台数据、制造业企业对其销售的物联网设备的监测数据、某些机构的电话热线拨打记录、环境与消防等行业的监测数据、数字货币的矿机数据等。2)内网管理信息:在企业内部办公网络上产生的数据,主要包括:内网设备信息、设备及服务器日志、内部管
23、理系统信息、管理员账号密码、网站后台代码、内网权限、内网端口等。上图给出了海外非法交易的境内机构泄露数据的类型分布情况。按照交易信息的数量来看,55.6%的交易,买卖的是个人信息数据;其次是商业机密数据,占比 19.3%;内网管理信息数据排第三,占比 11.7%。按照泄露数据的数据包大小来看:个人信息至少有 37.6TB,占比高达 81.0%同样排名第一;其次是内网管理信息,约有 4.3TB,占比为 9.3%;运营数据排名第三,约有 4.2TB,占比为 9.0%。此外,按照泄露数据的数量来看,个人信息数据约有 868.8 亿条,占比为 91.4%;其次是运营数据,约有 79.5 亿条,占比为
24、8.4%。二者之和占到了泄露数据总数量的 99.8%。四、个人信息泄露行业分布 从前面数据中可以看出,无论是从交易信息的数量、泄露数据包的大小还是泄露数据的数量上来看,个人信息数据都是泄露最多的数据。868.8 亿条的个人信息泄露数据总量,相当于 14 亿中国人平均每人泄露了约 62 条个人信息数据,而这仅仅是 2022 年 39 月监测到的新增数据。8 从行业分布来看,互联网行业泄露的个人信息数据量最多,高达 445.9 亿条;其次是电信运营商数据,约为 312.0 亿条;制造业排第三,约为 60.0 亿条。此外,生活服务、金融、政府及事业单位也都是个人信息数据泄露的大户。需要特别说明的是,
25、制造业之所以会登上个人信息数据泄露的“三甲”榜单,与物联网和智能汽车的普及关系密切。在本次报告分析的海外非法交易信息中,可以看到大量制造业企业的物联网数据采集平台或监控平台的数据泄露,其中常常包含有使用者信息或精确的ID、IP 及地理位置等信息。而从汽车制造企业泄露出来的数据中,更是常常包含车牌信息、车辆信息、甚至是车主信息和车辆运动轨迹信息等。在实际攻防环境中,物联网设备信息及使用记录、智能网联汽车数据及行动轨迹,都经常被用来对使用者进行定位、追踪和特征分析。这也提醒我们,万物互联的时代,数据安全问题,特别是个人信息安全问题,已经不再是互联网企业、电信运营商、政府及各类服务行业所特有的问题。
26、而是所有行业都应当关注和重点投入保护的问题,制造业尤其如此。9 第三章 数据安全事件应急响应 一、数据安全应急响应事件损失分析 2022 年 19 月,95015 网络安全服务热线共接到全国各地大中型政企机构网络安全应急响应求助电话 697 起,其中,涉及到数据安全事件共 295 起,占比约为 42.3%。从事件损失来看,数据丢失事件 211 起,占所有应急响应事件的 30.3%;数据泄露事件 68 起,占比9.8%;数据篡改事件 16 起,占比 2.3%。具体分布如下图所示。二、数据安全应急响应事件攻击类型 对于触发数据安全应急响应事件的原因进行分析发现,勒索软件是当前阶段对国内政企机构数据
27、安全威胁最大的攻击方式,占到所有攻击方式的 59.7%;其次是漏洞利用,占比为14.6%;钓鱼邮件排第三,占比 10.5%。此外,木马攻击(不含勒索软件)、非攻击事件也都是触发数据安全事件的重要原因。这里有几点需要特别说明。首先,勒索软件对于系统数据的破坏作用是最为彻底的,也是系统数据遭到破坏最主要的原因。在现阶段,如果没有部署云备份或定期冷备份等手段,一旦被勒索软件成功攻击,除了支付赎金,几乎没有任何办法可以进行数据恢复。在我们的应急实践中发现,勒索软件攻击还常常会引发系统/网络不可用、企业声誉受损失等损失。第二,从应急响应情况来看,数据安全问题也和内部人员的安全意识密切相关。比如钓鱼邮件和
28、非攻击事件,这两种攻击类型,都属于安全意识不足引发的数据安全问题。特别是非攻击事件触发的数据安全事件,绝大多数都是由于员工操作不当引起的。10 三、数据安全应急响应事件攻击目的 通过对数据安全应急响应事件的溯源分析发现,攻击者之所以会对政企机构数据进行破坏、窃取和篡改,最主要的目的还是敲诈勒索(不仅仅是勒索软件),占比约为 60.7%;其次是窃取机密,占比 9.8%;内部违规排第三,占比 6.8%。此外,黑产活动、政治原因等也是攻击者攻击政企机构关键数据的主要目的。四、数据安全应急响应事件行业分布 无论是为了敲诈勒索、窃取机密还是政治原因,涉及数据安全,不同行业对应急响应的需求也各不相同。通过
29、对数据安全应急响应事件受害者所属行业分析,我们发现,当前阶段国内数据安全应急响应处置事件 TOP3 行业分别为:政府部门(占比 22.4%)、医疗卫生(占比 15.6%)及事业单位(占比 9.5%)。具体 TOP10 分布如下图所示:11 五、网站安全漏洞的潜在数据泄露风险 网站安全漏洞问题是政企机构数据安全最重要的潜在风险之一。如前所述,在 2022 年的数据安全应急响应事件中,漏洞利用占比高达 14.6%。而在补天漏洞响应平台收录的各类网站安全漏洞中,也有大量漏洞可以导致网站数据泄露。2022 年 1 月9 月,补天平台共收录各类的网站漏洞 102118 个,其中可导致数据安全问题的网站漏
30、洞 28751 个,占比为 28.1%,是所有漏洞中占比最高的类型。从行业分布来看,在国内所有网站存在数据泄露问题相关漏洞的政企机构中,29.4%为IT 信息技术行业,排名第一;其次为互联网行业,占比 6.5%;工程建筑占比 4.3%。具体TOP10 分布如下图所示。12 第四章 商业机密数据泄露风险 商业机密是企业重要的数据资产,也是各类黑客组织、黑产团伙、乃至 APT 活动的主要攻击对象。在“第二章 境内数据海外非法交易”一章的分析中,我们可以看到,在海外非法数据交易中,商业机密数据是仅次于个人信息数据,排名第二的泄露数据交易类型。在本章中,我们将结合 CEATI 联盟成员天际友盟推出的“
31、DRP 数字风险防护服务”的运营数据,对商业机密数据泄露的现状、类型、行业分布、泄露渠道以及泄露原因等方面展看进一步的详细分析。DRP 是 Digital Risk Protection,即“数字风险防护”的所写。天际友盟“DRP 数字风险防护”服务,旨在通过智能监控和快速处置,降低企业面临的品牌欺诈和数据泄露危害,维护企业数字品牌利益。服务分为两个部分:一是针对特定的数字品牌资产,通过对全球网络的智能监测,及时发现相关资产是否存在泄露风险;二是通过全球合作,及时消除风险点,防止被泄露的数字品牌资产进一步扩散。服务推出以来,天际友盟已经累计为近百家不同领域的企业和机构提供了品牌保护服务。一、商
32、业机密数据泄露概况 2022 年 16 月,天际友盟共监测到商业机密数据泄露事件 1948 例,主要涉及文档数据泄露、代码数据泄露和文化版权数据盗版三大类数据泄露风险类型。其中,文档数据泄露事件最多,共 1426 例,占比为 73.2%;其次是代码数据泄露事件,共 368 例,占比 18.9%;文化版权数据盗版事件 154 例,占比 7.9%,排名第三。其中,文化版权数据是指企业拥有合法版权的数据资料,主要包括文字、图片、视频、网络内容、品牌标识等。二、文档数据泄露情况分析 电子办公的普及,虽然在极大程度上提高了工作效率,但文档数据的泄露也成为困扰企 13 业经营发展的一大痛点,是当前企业商业
33、机密数据泄露的首要类型。统计显示,在所有泄露的文档数据中,内部管理类文档,如企业内部规章制度、员工手册等占比最高,约为 24.8%;其次是财务报表和战略分析,占比约为 18.2%;产品及技术文档排第三,占比约为 9.0%;此外,项目规划和部署方案等,占比约为 8.1%。从行业分布来看,泄露文档数据最多的行业是金融业,商业机密文档泄露事件占所有文档数据泄露事件的 59.6%,几近六成。其次是能源行业,占比约为 14.6%。医疗卫生、交通运输和制造业紧随其后,占比分别为 6.3%、6.2%和 5.2%。除此以外,生活服务、教育、互联网、政府及事业单位、建筑的等行业也都有一定数量的文档数据泄露情况。
34、研究显示,文档类数据最主要的泄露渠道是各类互联网平台。其中,网络文库和各类文档分享网站最为常见。统计显示,百度文库是最大的文档数据泄露平台,约 45.9%的商业机密文档在百度文库上被公开;其次是道客巴巴,占比约为 32.1%;豆丁网排第三,占比约为12.1%。此外,360 文库占比约 6.9%,百度网盘占比约 3.0%。14 企业的商业机密文档被泄露到互联网平台上,这是一件让企业即害怕,又无奈的问题。如果内部文档只是被个别竞争对手盗取,数据的泄露范围毕竟还是比较有限的。即便是被黑客组织或黑产团伙在黑市上交易,那么数据也只是被泄露给了付钱购买的组织或个人。可一旦内部文档被人发布到互联网平台上,特
35、别是各种文档分享平台上,就几乎等于是把企业的商业机密向整个互联网公开了,而且几乎再也无法彻底消除,影响十分深远。企业将要面对的不仅仅是商业损失,还有可能会遭遇商业信誉和社会舆论的危机。三、商业机密数据泄露原因 造成政企机构商业机密数据泄露的原因往往是多方面的:有的是被前员工、供应商或者在职员工上传到文档共享平台进行免费传播,甚至公开售卖;有的是内部员工为了工作方便,没有严格遵守机构的保密规范而发生的无心之过;还有一些则是由黑客组织、黑产团伙或APT 组织的入侵行为造成的。为全面了解政企机构商业机密数据泄露的原因,天际友盟在协助相关政企机构处置数据 15 泄露应急事件过程中,也与相关机构展开合作
36、,对部分数据泄露事件的原因进行了溯源分析。与人们一般的想象不同,商业机密数据泄露最主要的原因并不是黑客入侵或外部威胁,而是合作伙伴和内部人员的泄露。统计显示,约有 34.5%的商业机密数据泄露是合作伙伴造成的;由内部人员泄露的商业机密,占比约为 10.8%;而真正是由于外部入侵造成的商业机密泄露,仅占比约 7.6%。当然,还有约 47.1%的商业机密数据泄露事件,我们最终没能追溯到具体原因。对于缺少甚至没有系统性的数据安全防护策略的政企机构而言,想要溯源数据泄露的具体原因是非常困难的。找不到原因,自然也就难以对症下药。需要说明的是,不论数据泄露的原因如何,也不论泄露者是否具有主观恶意,机密或敏
37、感数据的泄露,都会给企业带来巨大的安全风险,包括网络风险、经营风险和信誉风险等诸多方面。16 第五章 数字品牌安全事件典型案例 本章案例,由 CEATI 联盟成员天际友盟分享。一、大型能源企业内部系统安装手册遭泄露 某大型能源企业网络安全人员在百度文库发现了其内部系统的安装手册。该手册因含有公司内网的 IP 地址等企业敏感内容,本应仅限于内部浏览,却被发布在开源平台上供网友们免费观看。风险一经发现,立刻引起了公司高层领导的重点关注。在确认敏感信息的真实性后,内部相关部门立即自主联系了平台方进行申诉。但由于企业对维权流程的不熟悉,导致问题迟迟得不到解决。随后,用户联系了天际友盟进行紧急关停处置。
38、在获得用户授权的前提下,该文档的分享链接被快速关停。同时,企业还要求对全网进行主动监测,主动发现类似数据泄露事件。经过几个月的集中监测与处置,企业对历史遗留风险做出了集中处理,大幅度降低了企业数据泄露的外部风险,并将持续性监测纳入未来整体风险管理体系之中,将事后应急转化为事前和事中措施,防患于未然。泄露安装手册的处置前与处置后 二、知名移动支付企业的关键代码在开源平台上被公开 某移动支付企业进行全线业务部门 IT 资产的梳理整顿,为即将到来的大型实战攻防演练考核作准备。梳理内容之一是对内网和外网失联资产的核查,减少外部曝光的攻击面,提升整体安全能力。在协助梳理的过程中,安全人员发现该企业的某支
39、付系统源代码被泄露到开源平台Github 中。该系统具有支付职能,因此代码中涉及用户隐私保护,以及部分登录验证确认机制详情,存在被恶意攻击者利用制作针对性钓鱼网站的可能,作为进一步攻击的信息收集窗口和跳板,被安全管理和应急人员认定为外部风险。在获得用户处置授权后,天际友盟启动快速响应流程,联系相关平台及服务商,迅速下线泄露内容,阻止敏感信息进一步传播。17 泄露关键代码的处置前与处置后 三、知名作家付费小说遭搬运 某知名作家创作的连载付费网络小说未经版权方许可就以免费形式在多个阅读平台上上架。该作家出品了多个畅销作品,在网络上受到大量粉丝的追捧,但其作品也常年遭受盗版的荼毒。盗版小说的流通不仅
40、损害了平台方及作家的经济收益,同时也侵害了付费读者的权益,易引起消费者对正规平台的不满,严重损害了其品牌形象。发现泄漏后,平台方向天际友盟寻求紧急关停处置。在获得用户授权后,天际友盟启动快速响应流程,联系相关网站平台的管理机构,代表作者和平台方申诉小说作品的版权属性,迅速关停盗版资源链接,阻止文档进一步扩散。服务期间,天际友盟共捕获盗版链接 15 条,并全部进行下线处理。这 15 条风险均来自美国,网站服务商均为 CLOUDFLARE。18 盗版小说链接的处置前与处置后 19 附录 1 全球数据安全公开事件案例集(一)某科技公司利用爬虫技术窃取 2.1 亿条简历数据 2015 年至 2019
41、年间,某科技公司组建专门爬虫技术团队,在未取得求职者和平台直接授权的情况下,秘密爬取国内主流招聘平台上的求职者简历数据 2.1 亿条。该公司爬虫技术团队负责人欧某某,私自将窃取的简历数据对外出售,个人非法获利人民币 30 余万。2022 年 2 月,该公司被检察院起诉,王某某等人涉嫌侵犯公民个人信息罪。案件一审判决生效。被告单位某科技公司被判处罚金人民币四千万元,被告人王某某被判处有期徒刑七年,罚金人民币一千万元,其他被告人均被判处相应刑罚。本案对被告单位判处的罚金数额、对被告人判处的刑期和罚金数额,均系近年来全国同类案件判罚最重案例。(二)俄罗斯多个联邦政府网站遭供应链攻击:显示篡改内容 2
42、022 年 3 月,俄罗斯称其联邦机构遭到供应链攻击。被攻击的政府网站包括:能源部、联邦国家统计委员会、联邦法警局、联邦反垄断局、文化部和其他国家机构网站。攻击者在这些网站上发布了自己的内容并拦截了对这些网站的访问权限。俄罗斯经济发展部的新闻服务告知称:“直接攻陷这些网站很难,因此攻击者通过外部服务攻击资源,获得权限,之后展示不正确的内容。数据工具被黑后,黑客在网页上发布了不正确的内容。该事件立即得到遏制。”俄罗斯数字化发展部声称国家机构网站在事件发生一小时内恢复正常。(三)弱口令导致南非几乎所有公民征信数据泄露,损失超百亿 2022 年 3 月,据外媒报道,美国征信巨头 TransUnion
43、的南非公司遭巴西黑客团伙袭击,5400 万消费者征信数据泄露,总数据量约达 4TB,绝大多数为南非公民,据了解南非总人口约 6060 万人。黑客团伙透露,通过暴力破解入侵了一台存有大量消费者数据的 SFTP 服务器,该服务器密码为“Password”。TransUnion 公司称,将为受影响的消费者免费提供身份保护年度订阅服务,预计成本将超过 114 亿元。(四)东欧大型加油站遭勒索攻击,官网、APP 等全部下线 2022 年 3 月,罗马尼亚大型加油站遭到勒索软件攻击,影响到了公司“大部分 IT 服务”,官方网站及油站 Fill&Go 服务被迫下线。顾客只能使用现金和刷卡支付;外媒 Blee
44、pingComputer 了解到,此次攻击的幕后黑手正是 Hive 勒索软件团伙,对方开出了高达数百万美元的赎金要求。(五)仅售 50 元,英国首相个人手机号遭曝光 20 据 2022 年 4 月星期日邮报的报道称,英国首相特拉斯和她的 25 名内阁成员的个人手机号正在互联网上出售。报道称,一家可疑的美国网站正在以区区 6.49 英镑的价格出售这些信息。该美国网站列出了首相特拉斯、财政大臣克沃滕、国防大臣华莱士、外交大臣克莱弗利等人的电话号码和其他个人信息。工党领袖基尔斯塔默的电话号码也在上面。内阁办公厅称正在对此事进行调查,并表示其中一些信息是过时的。但星期日邮报证实,数据中的内阁 26 名
45、成员的手机号码是当前在用的,包括特拉斯本人的手机号。一名前英国情报官员称,这一信息泄露“确实惊人”。这家美国网站的订阅用户可以通过输入某个人的名字,迅速搜索到信息。星期日邮报拒绝透露这家网站的网址,网站背后的主人是谁也仍然是个谜。(六)某学习软件疑似泄露 1.7 亿条用户数据,合作院校超 2000 家 2022 年 6 月,有微博网友爆料称,某款知名大学生学习软件的数据库信息疑似被公开售卖,其中疑似泄露的数据包含姓名、手机号、性别、学校、学号、邮箱等信息 1 亿 7273万条。相关话题一度登上微博热搜第一。平台方随即针对传闻回应称,收到“疑似 XXXAPP用户数据泄露”的反馈信息,排查未发现明
46、确的用户信息泄露证据,已向公安机关报案。某安全团队相关人士在接受采访时表示,“从目前证据表明,是黑客的入侵行为,不完全排除内鬼的可能。”该人士称,从相关频道来看,(这种兜售行为)近日一直在持续,黑客发布时间在 6 月18 日之前。(七)印尼 13 亿手机卡用户数据被黑客公开兜售 2022 年 9 月,印度尼西亚近期成立的数据保护工作组正在追捕一名黑客。此人据称涉嫌窃取了 13 亿注册手机用户与 1.05 亿选民数据、多位公众人物的个人数据,包括印尼海洋与投资统筹部长卢胡特班查伊丹(Luhut Pandjaitan)及信息与通讯部长约翰尼G布拉特(Johnny G.Plate)。泄露的细节包括电
47、话号码、身份证号以及疫苗接种编码。甚至是记录着印尼总统佐科维多多(Joko Widodo)与国家情报局之间的往来信息的机密文件日志。受害者包括印尼多家国有企业、手机运营商及大选委员会。(八)澳大利亚健康保险公司遭勒索攻击,200G 客户数据被盗 2022 年 10 月,澳大利亚健康保险公司 Medibank 开始通知客户称,他们的个人数据可能在最近发生的一次网络攻击中被盗。当地时间 10 月 12 日,该公司披露称遭勒索攻击,某些系统因此下线。Medibank 公司表示,“Medibank 收到一名犯罪分子的联系称他们盗取了 200GB 数据。该犯罪分子提供了包含 100 份保单的记录样本。我
48、们认为这些保单源自我们的国际学生系统等。”被盗的个人信息包括全名、地址、出生日期、电话号码、医疗号码和保单号码以及索赔数据(如客户接受医疗服务的地址)。该公司表示,已经在勒索软件部署到网络前识别 21 并阻止了该攻击,目前已完全恢复了受影响服务。(九)台湾全岛个人信息被放在暗网上兜售:至少 20 万条真实 2022 年 10 月,据台媒报道,台湾地区户政系统传出遭黑客入侵的消息。有黑客在海外论坛上贩售 20 万笔台湾民众户籍资料,数据资料包括台湾人口纪录等,且可从这些数据中轻松找到任何人及其家庭的资料,还有兵役、教育纪录、居住地址。该黑客还宣称手上有全台 2300 万民众资料。台湾“调查局”获
49、报后立即展开追查。初步调查确认目前释出的20 万笔资料主要集中在宜兰地区,且资料都吻合。据了解,有关单位初步调查显示,这次上网兜售的户政资料,是 2018 年相关资料交接时,由其他单位流出去。对此,“内政部”仅称,的确有这样的传言,不无可能,但无法证实。“内政部”初步研判,该论坛上贩售的资料,看似由多个数据库组合而成,资料真实性有相似度,已交由检警机关调查,并强调户政资讯系统采用内外网实体隔离架构,资料均妥善保存于内网中,并未流出。22 附录 2 CEATI 联盟 网络安全威胁情报生态联盟,英文全称:Cybersecurity Ecology Alliance of Threat Intell
50、igence,简称:CEATI 联盟。联盟是由奇安信威胁情报中心联手国内多个著名安全公司共同发起的共建威胁情报行业生态的联盟机构,依 托于奇安信发布的“TI INSIDE 计划”,将以威胁情报能力应用为核心,打造新生态圈模式,情报使能、共谋共策、开放合作、协作共赢。降 低威胁情报的应用门槛,提升威胁情报使用效果以及体现最终客户侧 的威胁情报价值,从而在整体上提高国内安全防护水平。CEATI 联盟目前已吸纳 30 余家成员单位,能力涵盖情报运营、APT 跟踪、样本对抗、Web 安全、数据安全、大数据分析、云安全、等保合规安全硬件等多方面关键技术。未来将与各成员单位共同推动以威胁情报技术应用为核心
浙ICP备2021020529号-1 | 浙B2-20240490 
