数据泄露典型判例 分析报告 奇安信集团网络安全部 2019年12月17日 主要观点  个人用户数据是 数据泄露的主要类型 ， 由此导致了大量通信网络诈骗的泛滥 。用户数据 泄露呈现 出数据量大， 影响范围广的特点 。 由于基础资源变现能力强 ,在地下产业链 中， 用户数据 的交易非常活跃 ，成为数据泄露的重灾区。  数据泄露风险主要来自于内部人员， 而牟利是造成数据泄露的主要动机 。内部人员 泄露 占数据泄露角色分布的 80%， 而其中在职人员 占比 67.5%,离职人员占比 32.5%。 内部人 员因其身份的合法性， 是数据安全监控体系最具挑战的部分 。 防范内部人员的数据泄露， 技术上需要结合多种监控手段 ，外部情报 ；管理上需要联动审计、人力资源、 法务等部 门，进行多方验证。 关键词： 数据，泄露，判例 ，监控 目 录 第一章 研究背景 ................................ ................................ ................................ ........................... 1 第二章 泄露类型分析 ................................ ................................ ................................ .................... 2 第三章 泄露角色分析 ................................ ................................ ................................ .................... 3 第四章 泄露动机分析 ................................ ................................ ................................ .................... 4 第五章 泄露渠道分析 ................................ ................................ ................................ .................... 5 1 第一章 研究背景 近年来， 数据安全 已经成为 网络安全行业聚焦点最高的一个细分领域。 随着“云大物移 智”的快速发展，数据已 经成为企业的重要生产资料，数据驱动业务决策也 成为实践业务创 新的核心手段。随着数据交易的常态化，勒索软件开发市场的规模化， 数据衍生服务的 体系 化， 在低成本高收益的诱惑下， 政府， 企业的核心数据保护均面临着来自内外 部的巨大风险。 当前数据泄露途径呈现出多元化和隐蔽化的特点， 数据实战监控面临挑战。 为了更精准 的制定数据监控策略， 更有效的落实数据安全防控一体化机制，提升数据安全防护的投入产 出比，奇安信集团网络安全 部以中国裁判文书网 （ http://wenshu. court.gov.cn ）自 2011年-2019 年10月发布的所有与数据泄露相关的典型判例 （包含侵犯公民个人信息 、网络安全法 、非 法获取公民个人信息 等关键字 ）的150份裁判文书 样本数据， 从 泄露数据类型、 泄露人身份、 泄露动机和泄露渠道等维度对样本数据进行解读整理 ，还原泄露过程，识别关键因素 。希望 此项研究能够 为政企机构 数据保护 策略的制定 提供一些有价值的参考 。 2 第二章 泄露类型分析 我们对判例样本 中的数据泄露类型进行了分类分析， 发现泄露数据主要 包含为5大类， 分别是用户数据、客户数据、源代码、商业机密数据和政企涉密文件 。5类数据在 数据泄露 判例中的占比如下图： 数据泄露类型分布图 显示，用户数据 是数据泄露重灾区， 占数据泄露 35%，也符合地下 产业链常见数据交易类型的特点 ，相关判例 所涉及的 数据泄露量均是百万或千万级的 。此类 泄露事件一经报道，被公众所知，对企业的声誉、客户满意度、市场占有量、股价以及企业 合规都会产生 极其负面的影响。 在分析用户数据泄露这类事件时， 我们发现 攻击者往往是精准定向获取数据后卖给特 定买家，交易极其隐蔽，难以追踪溯源。在数据经过脱库 -洗库 -撞库 -制作字典等环节之后， 失去其核心价值，便在黑 市上进行交易， 形成一条 完整的黑色产业链 。 商业机密数据和政企涉密文件的泄露更多的是 企业或者政府单位。 这类事件造成的经 济损失是最大的 ，其次是声誉损失，导致公众满意度下降，客户对企业信任度下降。 政企机 构的客户数据泄露是近几年来 同类型企业在进行恶意 竞争，市场抢占 时所关注的核心类资 源。任何一个在 企业内部工作 的员工，或多或少都 能够接触到企业内部各种类型的数据 。如 何有效甄别数据敏感度，如何对不同敏感度数据实施差分保护，如何在不降低工作效率的前 提下控制访问权限，如何保证数据访问和操作均具备可审计性，这是数据安全防护建设需要 重点考虑的内 容。 3 第三章 泄露角色分析 我们对判例样本 中的数据泄露人身份角色角度进行了分类，发现泄露人员角色主要分 为2大类 7子类，一类是内部人员，一类是外部人员。其中内部人员又分为在职普通岗位、 在职重要岗位、在职技术人员、待离职人员、离职人员 ；外部分为合作伙伴和黑客，不同角 色在数据泄露中的分布如下图： 从泄露角色分布图可以看出， 泄露的发生无外乎外部人员的主动攻击和内部人员的 有 意或无意 泄露。其中数据泄露角色 80%来自内部人员， 外部人员中 90%的攻击来源是黑客， 黑客利用漏洞直接脱 库，或者开展社会工程学攻击， 获取高权限的账户 直接对数据库进行操 作，从而达到数据窃取的目的。外部人员中第三方合作伙伴也是最常见数据 泄露角色，由于 业务合作需要共享数据， 而下游合作厂商的数据保护意识或数据保护能力存在偏差从而导致 数据泄露， 这也是近年来攻击者更愿意从数据产业链的下游发起攻击， 从而窃取数据的原因。 内部在职人员 造成的数据泄露呈 现高速增长 趋势，待离职员工和已离职员工造成的数 据泄露大多都发生在 求职阶段。无论是新东家要求夹带机密数据离职，还是员工自己主动留 存窃取资料给自己增加 谈判筹码，都会对原所在企业造 成损失。另外近一两年随着互联网信 息互通共享，合作 者或者竞争厂商未经允许私自利用共享信息牟利的 案例也呈增长趋势。 企业应在趋于完善的安全防护体系之上， 强化内部数据保护宣导， 加强特权账号管理、 核心操作审计，提升内部 用户行为分析、 回溯能力。从流量、终端、应用各个方面建立预防 为主，监控为辅的数据安全能力机制。 4 第四章 泄露动机分析 我们对判例样本 中的数据泄露动机进行了分类， 发现泄露动机主要有以下几类： 牟利、 不正当竞争 /利用、公开 /成名、增加求职筹码和误操作。泄露动机占比如下图所示 ： 牟利永远是数据窃取的最强原 动力， 无论 是窃取核心数据售卖获得直观的经济收益， 还 是拥有核心数据增加求职筹码的间接收益，总之 有利可图才会使人铤而走险。这三类动机 （牟利、增加求职筹码、不正当利用） 造成了 80%的数据泄露案件 。针对动机的发现和提前 预判，可以通过员工网络流量，上网行为、数据操作行为偏差值综合判定，如员工近期大量 浏览求职网站，可判断其有离职倾向，从而就可以调整 安全策略，对该员工的某些数据访问 操作采取以阻断防护 、监控审计为 主的数据防护策略。 剩余两成数据泄露案件大多是由员工误操作引起的，且越是技术人员的误操作所造成 的影响和破坏越是严重。 针对误操作，应尽可能在高权限用户的关键操作环节，增加复核审 批手段。 5 第五章 泄露渠道分析 泄露渠道是数据监控的重点环节 。我们对判例样本 中数据泄露 的渠道进行了分类，发 现泄露渠道主要包括：移动存储介质（ U盘） 、即时通讯工具（ QQ/微信） 、网盘类工具 （百度网盘） 、邮件、拍照截图共 5大类。数据泄露渠道分布如下图： 移动存储介质（ U盘/移动硬盘 /存储卡）占据近半壁江山，也符合其拷贝量大、传输速 度快的特点。其次即时通讯、网盘类工具 、邮件也常用于数据外发或数据备份，拍照常见于 不能直接获取到此类数据， 只具备查看权限的案例， 例如拍照生产车间关键设备的参数数据。 目前对于数据 泄露渠道的监控市面上均有成熟的产品和方案，无论是从终端上做文章 （终端 DLP、EDR、数字水印、透明文档加密） ，还是从网络流量或日志分析作为切入点（上 网行为管理、邮件服务器审计日志） ，数据安全不应脱离于具体业务，需要与业务场景高度 耦合。这些除了数据安全的基础能力建设之外，有一批懂运营会分析，服务意识强的安全人 员，积极在企业内部推动数据安全的各项举措，从而构建有效（真正产生价值） 的数据安全 体系。