現(xiàn)在是凌晨3點(diǎn)，你知道你的數(shù)據(jù)在哪里嗎?本文我們將探討數(shù)據(jù)滲漏問題。

數(shù)據(jù)泄漏事故以驚人的頻率發(fā)生，IT部門第一個想知道的事情是哪些數(shù)據(jù)丟失了，是怎樣丟失的。

“數(shù)據(jù)滲漏”(是指從公司網(wǎng)絡(luò)轉(zhuǎn)移敏感信息)的概念已經(jīng)逐漸成為所有數(shù)據(jù)泄漏調(diào)查的重要組成部分。不管是通過物理盜竊還是通過受感染內(nèi)部機(jī)器的數(shù)字傳輸，結(jié)果都是相同的：敏感數(shù)據(jù)丟失將為企業(yè)帶來災(zāi)難性的結(jié)果。

很多人使用數(shù)據(jù)丟失防護(hù)(DLP)技術(shù)來對抗這種威脅，這種技術(shù)可以在重要信息離開企業(yè)網(wǎng)絡(luò)之前幫助識別并阻止重要信息的傳輸。但是不幸的是，攻擊者往往很容易操縱、編碼或者加密信息，讓信息很容易地繞過數(shù)據(jù)丟失防護(hù)功能：看看最近為Metasploit發(fā)布的vSploit模塊中的Web_PII模塊。

Security Art的研究員Iftach Ian Amit在拉斯維加斯舉行的BSides大會上說到這樣一種趨勢，即越來越多的公司意識到他們易于遭受數(shù)據(jù)丟失。

數(shù)據(jù)滲漏是這種趨勢的核心所在。滲透測試公司現(xiàn)在的任務(wù)不僅僅是找出攻擊者可以接觸到企業(yè)數(shù)據(jù)的不同方式：企業(yè)還想知道數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)移出去的所有方式。

Amit描述了一些數(shù)據(jù)滲漏技術(shù)，這些技術(shù)雖然用法不同，但是都有相同的目標(biāo)：獲取重要數(shù)據(jù)。其中一種方法就是在將數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)之前或者期間對數(shù)據(jù)進(jìn)行加密，這種方法非常容易實(shí)現(xiàn)，只需要簡單地連接到支持SSL的遠(yuǎn)程web服務(wù)器或者FTP服務(wù)器或者使用基于文件的加密方式(例如winzip、PDF等)。

數(shù)據(jù)被加密和編碼后，攻擊者如何將數(shù)據(jù)轉(zhuǎn)移出去呢?不要考慮電子郵箱和FTP。Amit建議使用社交網(wǎng)站發(fā)布帖子，然后稍后再獲取。在滲透測試之前，可以創(chuàng)建一個WordPress或者博客網(wǎng)站來發(fā)布信息，這樣做非常容易，并且是免費(fèi)的。

Amit還提出了一個關(guān)于Wikipedia和wikis的有趣的問題，人們很少瀏覽的網(wǎng)頁是哪些?觀眾給出了正確答案：討論頁，這是關(guān)于wiki的討論頁面。將加密和編碼的數(shù)據(jù)放在那里，基本上很難被注意到。

在目標(biāo)環(huán)境外面沒有網(wǎng)絡(luò)連接的話，攻擊者會怎樣做呢?這在高度安全環(huán)境中是很常見的情況，這種環(huán)境中，內(nèi)部網(wǎng)絡(luò)是與互聯(lián)網(wǎng)隔絕的。Amit提供了三種選擇：第一種是對數(shù)據(jù)進(jìn)行編碼，將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)打印機(jī)，并期望任何看到它的人會將它當(dāng)做亂碼和垃圾。當(dāng)這個垃圾被扔到企業(yè)外面時，攻擊者就可以從垃圾箱中取回這張紙，并解碼數(shù)據(jù)。

第二種方法就是利用VoIP或者電話系統(tǒng)來進(jìn)行數(shù)據(jù)滲漏。首席，將數(shù)據(jù)編碼為音頻數(shù)據(jù)，然后呼叫到外部的語音信息或者電話會議服務(wù)，通過電話播放音頻，并記錄下來。隨后獲取音頻，并解碼。

Amit開發(fā)了一個概念證明型工具來處理編碼和解碼，點(diǎn)擊此處下載。

第三種方法是利用電子郵件到傳真接口，內(nèi)部電子郵件地址收到文件后可以被傳真到任何地方。同樣的，攻擊者可以利用多功能打印機(jī)(具有直接掃描到傳真號碼或者電子郵件地址的功能)。

如果數(shù)據(jù)滲漏為硬拷貝形式，那么就可以直接掃描或傳真并從設(shè)備發(fā)出，Amit表示。

數(shù)據(jù)滲漏的方法比比皆是，這意味著根本沒有辦法可以阻止數(shù)據(jù)滲漏。對于網(wǎng)絡(luò)防護(hù)者而言，對公司的內(nèi)部網(wǎng)關(guān)實(shí)施SSL檢查可以幫助識別可疑數(shù)據(jù)傳輸。還可以配置Web/電子郵件內(nèi)容過濾器來阻止加密文件傳輸。Amit建議首先加強(qiáng)防御控制以解決人為因素，然后再加入技術(shù)。

除了進(jìn)行用戶培訓(xùn)外，企業(yè)必須解決數(shù)據(jù)庫存儲位置和如何存儲的問題。如果用戶被允許在可移動載體上存儲數(shù)據(jù)，請確保他們具有數(shù)據(jù)加密工具并知道如何使用。更好的是，使用自動自我加密的閃存驅(qū)動器。

同時，加強(qiáng)對傳真機(jī)和多功能設(shè)備的控制，防止網(wǎng)絡(luò)中的任何機(jī)器連接到這些設(shè)備，并防止個人在沒有密碼的情況下走過去使用它們。

部署好這些控制后，再對公司資產(chǎn)進(jìn)行監(jiān)控，弄清楚哪些屬于重要資產(chǎn)以及它們的存儲位置。Amit指出，沒有理由羞于監(jiān)控自己的資產(chǎn)，然后，“測試，進(jìn)行更多的測試。”執(zhí)行定期測試，讓內(nèi)部員工和外部滲透測試者參與進(jìn)來，可以幫助IT部門確定哪些控制沒有正確執(zhí)行，以及哪些地方需要額外的培訓(xùn)。

只有你了解企業(yè)的數(shù)據(jù)流和網(wǎng)絡(luò)中的資產(chǎn)，才可能抵御數(shù)據(jù)滲漏。

【編輯推薦】

1. 數(shù)據(jù)丟失怎么辦？安全產(chǎn)品很重要
2. 邁克菲躋身“內(nèi)容感知型 DLP”魔力象限領(lǐng)導(dǎo)者地位
3. 數(shù)據(jù)泄漏事件頻繁發(fā)生 泄露途徑多樣化
4. Verizon數(shù)據(jù)泄漏報告2011：攻擊者改變他們的目標(biāo)
5. DLP導(dǎo)入停、看、聽 成功關(guān)鍵在哪里？