什么是数据泄露？

保护关键数据是一场永无止境的战斗。无论是外部攻击者还是心怀不满的内部人员，都试图获取这些有价值的数据，以便进行窃取、传输或出售。目前，有多种数据泄露的手段可供使用。获取信息仍然是一个持续的挑战。.

这篇文章将解释什么是数据泄露，以及什么不是数据泄露。在提供实用的检测和预防方法之前，我们将介绍一些数据泄露的技术以及实际案例。

数据泄露的含义是什么？

数据泄露指的是将数据从原本存储或管理的场所中窃取出来，从而让这些数据被他人获取和使用的情况。未经授权地从网络服务器、工作站或云资源中删除敏感数据犯罪分子通常会通过网络攻击手段来窃取数据。他们将本地存储的数据转移到第三方地点，以便在暗网上进行存储或出售。

不过，内部威胁者也可能为了破坏企业的正常运营或为自己谋取利益而窃取数据。无论如何，企业都需要尽可能降低数据被窃取的风险。

数据泄露、数据外泄与数据被窃取之间的区别

数据泄露属于与数据安全相关的各种威胁中的一部分。例如，您可能已经熟悉这些术语了。数据泄露还有数据泄露这些术语指的是略有不同的网络安全概念。了解它们之间的差异是非常重要的。

简单来说，数据泄露就是指将数据从原本存储的地方窃取出来。故意的/有意的试图获取机密数据。数据泄露的情况通常……无意的/非故意的此外，还有因员工操作失误或配置错误而导致的后果。所谓数据泄露，指的是对受保护或敏感数据的未经授权的访问、获取、披露、暴露、破坏或失控。

下表中总结了将数据泄露行为与其他相关情况进行比较后的主要差异：

意图/目的

根本原因

范围/规模

技术/技巧

数据泄露/窃取

数据泄露

数据泄露

数据泄露究竟是如何发生的呢？

数据泄露事件主要有两种原因：外部攻击和内部威胁。安全策略应当针对这两种情况采取相应的措施来应对。双重焦点能够阻止未经授权的外部人员尝试访问系统，同时还可以管理用户的权限，从而限制用户访问敏感数据的行为。

内部威胁往往发生在安全团队给予受信任的用户过多的权限时。员工可能会对公司感到不满，或者试图利用客户机密信息来谋取个人利益。如果员工能够自由访问数据，那么窃取数据就变得相对容易了。

不过，内部威胁也可能是无意的。例如，医疗行业的员工可能会让电脑屏幕暴露在诊所访客的视线范围内。或者，他们可能会将敏感数据发送给错误的收件人。这种意外泄露的情况很常见。如果没有持续的培训措施，那么预防这种情况也是相当困难的。

外部威胁由于其专业性和针对性，往往会造成更大的破坏。这些威胁通常遵循某种类似的模式或规律。

外部攻击者通过以下方式渗透网络：网络钓鱼技术或者，还有凭证填充攻击。恶意软件被部署到受感染设备上的恶意程序会在网络中扩散，试图获取有价值的数据。这一过程可能很快发生，也可能持续数月或数年，直到攻击者被发现或完成他们的数据窃取行动为止。

数据泄露的类型

上述过程其实是一种简化版的描述。在现实世界中，实际情况可能会更复杂一些。网络攻击者使用各种工具和策略来实施攻击。这些犯罪行为会破坏网络秩序，同时窃取有价值的数据。犯罪分子还有许多潜在的目标对象。因此，需要采取专门的防护措施来防范这些威胁。常见的数据窃取方式包括：

网络钓鱼或社会工程学

社会工程学利用操纵性的电子邮件或其他沟通手段来实施攻击。攻击者会诱使目标用户下载含有恶意软件的附件，或者访问那些旨在窃取用户凭据的网站。

点击恶意附件会自动执行恶意软件或勒索软件。这些恶意软件会在网络中潜伏，试图提升自己的权限并获取有价值的数据。

钓鱼攻击是最常见的诈骗手段。数据窃取攻击的入口点这并非用于传输数据的手段。犯罪分子会使用其他方法来在未被察觉的情况下删除数据。

outbound电子邮件

犯罪分子利用合法员工的账户来发送数据。这些邮件看起来很真实，因为它们来自真正的员工账户。不过，犯罪分子可以将数据作为附件或嵌入到邮件正文内容中来进行传输。

文件传输

攻击者会创建安全的服务器，并利用文件传输协议（FTP）来传输敏感数据。攻击者还可能通过其他途径将数据窃取出去。FTP、HTTP、HTTPS或SMTP. HTTPS可以与正常的网络流量相融合。SMTP这些攻击方式与电子邮件的传输方式相融合。攻击者通常会使用不同的协议来进行数据窃取以及控制网络行为。此外，他们还会对数据传输过程进行加密或混淆处理，以逃避被检测到的风险。

DNS数据泄露

攻击者利用了域名系统（DNS）协议中的漏洞。在这种攻击手段中，数据窃取者会在发送的DNS数据包中嵌入恶意信息。防火墙和其他数据安全系统会将这些数据包视为合法流量。这些数据包会被指向攻击者控制的服务器，从而完成整个攻击过程。

云存储数据泄露/窃取行为

犯罪分子会从公司网络中将数据转移到云端。例如，他们可能会将客户账户的数据保存到私有的 Dropbox 或 Google Drive 账户中。这种做法可以避免依赖那些可能引发怀疑的外部服务器。相反，犯罪分子会使用那些信誉良好的服务，从而绕过各种安全防护措施。

不安全的文件共享工具

如果犯罪分子利用普通员工使用的文件共享工具来传输数据，那么检测这些被窃取的数据就变得更加困难了。例如，某个项目团队可能已经停止运作了，但仍然可能保留着Dropbox账户。尽管该账户已经不再被使用，但数据安全工具仍可能会继续识别这个账户。因此，Dropbox账户实际上成为了数据被窃取的理想传输点。

上传到可移动存储媒体中

内部威胁通常利用他们对网络资源的物理访问权限。他们使用USB驱动器来存储数据，之后再将这些设备从公司的场所中移除。这种攻击手段只有在网络允许使用未经授权的外部设备的情况下才能生效。

物理上的访问与移除

虽然经济领域几乎可以完全实现数字化，但企业仍然需要考虑物理层面的数据丢失风险。内部人员可以打印出机密信息，或者将纸质文件取出。如果安全团队忽视了物理数据资源的重要性，那么窃取信息就变得非常容易了。因此，确保对敏感数据的完全掌控是非常必要的。

如何检测数据泄露？

丢失关键数据绝不是什么好事。数据泄露会导致企业声誉受损、知识产权丧失，同时还需要付出高昂的成本来应对相关法规要求。因此，企业必须学会在数据泄露发生之前就发现其潜在威胁。

安全团队可以使用多种方法来识别数据泄露攻击。其中，常见的检测方法包括：

• DNS查询监控这种技术可以帮助您检测通过DNS流量进行的数据窃取行为。监控工具能够识别出使用DNS隧道来传输数据的现象，从而将数据分解为各个网络域名。这些工具还能识别那些不寻常的域名，跟踪大量的查询请求，并参考全球威胁情报数据库来确认这些域名是否与已知的恶意网站相关联。
• 跟踪发送出去的电子邮件。扫描发往外部的电子邮件有助于检测通过附件进行的数据提取行为。监控工具能够发现数据传输中的异常现象，标记出可疑的收件人，并检查邮件中是否包含敏感信息（如个人身份信息或社会安全号码）。安全团队可以自动收到这些警报，从而快速处理相关事务并进行账户管理。
• 监控数据访问模式数据访问监控可以建立一个“正常”的基准，以评估访问请求是否出现异常情况。例如，某个数据容器可能在深夜或从不寻常的地点进行数据传输操作。这些情况都可能被视为数据泄露的风险因素。
• 分析可疑用户的行为。用户行为分析技术可以补充数据监控的功能。这种技术通过将用户的行为与正常基线进行比较，从而发现账户被劫持或存在内部威胁的情况。数据泄露通常表现为用户层面的异常行为。UEBA能够自动识别出这些可疑行为。
• 使用数据丢失预防（DLP）解决方案。DLP解决方案采用以数据为中心的方法来防止数据泄露。它们会持续监控进入和离开网络的数据流，以及本地、远程和云资源之间的数据流动情况。这些工具能够识别敏感信息的传输行为，并应用预先定义好的策略来确保数据的合理使用。

数据泄露的例子

数据泄露对所有的企业来说都是一种威胁，因此不能掉以轻心。正如一些现实中的例子所显示的那样，数据泄露不仅会破坏企业的声誉，还会造成巨大的经济损失。

Wawa：来自外部的批发客户出现了违规行为。

在2019年，这家拥有加油站和便利店业务的公司Wawa失去了来自850个地点的数据，其中包括超过3000万客户的支付信息。犯罪分子成功侵入了该公司的网络，并将数据窃取软件植入到销售终端设备中。这样一来，他们就能直接获取信用卡信息，这种状态持续了六个月之久。

纽约信用合作社：内部数据被销毁

在2021年，纽约信用合作社一名刚刚被解雇的员工试图报复她的前雇主。虽然她已经不再在该机构工作，但朱莉安娜·巴里莱仍然能够访问公司的服务器。她利用自己的特权，销毁了21GB的客户数据——这真是典型的“不满的内部员工”所带来的威胁的例子。

Cash App：客户数据被盗事件

在2021年，Cash App因为一名心怀不满的员工而丢失了820万用户的个人信息。这些被泄露的信息不仅包括用户的姓名，还包括他们的交易记录、经纪账户号码以及个人持有的资产等详细信息。

显然，这名窃贼之前也是这家公司的员工。与NYCU的情况类似，Cash App也没有及时删除那些已经过时的账户权限，最终导致数据被泄露的严重后果。