現(xiàn)在是凌晨3點，你知道你的數(shù)據(jù)在哪里嗎?本文我們將探討數(shù)據(jù)滲漏問題。

數(shù)據(jù)泄漏事故以驚人的頻率發(fā)生，IT部門第一個想知道的事情是哪些數(shù)據(jù)丟失了，是怎樣丟失的。

“數(shù)據(jù)滲漏”(是指從公司網(wǎng)絡轉(zhuǎn)移敏感信息)的概念已經(jīng)逐漸成為所有數(shù)據(jù)泄漏調(diào)查的重要組成部分。不管是通過物理盜竊還是通過受感染內(nèi)部機器的數(shù)字傳輸，結果都是相同的：敏感數(shù)據(jù)丟失將為企業(yè)帶來災難性的結果。

很多人使用數(shù)據(jù)丟失防護(DLP)技術來對抗這種威脅，這種技術可以在重要信息離開企業(yè)網(wǎng)絡之前幫助識別并阻止重要信息的傳輸。但是不幸的是，攻擊者往往很容易操縱、編碼或者加密信息，讓信息很容易地繞過數(shù)據(jù)丟失防護功能：看看最近為Metasploit發(fā)布的vSploit模塊中的Web_PII模塊。

Security Art的研究員Iftach Ian Amit在拉斯維加斯舉行的BSides大會上說到這樣一種趨勢，即越來越多的公司意識到他們易于遭受數(shù)據(jù)丟失。

數(shù)據(jù)滲漏是這種趨勢的核心所在。滲透測試公司現(xiàn)在的任務不僅僅是找出攻擊者可以接觸到企業(yè)數(shù)據(jù)的不同方式：企業(yè)還想知道數(shù)據(jù)從內(nèi)部網(wǎng)絡轉(zhuǎn)移出去的所有方式。

Amit描述了一些數(shù)據(jù)滲漏技術，這些技術雖然用法不同，但是都有相同的目標：獲取重要數(shù)據(jù)。其中一種方法就是在將數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)之前或者期間對數(shù)據(jù)進行加密，這種方法非常容易實現(xiàn)，只需要簡單地連接到支持SSL的遠程web服務器或者FTP服務器或者使用基于文件的加密方式(例如winzip、PDF等)。

數(shù)據(jù)被加密和編碼后，攻擊者如何將數(shù)據(jù)轉(zhuǎn)移出去呢?不要考慮電子郵箱和FTP。Amit建議使用社交網(wǎng)站發(fā)布帖子，然后稍后再獲取。在滲透測試之前，可以創(chuàng)建一個WordPress或者博客網(wǎng)站來發(fā)布信息，這樣做非常容易，并且是免費的。

Amit還提出了一個關于Wikipedia和wikis的有趣的問題，人們很少瀏覽的網(wǎng)頁是哪些?觀眾給出了正確答案：討論頁，這是關于wiki的討論頁面。將加密和編碼的數(shù)據(jù)放在那里，基本上很難被注意到。

在目標環(huán)境外面沒有網(wǎng)絡連接的話，攻擊者會怎樣做呢?這在高度安全環(huán)境中是很常見的情況，這種環(huán)境中，內(nèi)部網(wǎng)絡是與互聯(lián)網(wǎng)隔絕的。Amit提供了三種選擇：第一種是對數(shù)據(jù)進行編碼，將數(shù)據(jù)發(fā)送到網(wǎng)絡打印機，并期望任何看到它的人會將它當做亂碼和垃圾。當這個垃圾被扔到企業(yè)外面時，攻擊者就可以從垃圾箱中取回這張紙，并解碼數(shù)據(jù)。

第二種方法就是利用VoIP或者電話系統(tǒng)來進行數(shù)據(jù)滲漏。首席，將數(shù)據(jù)編碼為音頻數(shù)據(jù)，然后呼叫到外部的語音信息或者電話會議服務，通過電話播放音頻，并記錄下來。隨后獲取音頻，并解碼。

Amit開發(fā)了一個概念證明型工具來處理編碼和解碼，點擊此處下載。

第三種方法是利用電子郵件到傳真接口，內(nèi)部電子郵件地址收到文件后可以被傳真到任何地方。同樣的，攻擊者可以利用多功能打印機(具有直接掃描到傳真號碼或者電子郵件地址的功能)。

如果數(shù)據(jù)滲漏為硬拷貝形式，那么就可以直接掃描或傳真并從設備發(fā)出，Amit表示。

數(shù)據(jù)滲漏的方法比比皆是，這意味著根本沒有辦法可以阻止數(shù)據(jù)滲漏。對于網(wǎng)絡防護者而言，對公司的內(nèi)部網(wǎng)關實施SSL檢查可以幫助識別可疑數(shù)據(jù)傳輸。還可以配置Web/電子郵件內(nèi)容過濾器來阻止加密文件傳輸。Amit建議首先加強防御控制以解決人為因素，然后再加入技術。

除了進行用戶培訓外，企業(yè)必須解決數(shù)據(jù)庫存儲位置和如何存儲的問題。如果用戶被允許在可移動載體上存儲數(shù)據(jù)，請確保他們具有數(shù)據(jù)加密工具并知道如何使用。更好的是，使用自動自我加密的閃存驅(qū)動器。

同時，加強對傳真機和多功能設備的控制，防止網(wǎng)絡中的任何機器連接到這些設備，并防止個人在沒有密碼的情況下走過去使用它們。

部署好這些控制后，再對公司資產(chǎn)進行監(jiān)控，弄清楚哪些屬于重要資產(chǎn)以及它們的存儲位置。Amit指出，沒有理由羞于監(jiān)控自己的資產(chǎn)，然后，“測試，進行更多的測試。”執(zhí)行定期測試，讓內(nèi)部員工和外部滲透測試者參與進來，可以幫助IT部門確定哪些控制沒有正確執(zhí)行，以及哪些地方需要額外的培訓。

只有你了解企業(yè)的數(shù)據(jù)流和網(wǎng)絡中的資產(chǎn)，才可能抵御數(shù)據(jù)滲漏。

【編輯推薦】

1. 數(shù)據(jù)丟失怎么辦？安全產(chǎn)品很重要
2. 邁克菲躋身“內(nèi)容感知型 DLP”魔力象限領導者地位
3. 數(shù)據(jù)泄漏事件頻繁發(fā)生 泄露途徑多樣化
4. Verizon數(shù)據(jù)泄漏報告2011：攻擊者改變他們的目標
5. DLP導入停、看、聽 成功關鍵在哪里？