“數(shù)據(jù)泄露“事件回溯：

近年來安全事件頻發(fā)：前有天涯論壇、如家漢庭、12306等大型廠商及企業(yè)數(shù)據(jù)庫被拖導(dǎo)致嚴(yán)重的用戶信息泄露事件，近有網(wǎng)易郵箱上億用戶數(shù)據(jù)疑似被拖庫：

10月19日下午，國內(nèi)最大漏洞平臺(tái)烏云稱網(wǎng)易163/126郵箱發(fā)生過億用戶數(shù)據(jù)泄露（涉及郵箱賬號，密碼，用戶密保等）

盡管針對此次網(wǎng)易郵箱數(shù)據(jù)泄露事件，網(wǎng)易方面堅(jiān)決否認(rèn)，并聲稱此次事件是由“撞庫”所致，但是依舊躲不過媒體蜂擁而至的報(bào)道。對此瀚思安全團(tuán)隊(duì)也將此次事件進(jìn)行溯源，讓用戶了解更多相關(guān)信息。

何謂”拖庫“？什么是”撞庫“？

對于這次事件，我們不難發(fā)現(xiàn)，業(yè)內(nèi)統(tǒng)一的說法是“由于拖庫引起的數(shù)據(jù)泄露事件”，而網(wǎng)易方面則聲稱是由于”撞庫“所致，那么兩者到底有什么區(qū)別呢？瀚思安全團(tuán)隊(duì)也給讀者進(jìn)行一個(gè)簡單的安全知識(shí)普及：

拖庫就是黑客直接黑進(jìn)了系統(tǒng)，能夠把里面所有的信息全部拿出來，風(fēng)險(xiǎn)是很大的；

而撞庫是說不確定這個(gè)信息，而是拿到一個(gè)信息后在不同網(wǎng)站去試，如果成功就是撞庫成功了，總歸是有一定幾率的。

事實(shí)上，我們可以看出，無論哪種，對于用戶來說結(jié)果是一樣的，因?yàn)樾畔⒁呀?jīng)被泄露了。前者意味著所有用戶郵箱的“鑰匙”已經(jīng)盡在黑客手中掌握，而后者則只是幾率問題。但按照烏云給出的說法，目前部分泄露數(shù)據(jù)已經(jīng)在互聯(lián)網(wǎng)流傳，部分已經(jīng)公布的信息中，存在多類原始信息，包括用戶密碼提示問題&答案同時(shí)泄露，這些信息很難單純由撞庫獲得。

企業(yè)及用戶數(shù)據(jù)泄露的危害

此次事件的影響之所以龐大，也是由于那號稱5億條數(shù)據(jù)的泄露。近幾年來，網(wǎng)絡(luò)安全圈內(nèi)的地下黑色產(chǎn)業(yè)鏈逐漸壯大，黑客通常用技術(shù)手段對企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊，然后實(shí)施拖庫，接下來將拖下來的數(shù)據(jù)庫里的用戶信息拿到“黑市”上賣，據(jù)稱有價(jià)值的用戶數(shù)據(jù)10000條就能賣到幾百至上千元不等的價(jià)格。這也是黑客之所以對這些知名企業(yè)的數(shù)據(jù)庫感興趣最根本的原因，因?yàn)檫@里面有巨大的利益做為驅(qū)動(dòng)。

而對于企業(yè)來說，信息泄露事件將會(huì)直接導(dǎo)致企業(yè)在公眾中的威望和信任度下降，會(huì)驅(qū)使他們改變原有選擇傾向。從這里不難推斷，信息泄密事件可能會(huì)使企業(yè)失去一大批已有的或者潛在的客戶。

在數(shù)據(jù)信息的作用與地位日益顯要的今天，數(shù)據(jù)信息的安全問題是關(guān)乎企業(yè)聲譽(yù)、公眾信任感、經(jīng)濟(jì)利益、生死存亡的問題，企業(yè)數(shù)據(jù)信息的安全程度將會(huì)影響企業(yè)的外部競爭力。

瀚思就此次事件的詳細(xì)分析

瀚思的安全研究員也對此次事件做了詳細(xì)分析：

此次事件爆發(fā)后，各大群以及微博、微信上均有業(yè)內(nèi)人員對此進(jìn)行詳細(xì)的討論，我們也發(fā)現(xiàn)某安全人員在某網(wǎng)站上傳了部分此次網(wǎng)易泄露的用戶數(shù)據(jù)，如下圖所示： 

該圖片內(nèi)容和烏云上報(bào)道的內(nèi)容一致：郵箱密碼及密保問題均是由md5加密后的密文，所以極有可能以上數(shù)據(jù)就是此次網(wǎng)易泄露的部分?jǐn)?shù)據(jù)。我們將這里面的用戶數(shù)據(jù)與之前流傳出來的經(jīng)過撞庫獲取到的明文用戶數(shù)據(jù)進(jìn)行比對，發(fā)現(xiàn)此次泄露的用戶數(shù)據(jù)與之前撞庫出來的結(jié)果并不相同，由此看出此次泄露的均為之前未被撞庫泄露過的用戶數(shù)據(jù)。而根據(jù)此次的信息泄露量來看，51.3G，5億條用戶數(shù)據(jù)，基本就可以確定此次網(wǎng)易郵箱數(shù)據(jù)泄露并非撞庫，而是情況更為嚴(yán)重的托庫！

HanSight認(rèn)為，安全無小事，從這次網(wǎng)易用戶郵箱數(shù)據(jù)泄露事件可以深刻看出核心數(shù)據(jù)的重要性，以及數(shù)據(jù)安全的重要性。

就一些大型安全事件來看，黑客的核心目標(biāo)都是在于數(shù)據(jù)庫里存放的數(shù)據(jù)，瀚思的安全產(chǎn)品能夠通過分析海量的數(shù)據(jù)庫訪問日志來找異常，Waf漏掉的，或者業(yè)務(wù)邏輯方面漏洞，我們都能根據(jù)訪問模式異常查出。能夠第一時(shí)間發(fā)現(xiàn)黑客的入侵行為。而瀚思下一代大數(shù)據(jù)安全分析平臺(tái)（HanSight Enterprise）則可以通過對大量的歷史日志信息進(jìn)行機(jī)器學(xué)習(xí)與算法分析來偵測出異常行為模式和隱藏的威脅。通過過濾和分析大而復(fù)雜的數(shù)據(jù)集，洞徹最新的安全威脅的變化。通過網(wǎng)絡(luò)行為異常檢測發(fā)現(xiàn)數(shù)據(jù)泄露。

像此次網(wǎng)易郵箱數(shù)據(jù)泄露事件，瀚思的大數(shù)據(jù)安全分析平臺(tái)能在第一時(shí)間，通過我們獨(dú)有的安全分析算法，以“可視化”的形式將信息泄露事件的發(fā)生詳情最快時(shí)間呈現(xiàn)出來。如下圖所示為瀚思大數(shù)據(jù)安全分析平臺(tái)的工作原理圖：

瀚思成立至今一直秉承“數(shù)據(jù)驅(qū)動(dòng)安全“為核心理念，我們的團(tuán)隊(duì)也成功的幫助銀行、政府等對安全級別要求非常高的企業(yè)實(shí)施了我們的產(chǎn)品。瀚思可以為企業(yè)用戶解決如下問題：

發(fā)現(xiàn)異常行為：對大量的歷史日志與安全信息進(jìn)行機(jī)器學(xué)習(xí)與算法分析來偵測出異常行為模式和隱藏的威脅，無論是外部APT攻擊，還是內(nèi)部人員泄密;

實(shí)時(shí)檢索與溯源：對所有存儲(chǔ)的海量信息進(jìn)行索引，提供類似互聯(lián)網(wǎng)搜索引擎的根據(jù)任意關(guān)鍵字定位到所有相關(guān)信息的能力;

原始記錄取證：利用分布式文件系統(tǒng)實(shí)現(xiàn)對海量安全基礎(chǔ)信息的長期存儲(chǔ)，可隨時(shí)調(diào)取;

安全態(tài)勢展現(xiàn)：結(jié)合大數(shù)據(jù)分析技術(shù)和數(shù)據(jù)可視化技術(shù)，可以通過不同維度展現(xiàn)局內(nèi)整體安全態(tài)勢。

如果企業(yè)能夠在第一時(shí)間發(fā)現(xiàn)問題，及時(shí)知道黑客的入侵行為，就能避免類似網(wǎng)易這樣的企業(yè)數(shù)據(jù)泄露事件。