?本文主要講解3個方面的內容：

• 簡單梳理2022年上半年全球最大的10起數據泄漏事件；
• 從紅藍攻防的角度去分析這些數據泄漏事件背后的原因；
• 從紅藍攻防的角度為企業如何保護好自己的數據給出幾點建議。

1.2022年全球10大數據泄漏事件

根據國內知名媒體ZDNet的報道，今年全球發生了如下10起數據泄漏事件，根據數據泄漏規模和影響力倒序排列：

NO.10 美國德克薩斯州圣安東尼奧醫療中心

• 受影響的人數：124萬

6月下旬，位于美國得克薩斯州圣安東尼奧的Baptist Medical Center醫療中心和德克薩斯州新布朗費爾斯的Resolute Health Hospital附屬醫院發生了重大的數據泄漏事件，該事件是美國衛生與公眾服務部最近追蹤到的、規模最大的數據泄漏事件之一，其中涉及到未經授權訪問高度敏感的患者數據。

NO.9 美國旗星銀行

• 受影響的人數：154萬

今年6月，位于密歇根州特洛伊的美國星旗銀行稱在去年底發生了一次重大數據泄漏事件，客戶數據被泄漏，這是該銀行發生的第二次數據泄漏事件。

NO.8 美國得克薩斯州保險部

• 受影響的人數：180萬

今年3月，美國德克薩斯州保險部的數據被泄漏，泄漏的敏感數據包括社保號碼、出生日期等個人信息。

NO.7 希爾茲醫療集團

• 受影響的人數：200萬

今年6月，總部位于美國馬薩諸塞州昆西的希爾茲醫療集團（Shields Health Care Group）數據泄漏，可能影響數十個地區醫療機構約200萬人，包括姓名、社保號碼和保險信息。

NO.6 Horizon Actuarial Services

• 受影響的人數：229萬

Horizon Actuarial是一家為美國很多工會福利計劃提供技術和精算咨詢服務的公司，黑客攻陷了這家公司內部的2臺服務器，用戶的姓名、出生日期、社保號碼和健康計劃信息遭泄漏，受影響的福利計劃包括美國職業棒球大聯盟球員福利計劃、全國冰球聯盟球員協會健康和福利基金、以及紐約時報福利協會。

NO.5 Lakeview Loan Servicing

• 受影響的人數：257萬

位于美國佛羅里達州Coral Gables的Lakeview Loan Servicing的數百萬客戶的高度敏感信息遭泄漏，在暗網掛牌銷售，該公司正面臨多起訴訟。

NO.4 Elephant Insurance Services

• 受影響的人數：276萬

今年5月，總部位于美國弗吉尼亞州Henrico的Elephant Insurance ServicesDE 數百萬客戶的保單信息被泄漏，包括姓名、駕照號碼和出生日期等信息。

NO.3 FlexBooker

• 受影響的人數：375萬

今年1月，總部位于美國俄亥俄州哥倫布市的公司FlexBooker（企業網站嵌入在線預約工具提供商）的AWS服務器遭到入侵，用戶的信用卡數據等信息遭泄漏。

NO.2 Beetle Eye

• 受影響的人數：700萬

美國的一家提供在線電子郵件營銷工具的公司Beetle Eye發生重大數據泄漏，此次事件是由于AWS S3存儲桶未進行任何加密且配置錯誤造成的，該漏洞導致Amazon S3存儲桶處于打開狀態，泄漏了大約700萬人的敏感數據。

NO.1 Cash App Investing

• 受影響的人數：820萬

今年4月，美國知名投資公司Cash App Investing的820萬客戶數據被泄漏，由一名前員工下載了公司內部的一份報告引起，泄漏的信息包含客戶的全名和經紀帳號等信息。

其實，最近還有一起數據泄漏事件比上面這10起事件還要勁爆，即歐洲某國領導人與俄羅斯總統普京的通話內容被泄漏，原因是該領導人使用的iPhone被植入了偵聽軟件。

如果仔細分析和追查這些數據泄漏的背后原因，無外乎奇安信出版的暢銷書《紅藍攻防：構建實戰化的網絡安全防御體系》中總結的10個原因。

2.導致數據泄漏的10種常見原因

NO.1 互聯網未知資產/服務大量存在

在攻防演練中，資產的控制權和所有權始終是攻防雙方的爭奪焦點。互聯網暴露面作為流量的入口，是攻擊方重要的攻擊對象。

資產不清是很多政企單位面臨的現狀。數字化轉型帶來的互聯網暴露面不斷擴大，政企機構資產范圍不斷外延。除了看得到的“冰面資產”之外，還有大量的冰面之下的資產，包括無主資產、灰色資產、僵尸資產等。

在實戰攻防演練中，一些單位存在“年久失修、無開發維護保障”的老/舊/僵尸系統，因為清理不及時，容易成為攻擊者的跳板，構成嚴重的安全隱患。 

NO.2 網絡及子網內部安全域之間隔離措施不到位

網絡內部的隔離措施是考驗企業網絡安全防護能力的重要環節。由于很多機構沒有嚴格的訪問控制（ACL）策略，在DMZ和辦公網之間不做或很少有網絡隔離，辦公網和互聯網相通，網絡區域劃分不嚴格，可以直接使遠程控制程序上線，令攻擊方可以很輕易地實現跨區攻擊。 

大中型政企機構還存在“一張網”的情況，習慣于使用單獨架設專用網絡，來打通各地區之間的內部網絡連接，不同區域內網間也缺乏必要的隔離管控措施，缺乏足夠有效的網絡訪問控制。這就導致藍隊一旦突破了子公司或分公司的防線，便可以通過內網進行橫向滲透，直接攻擊到集團總部，或是漫游整個企業內網，進而攻擊任意系統。 

NO.3 互聯網應用系統常規漏洞過多

在歷年的實戰攻防演練期間，已知應用系統漏洞、中間件漏洞以及因配置問題產生的常規漏洞，是攻擊方發現的明顯問題和主要攻擊渠道。

通過中間件來看，Weblogic、Websphere、Tomcat、Apache、Nginx、IIS都有使用。

Weblogic應用比較廣泛，因存在反序列化漏洞，所以常常會被作為打點和內網滲透的突破點。所有行業基本上都有對外開放的郵件系統，可以針對郵件系統漏洞，譬如跨站漏洞、CoreMail漏洞、XXE漏洞來針對性開展攻擊，也可以通過釣魚郵件和魚叉郵件攻擊來開展社工工作，均是比較好的突破點。

NO.4 互聯網敏感信息泄漏明顯

網絡拓撲、用戶信息、登錄憑證等敏感信息在互聯網大量泄漏 , 成為攻擊方突破點。針對暗網的調查發現，與政企機構網絡登錄憑證等相關信息的交易正在蓬勃發展。

2019 年第四季度，暗網市場網絡憑證數據的交易數量開始有所上升，出售的數量就相當于 2018 年全年的總和。2020 年第一季度，暗網市場銷售的網絡登錄的帖子數量比上一季度猛增了 69%。暗網出售的網絡登錄憑據涉及政府機構、醫療機構以及其他社會組織。

實際上，2020 年是有記錄以來數據泄漏最糟糕的一年。根據Canalys的最新報告“網絡安全的下一步”， 2020年短短12個月內泄漏的記錄比過去15年的總和還多。大量互聯網敏感數據泄漏，為攻擊者進入內部網絡和開展攻擊提供了便利。

NO.5 邊界設備成為進入內網的缺口

互聯網出口和應用都是攻入內部網絡的入口和途徑。目前政企機構的接入防護措施良莠不齊，給藍隊創造了大量的機會。針對 VPN 系統等開放于互聯網邊界的設備或系統，為了避免影響到員工使用，很多政企機構都沒有在其傳輸通道上增加更多的防護手段；再加上此類系統多會集成統一登錄，一旦獲得了某個員工的賬號密碼，藍隊可以通過這些系統突破邊界直接進入內部網絡中來。 

此外，防火墻作為重要的網絡層訪問控制設備，隨著網絡架構與業務的增長與變化，安全策略非常容易混亂，甚至一些政企機構為了解決可用性問題，出現了“any to any”的策略。防守單位很難在短時間內梳理和配置幾十個應用、上千個端口的精細化訪問控制策略。缺乏訪問控制策略的防火墻，就如同敞開的大門，安全域邊界防護形同虛設。

NO.6 內網管理設備成為擴大戰果突破點

主機承載著政企機構關鍵業務應用，需重點關注、重點防護。但很多機構的內部網絡的防御機制脆弱，在實戰攻防演練期間，經常發現早已披露的陳年漏洞未修復，特別是內部網絡主機、服務器以及相關應用服務補丁修復不及時，成為藍隊利用的重要途徑，從而順利 拿下內部網絡服務器及數據庫權限。

集權類系統成為攻擊的主要目標。在攻防演練過程中，云管理平臺、核心網絡設備、堡壘機、SOC 平臺、VPN 等集權系統，由于缺乏定期的維護升級，已經成為擴大權限的突破點。集權類系統一旦被突破，整個內部的應用和系統基本全部突破，可以實現以點打面，掌握對其所屬管轄范圍內的所有主機控制權。

NO.7 安全設備自身安全成為新的風險點

安全設備作為政企機構對抗攻擊者的重要工具，其安全性應該相對較高。但實際上安全產品自身也無法避免 0Day 攻擊，安全設備自身安全成為新的風險點。每年攻防演練都會爆出某某安全設備自身存在某某漏洞被利用、被控制，反映出安全設備廠商自身安全開發和檢測能力沒有做到位，給藍隊留下了“后門”，形成新的風險點。

2020 年實戰攻防演練中的一大特點是，安全產品的漏洞挖掘和利用現象非常普遍，多家企業的多款安全產品被挖掘出新漏洞（0day 漏洞）或存在高危漏洞。 

歷年攻防實戰演練中，被發現和利用的各類安全產品 0Day 漏洞，主要涉及安全網關、身份與訪問管理、安全管理、終端安全等類型安全產品。這些安全產品的漏洞一旦被利用，可以使藍隊突破網絡邊界，獲取控制權限進入網絡；獲取用戶賬戶信息，并快速拿下相關設備和網絡的控制權限。

近兩三年，出現了多起VPN、堡壘機、終端管理等重要安全設備被藍隊利用重大漏洞突破的案例，這些安全設備被攻陷，直接造成網絡邊界防護失效、大量管理權限被控制。

NO.8 供應鏈攻擊成為攻擊方的重要突破口

在攻防演練過程中，隨著防守方對攻擊行為的監測、發現和溯源能力大幅增強，攻擊隊開始更多地轉向供應鏈攻擊等新型作戰策略。藍隊會從IT（設備及軟件）服務商、安全服務商、辦公及生產服務商等供應鏈機構入手，尋找軟件、設備及系統漏洞，發現人員及管理薄弱點并實施攻擊。

常見的系統突破口包括：郵件系統、OA系統、安全設備、社交軟件等；常見的突破方式包括軟件漏洞，管理員弱口令等。

由于攻擊對象范圍廣、攻擊方式隱蔽，供應鏈攻成為攻擊方的重要突破口，給政企安全防護帶來了極大的挑戰。從奇安信在 2021 年承接的實戰攻防演練情況來看，由于供應鏈管控弱，軟件外包、外部服務提供商等成為迂回攻擊的重要通道。

NO.9 員工安全意識淡薄是攻擊的突破口

利用人員安全意識不足或安全能力不足，實施社會工程學攻擊，通過釣魚郵件或社交平臺進行誘騙，是攻擊方經常使用的手法。 

釣魚郵件是最經常被使用的攻擊手法之一。即便是安全意識較強的 IT 人員或管理員，也很容易被誘騙點開郵件中釣魚鏈接或木馬附件，進而導致關鍵終端被控，甚至整個網絡淪陷。在歷年攻防演練過程中，攻擊隊通過郵件釣魚等方式攻擊 IT 運維人員辦公用機并獲取數據及內網權限的案例數不勝數。

NO.10 內網安全檢測能力不足

攻防演練中, 攻擊方攻擊測試，對防守方的檢測能力要求更高。網絡安全監控設備的部署、網絡安全態勢感知平臺的建設，是實現安全可視化、安全可控的基礎。部分企業采購部署了相關工具，但是每秒上千條報警，很難從中甄別出實際攻擊事件。

此外，部分老舊的防護設備，策略配置混亂，安全防護依靠這些系統發揮中堅力量，勢必力不從心。流量監測及主機監控工具缺失，僅依靠傳統防護設備的告警去判斷攻擊、甚至依靠人工去翻閱海量的日志，導致“巧婦難為無米之炊”。

更重要的是，精于內部網絡隱蔽滲透的攻擊方，在內部網絡進行非常謹慎而隱蔽的橫向移動，很難被流量監測設備或態勢感知系統檢測。

3.保障數據不被泄漏的8個常用策略

企業內部的數據泄漏，究其原因，總結起來大致就以上這10種。對于企業或機構（紅隊：防守方）而言，如何做好防守以保證自己的數據不被泄漏呢，奇安信的這本《紅藍攻防》里也給出了8個常用策略。

NO.1 信息清理：互聯網敏感信息

攻擊隊會采用社工、工具等多種技術手段，對目標單位可能暴露在互聯網上的敏感信息進行搜集，為后期攻擊做充分準備。

防守隊除了定期對全員進行安全意識培訓，不準將帶有敏感信息的文件上傳至公共信息平臺外，針對漏網之魚還可以通過定期開展敏感信息泄漏搜集服務，能夠及時發現在互聯網上已暴露的本單位敏感信息，提前采取應對措施，降低本單位敏感信息暴露的風險，增加攻擊隊搜集敏感信息的時間成本，為后續攻擊抬高難度。

NO.2 收縮戰線：縮小攻擊暴露面

攻擊隊首先會通過各種渠道收集目標單位的各種信息，收集的情報越詳細，攻擊則會越隱蔽，越快速。此外，攻擊隊往往不會正面攻擊防護較好的系統，而是找一些可能連防守者自己都不知道的薄弱環節下手。

這就要求防守者一定要充分了解自己暴露在互聯網的系統、端口、后臺管理系統、與外單位互聯的網絡路徑等信息。哪方面考慮不到位、哪方面往往就是被攻陷的點。互聯網暴露面越多，越容易被攻擊隊“聲東擊西”，最終導致防守者顧此失彼，眼看著被攻擊卻無能為力。結合多年的防守經驗，可從如下幾方面收斂互聯網暴露面。

• 攻擊路徑梳理
• 互聯網攻擊面收斂
• 外部接入網絡梳理
• 隱蔽入口梳理

NO.3 縱深防御：立體防滲透

收縮戰線工作完成后，針對實戰攻擊，防守隊應對自身安全狀態開展全面體檢，此時可結合戰爭中的縱深防御理論來審視當前網絡安全防護能力。

從互聯網端防護、內外部訪問控制（安全域間甚至每臺機器之間）、主機層防護、供應鏈安全甚至物理層近源攻擊的防護，都需要考慮進去。通過層層防護，盡量拖慢攻擊隊擴大戰果的時間，將損失降至最小。

• 資產動態梳理
• 互聯網端防護
• 訪問策略梳理
• 主機加固防護
• 供應鏈安全

NO.4 守護核心：找到關鍵點

正式防守工作中，根據系統的重要性劃分出防守工作重點，找到關鍵點，集中力量進行防守。

根據實戰攻防經驗，核心關鍵點一般包括：靶標系統、集權類系統、具有重要數據的業務系統等，在防守前應針對這些重點系統再次進行梳理和整改，梳理得越細越好。必要情況下對這些系統進行單獨的評估，充分檢驗重點核心系統的安全性。同時在正式防守工作，對重點系統的流量、日志進行實時監控和分析。

• 靶標系統
• 集權系統
• 重要業務系統

NO.5 協同作戰：體系化支撐

面對大規模有組織的攻擊時，攻擊手段會不斷快速變化升級，防守隊在現場人員能力無法應對攻擊的情況下，還應該借助后端技術資源，相互配合協同作戰，建立體系化支撐，才能有效應對防守工作中面臨的各種挑戰。

• 產品應急支撐
• 安全事件應急支撐
• 情報支撐
• 樣本數據分析支撐
• 追蹤溯源支撐

NO.6 主動防御：全方位監控

近兩年的紅藍對抗，攻擊隊的手段越來越隱蔽，越來越單刀直入，通過0day、Nday直指系統漏洞，直接獲得系統控制權限。

紅隊需擁有完整的系統隔離手段，藍隊成功攻擊到內網之后，會對內網進行橫向滲透。所以系統與系統之間的隔離，就顯得尤為重要。紅隊必須清楚哪些系統之間有關聯、訪問控制措施是什么。在發生攻擊事件后，應當立即評估受害系統范圍和關聯的其他系統，并及時做出應對的訪問控制策略，防止內部持續的橫向滲透。

任何攻擊都會留下痕跡。攻擊隊會盡量隱藏痕跡、防止被發現。而防守者恰好相反，需要盡早發現攻擊痕跡，并通過分析攻擊痕跡，調整防守策略、溯源攻擊路徑、甚至對可疑攻擊源進行反制。建立全方位的安全監控體系是防守者最有力的武器，總結多年實戰經驗，有效的安全監控體系需在如下幾方面開展：

• 自動化的IP封禁
• 全流量網絡監控
• 主機監控
• 日志監控
• 蜜罐誘捕
• 情報工作支撐

NO.7 應急處突：完備的方案

通過近幾年的紅藍對抗發展來看，紅藍對抗初期，藍隊成員通過普通攻擊的方式，不使用0day或其他攻擊方式，就能輕松突破紅隊的防守陣地。

但是，隨著時間的推移，紅隊防護體系早已從只有防火墻做訪問控制，發展到現在逐步完善了WAF、IPS、IDS、EDR等多種防護設備，使藍隊難以突破，從而逼迫藍隊成員通過使用0day、Nday、現場社工、釣魚等多種方式入侵紅隊目標，呈無法預估的特點。

所以應急處突是近兩年紅藍對抗中發展的趨勢，同時也是整個紅隊防守水平的體現之處，不僅考驗應急處置人員的技術能力，更檢驗多部門（單位）協同能力，所以制定應急預案應當從以下幾個方面進行：

• 完善各級組織結構，如監測組、研判組、應急處置組（網絡小組、系統運維小組、應用開發小組、數據庫小組）、協調組等。
• 明確各方人員，在各個組內擔任的職責，如監測組的監測人員，負責某臺設備的監測，并且7×12小時不得離崗等。
• 明確各方設備的能力與作用，如防護類設備、流量類設備、主機檢測類設備等。
• 制定可能出現的攻擊成功場景，如Web攻擊成功場景、反序列化攻擊成功場景、Webshell上傳成功場景等。
• 明確突發事件的處置流程，將攻擊場景規劃至不同的處置流程：上機查證類處置流程、非上機查證類處置流程等。

NO.8 溯源反制：人才是關鍵

溯源工作一直是安全的重要組成部分，無論在平常的運維工作，還是紅藍對抗的特殊時期，在發生安全事件后，能有效防止被再次入侵的有效手段，就是溯源工作。

在紅藍對抗的特殊時期，防守隊中一定要有經驗豐富、思路清晰的溯源人員，能夠第一時間進行應急響應，按照應急預案分工，快速理清入侵過程，并及時調整防護策略，防止再次入侵，同時也為反制人員提供溯源到的真實IP，進行反制工作。

反制工作是紅隊反滲透能力的體現，普通的防守隊員一般也只具備監測、分析、研判的能力，缺少反滲透的實力。這將使防守隊一直屬于被動的一方，因為紅隊沒有可反制的固定目標，也很難從成千上萬的攻擊IP里，確定哪些可能是攻擊隊的地址，這就要求紅隊中要有經驗豐富的反滲透的人員。

經驗豐富的反滲透人員會通過告警日志，分析攻擊IP、攻擊手法等內容，對攻擊IP進行端口掃描、IP反查域名、威脅情報等信息收集類工作，通過收集到的信息進行反滲透。紅隊還可通過效仿藍隊社工手段，誘導藍隊進入誘捕陷阱，從而達到反制的目的，定位藍隊自然人身份信息。

限于篇幅，以上8種防守策略的細節并沒有展開，只給出了大致的思路，如果你想了解策略的具體內容，可以閱讀《紅藍攻防》這本書。

道高一尺，魔高一丈，網絡攻防是沒有硝煙和終局的戰爭，要保障信息的安全，我們應該時刻保持警惕，從策略、技術、人才等各方面做好準備。

本文部分內容摘編自《紅藍攻防：構建實戰化網絡安全防御體系》（ISBN：978-7-111-70640-3），經出版方授權發布。?