閃捷信息：2022年度數據泄漏態勢分析報告（25頁）.pdf

《閃捷信息：2022年度數據泄漏態勢分析報告（25頁）.pdf》由會員分享，可在線閱讀，更多相關《閃捷信息：2022年度數據泄漏態勢分析報告（25頁）.pdf（25頁珍藏版）》請在三個皮匠報告上搜索。

1、2022年度數據泄漏態勢分析報告閃捷信息安全與戰略研究中心免責聲明 本分析報告中的數據來源于閃捷信息安全研究中心、合作伙伴、互聯網。由于樣本收集范圍所限，未必能夠反映事件的全貌，特此說明。閃捷信息根據可獲得的數據發布該分析報告，并不保證所有數據的精確和完整，報告中所包含的信息具有一定的概括性，并不能用來解決特定的安全問題。意見和結論只是在報告發布時間得出，后續的變更將不會特別通知。任何人在使用報告中的信息時，責任自負。2022年度數據泄漏態勢分析報告Contents目錄3.總結185.關于閃捷221.1 背景1.概述03031.2 報告內容說明041.3 數據來源說明054.建議194.1.對

2、數據進行分類分級保護204.2.加強全流程數據安全風險監控204.3.加強企業云上數據防護204.4.建立數據安全運營能力216.附錄23附錄A：MITRE ATT&CK框架偵察技術列表23附錄B：個人信息泄漏嚴重程度評估表23附錄C：參考來源242.數據分析062.1.數據泄漏月份占比072.2.數據安全事件類型占比082.3.數據泄漏事件動機占比092.4.數據泄漏原因占比102.5.數據泄漏的數據源占比112.6.泄漏數據類型占比122.7.數據泄漏人員類型占比132.8.數據泄漏各階段占比142.9.個人信息泄漏行業占比152.10.個人信息泄漏維度占比162.11.個人信息泄漏嚴重程

3、度占比172022年度數據泄漏態勢分析報告概述032022年伊始，國務院印發 “十四五”數字經濟發展規劃，對中國數字經濟的實施建設做出全面部署。從要素、產業、融合、治理等方面系統布局，為“十四五”時期推動數字經濟健康發展提供了重要指引。2022年4月，中央全面深化改革委員會第二十五次會議審議通過了 關于加強數字政府建設的指導意見，強調要以數字化改革助力政府職能轉變，在強化系統觀念，健全科學規范的數字政府建設制度體系的同時，要依法依規促進數據高效共享和有序開發利用，要始終繃緊數據安全這根弦，加快構建數字政府全方位安全保障體系，全面強化數字政府安全管理責任。2022年6月，中央全面深化改革委員會第

4、二十六次會議審議通過了 關于構建數據基礎制度更好發揮數據要素作用的意見。會議強調，數據基礎制度建設事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。要建立數據產權制度，推進公共數據、企業數據、個人數據分類分級確權授權使用，建立數據資源持有權、數據加工使用權、數據產品經營權等分置的產權運行機制，健全數據要素權益保護制度。要建立合規高效的數據要素流通和交易制度，完善數據全流程合規和監管規則體系，建設規范的數據交易市場。要完善數據要素市場化配置機制，更好發揮政府在數據要素收

5、益分配中的引導調節作用，建立體現效率、促進公平的數據要素收益分配制度。要把安全貫穿數據治理全過程，守住安全底線，明確監管紅線，加強重點領域執法司法，把必須管住的堅決管到位。要構建政府、企業、社會多方協同治理模式，強化分行業監管和跨行業協同監管，壓實企業數據安全責任。同期，國家市場監督管理總局、國家互聯網信息辦公室印發實施 數據安全管理認證實施規則（下稱 規則）。國家市場監督管理總局和國家互聯網信息辦公室聯合發布了 關于開展數據安全管理認證工作的公告，鼓勵網絡運營者通過認證方式規范網絡數據處理活動，加強網絡數據安全保護。規則 是落實 數據安全法 中有關國家促進數據安全認證服務發展，支持數據安全認

6、證專業機構依法開展服務活動等相關規定的具體舉措。一方面，有助于引導各方主體依法依規，有序參與和開展數據安全認證工作；另一方1.1 背景2022年度數據泄漏態勢分析報告2022年7月，國家互聯網信息辦公室公布 數據出境安全評估辦法（以下簡稱 辦法），自2022年9月1日起施行。辦法 制定出臺旨在落實 網絡安全法、數據安全法、個人信息保護法 的規定，規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，切實以安全保發展、以發展促安全。明確數據出境安全評估的具體規定，是促進數字經濟健康發展、防范化解數據跨境安全風險的需要，是維護國家安全和社會公共利益的需要，是保

7、護個人信息權益的需要。辦法 規定了數據出境安全評估的范圍、條件和程序，為數據出境安全評估工作提供了具體指引。辦法 明確，數據處理者向境外提供在中華人民共和國境內運營中收集和產生的重要數據和個人信息的安全評估適用本辦法。提出數據出境安全評估堅持事前評估和持續監督相結合、風險自評估與安全評估相結合等原則。辦法 提出了數據出境安全評估的具體要求，規定數據處理者在申報數據出境安全評估前應當開展數據出境風險自評估并明確了重點評估事項。此外，還明確了數據出境安全評估程序、監督管理制度、法律責任以及合規整改要求等。數據安全至關重要，通過對數據泄漏事件進行態勢分析，一方面可以了解數據泄漏事件的表現和特點，使社

8、會各界意識到數據安全的危害；另一方面也可以幫助組織機構洞察數據安全的規律，預判數據安全威脅的發展趨勢，對機構的決策和行業發展有一定參考意義。面，有助于通過認證鼓勵推動各方主體形成高水平的數據安全管理能力建設，培育和打造廣泛的數據安全業務基礎和生態基礎。數據安全認證工作的開展，會增強企業或組織對數據安全落地的積極性，為數據安全行業提供新的助推引擎。04本報告通過統計分析2022年國內所發生的數據泄漏事件，結合全球數據泄漏事件的趨勢，盡力為讀者呈現2022年國內數據泄漏的態勢全景。數據分析章節里，對收集的數據泄漏事件進行了多維度的統計分析，例如數據泄漏事件在時間維度上的占比、導致數據泄漏的各種原因

9、占比等。意圖使數據泄漏事件與各種因素之間的相關性得到展現。分析內容包括統計圖表展現和描述，包括趨勢、比例和排1.2 報告內容說明2022年度數據泄漏態勢分析報告名等形式。并根據統計圖表展現的內容，結合掌握的其它情報信息，進行原因分析和說明。在本報告的總結部分，概括性地敘述了數據泄漏態勢可能蘊含的信息。建議章節里，是根據分析的原因對組織機構提出降低數據安全風險的建議和措施。05本期報告分析所采用的數據來源于閃捷信息安全與戰略研究中心、合作伙伴、互聯網等。數據的整理沿用了VERIS（Vocabulary for Event Recording and Incident Shar-ing）框架。這樣

10、的收集整理工作還在持續進行中，這為后續的數據分析工作打下了基礎。VERIS框架在未來使用過程中還會不斷改進和細化，這與數據安全行業自身處在高速發展中有關。報告撰寫團隊也希望在這一過程中，能形成一個適用于國內數據安全事件記1.3 數據來源說明2022年度數據泄漏態勢分析報告數據分析06數據泄漏事件在2022年各月份的數量占比分布具有一定的波動?？紤]到數據樣本的局限性，這種波動不一定能反映真實的數值，但可以一定程度上幫助了解其規律和趨勢。對各月份數據進行線性擬合（紅色虛線），可以發現數據泄漏事件在2022年各月份的數量占比分布線性趨勢呈水平狀。這種趨勢不同于以往前低后高的增長，說明2022年上半年

11、的數據泄漏事件比往年同期更加集中。2022年2月，數據泄漏事件的數量超過全年總數的10%，很可能與俄烏戰爭的爆發有直接關系。俄烏戰爭的爆發加劇了不同陣營支持者的對立，讓全球的攻擊活動變得更加活躍。據歐盟議會Think Tank報道，俄羅斯自2月24日以來加強了網絡攻擊，通過釣魚電子郵件、分布式拒絕服務攻擊、使用數據擦除惡意軟件、后門、監控軟件和信息竊取等技術對烏克蘭IT設施進行打擊。而烏克蘭則在2月26日成立網軍（IT Army），由多國黑客組成。歐盟也啟動其網絡快速反應小組，以支持烏克蘭的網絡防御。非政府和私人參與者通過各種網絡活動支持烏克蘭。自入侵開始以來，獨立黑客發起了大量反擊，影響了俄

12、羅斯的國家、安全、銀行和媒體系統。網絡空間是繼陸、海、空、天之外，人類活動的“第五空間”。這一點在俄烏戰爭中的體2.1 數據泄漏月份占比2022年度數據泄漏態勢分析報告07現更加直接。戰爭所依賴的能源、制造、運輸和醫療，以及戰爭中的兵力、分布和作戰計劃，無一不受到網絡攻擊的威脅。沒有網絡安全就沒有國家安全，網絡空間的安全建設更加迫切緊要。數據安全事件類型目前匯集了數據泄漏、數據加密+數據泄漏、數據加密、數據損毀和數據篡改。數據加密+數據泄漏表示數據安全事件所涉及數據既發生了泄漏，也被進行了加密處理。與其它數據安全事件類型相比，單純的數據泄漏類型具有顯著高占比，占全年度所有數據安全事件的65%。

13、兼有數據加密和數據泄漏的安全事件，則占全年度所有數據安全事件的21%。與2021年相比，本報告并沒有將勒索攻擊作為一種數據安全事件類型，這是一種嘗試。主要是因為勒索并不是一種針對數據的行為，而且勒索并不能準確表達數據所面臨的安全問題，勒索攻擊的背后，可能是數據被加密，也可能是數據被泄漏，或者二者皆有。因此，防勒索方案應該包含數據防泄漏技術，從多個方面防止勒索事件的發生。數據損毀的比例偏低，與2021年相比并沒有顯著變化。主要是因為數據存儲方面的建設過程中，對數據備份容災等問題考慮得很充分，因此，這一類型的數據安全事件相比較少。2.2 數據安全事件類型占比2022年度數據泄漏態勢分析報告08不同

14、的數據泄漏事件背后，有不同的動機。以獲利為目的的數據泄漏事件占比接近80%，這說明數據泄漏事件，仍然是利益驅動。據TechRepublic統計，僅依靠銷售所竊取的數據，犯罪分子的個人年收入可以覆蓋45,000$2,500,000$的區間。全球的地下數據交易市場多達數十個。據The Conversation披露，在近八個月的時間跨度內，共有2158家供應商在30個市場上為96672個產品列表中的至少一個做了廣告。這些市場的銷售共632207筆，總收入超過1.4億美元。地下經濟使得數據泄漏行為防不勝防，巨大的利益催生了更多的數據泄漏事件。數據防泄漏將是一個系統工程，需要社會各界共同努力。2.3 數

15、據泄漏事件動機占比2022年度數據泄漏態勢分析報告09另外，接近15%的數據泄漏事件屬于竊密活動。這類數據泄漏事件同時具有長期性的特點。近年來多起APT攻擊就屬于此類型。9月份，國家計算機病毒應急處理中心發布了關于西北工業大學遭受境外網絡攻擊的調查報告。調查發現，美國國家安全局（NSA）“特定入侵行動辦公室”（Office of Tailored Access Operation，簡稱TAO）使用了40余種不同的NSA專屬網絡攻擊武器，持續對西北工業大學開展攻擊竊密，竊取該校關鍵網絡設備配置、網管數據、運維數據等超過140GB核心技術數據。在數據泄漏事件中，獲利的同時，也有表達立場主張的現象。

16、2022年2月，在俄烏戰爭爆發四天后，臭名昭著的勒索團伙Conti宣布支持俄羅斯。很快，Conti內部一名不同政見人士向公眾泄露了數萬份內部聊天記錄。文件揭示了該團伙的規模、日?；顒右约斑@家網絡犯罪“組織”的結構。在很多方面，Conti就像一家正規企業一樣運營，有薪酬和績效管理體系，甚至從合法的俄羅斯獵頭公司來尋找新員工。此次泄露還包括Conti勒索軟件的源代碼，這可能是該團伙此次泄露中最具破壞性的部分。舉報人通過其匿名推特賬戶發出的最后一條信息是支持烏克蘭的信息，證實泄密事件源于內部政治分歧。俄烏戰爭對“民間”網絡攻擊的影響遠不限于此。8月，親俄黑客組織KillNet宣布入侵了美國軍工企業洛

17、克希德馬丁公司的網站。該公司參與生產供應給烏克蘭的?，斔够鸺谙到y（HIMARS MLRS）。黑客還設法獲得了洛克希德馬丁公司求職人員的個人數據。10月，黑客組織“Joker DPR”（頓涅茲克小丑）宣稱已成功入侵烏克蘭武裝部隊(AFU)使用的所有軍事指揮和控制程序，包括可接入北約ISR系統的美國Delta數字地圖戰場指揮系統。Joker DPR宣稱已經用病毒感染了所有接入Delta系統的計算機，并且篡改了其中的數據。2022年度數據泄漏態勢分析報告102022年的數據統計表明，導致數據泄漏的原因中，內部人員和黑客攻擊所占比例大致相當，內部人員占比為41%，黑客攻擊的占比為38%，18%是數據

18、訪問憑據泄漏，10%是數據處置不當。數據泄漏可能由一種或多種原因造成，因此其占比總和是大于100%的。內部人員導致的數據泄漏，主要指內部人員完全主導，或者數據泄漏關鍵環節有內部人員參與的安全事件。美國跨國公司通用電氣（General Electric）于2022年7月獲悉，一名員工在長達八年多的時間里竊取了8000多份敏感文件。該員工說服了一名IT管理員，允許他訪問敏感信息。他竊取了這些信息，并通過電子郵件向一名同謀發送了商業敏感信息。黑客攻擊包含了網絡釣魚、APT攻擊、爬蟲及融合了數據泄漏的勒索攻擊。優步的一名員工在2022年9月的一次社會工程攻擊中成為受害者。此次攻擊的負責人解釋說，通過冒

19、充優步IT人員，多次向優步員工發出授權訪問的請求，最終成功通過了多因素認證。在這次攻擊中，優步的代碼庫、內部系統、通信渠道和云存儲都遭到了破壞。這一現象說明，相關組織機構在重要數據防護方面仍需要進一步提升內部安全意識。數據訪問憑據泄漏是指組織機構的數據訪問賬號、口令、證書等信息被泄漏。不法分子能夠通過這些訪問憑據在未經授權的情況下訪問數據。訪問憑據泄漏最常見的原因是遭受釣魚攻擊。2022年10月，多名Dropbox員工被釣魚郵件攻擊，黑客偽造CircleCI網站，2.4 數據泄漏原因占比2022年度數據泄漏態勢分析報告112.5 數據泄漏的數據源占比統計數據中，仍有少部分數據泄漏事件無法確定數

20、據源類型。在已知數據源的數據泄漏事件中，Redis占比最高，超過30%。MongoDB和ElasticSearch數據庫的占比分別為23%和19%，其余為S3和SQL類數據庫。隨著企業業務上云的普及，以及SaaS行業的日益發展，越來越多的數據存儲在云端。企業的數據不再受傳統的網絡邊界保護，這使得數據泄漏的風險驟增。據分析，Redis從而騙取了員工的憑據和多因素認證（一次性密碼）。通過泄漏的訪問憑據，黑客設法訪問了Dropbox 的一個GitHub 組織機構，從而復制了130個代碼倉庫。而暴露的源代碼中又包含了開發人員使用的某些其它憑據。數據處置不當主要是指對數據的保護措施偏離了最初的設定目標，

21、例如訪問策略配置錯誤，甚至缺失，或者安全措施并未發揮作用。2022年6月，土耳其飛馬航空公司意外地在網上暴露了2300萬個包含個人數據的文件。這起事件的起因是一名員工錯誤地配置了AWS云存儲桶。暴露的數據還包括軟件源碼、飛行數據等信息，共計6.5TB。2022年度數據泄漏態勢分析報告12沒有默認的身份驗證，并且所有數據都存儲在明文中。工作人員往往忽略文檔的提示，而將服務直接遷移到云，就出現了問題。使用MongoDB的泄漏同樣是因為安全配置的問題。MongoDB發言人曾發表評論：“我們的MongoDB數據庫是一個非常受歡迎的產品，在全球范圍內有超過100M的下載量。不幸的是，并不是每個安裝都遵循

22、最佳實踐，因此有些安裝配置不正確“。使用Elasticsearch而導致數據泄漏，64%的原因是沒有正確的安全配置，36%的原因是毫無任何防護措施。同樣，亞馬遜的S3 bucket也因為安全配置錯誤，導致了多起數據泄漏事件。2022年度數據泄漏態勢分析報告參考 網絡安全標準實踐指南網絡數據分類分級指引，個人信息可細分為個人基本信息、個人身份信息、身份鑒別信息和網絡身份標識信息等子類。2.6 泄漏數據類型占比每一個數據泄漏事件背后，都是有實際操作人員的。統計發現，內部人員導致的數據泄漏事件占比接近60%，與2021年相比，變化不大。包括主動的泄密和由于失誤造成的泄密。在主動的泄密類型中，內部人員

23、受利益驅動泄漏數據，或者被外部人員欺騙泄漏，或者對企業有不滿情緒而泄漏。失誤造成的泄密類型中，由于安全意識或者流程的問題，造成安全策略配置錯誤，例如訪問權限控制缺失、安全管控粒度粗放、賬號憑據丟失等。外部人員造成的數據泄漏超過40%。外部人員除黑客外，還包括組織機構的服務外包及供應鏈等合作方員工。黑客通常采用釣魚、SQL注入、惡意代碼、社會工程等方式竊取數據，也會通過掃描網絡，搜索任何人都可以訪問的數據庫并直接獲得數據。組織機構的合作方員工則由于熟悉環境，但又常常不在監管范圍之內，對機構的數據造成很大威脅。2.7 數據泄漏人員類型占比13簽名、IP 地址、賬戶開立時間等，在2022年泄漏數據類

24、型中的占比接近60%。隨著數字經濟的發展，網絡身份標識信息和現實身份信息的重要性將變得同等重要。身份鑒別信息指用于身份鑒別的數據，如賬戶登錄密碼、銀行卡密碼、USBKEY、動態口令、U 盾（網銀、手機銀行密保工具信息）、短信驗證碼、個人數字證書、隨機令牌等。據DARKReading透露，2022年有246億的用戶名/密碼數據在黑市流動。業務信息泛指企業機構開展業務相關的信息，包括業務記錄、合同、圖紙、源代碼和技術工藝等內容。業務信息在數據泄漏事件中占比超過10%。在MITRE ATT&CK框架中，偵察（Reconnaissance）環節是所有攻擊行為的起點，共包含10種偵察技術。泄漏的個人信息

25、和系統信息則是其中8種偵察技術的目標，也就是說，一次網絡攻擊所需要偵察的信息，80%可以從泄漏的數據中獲取。2022年度數據泄漏態勢分析報告14合作伙伴導致數據泄漏的占比在2022年有所下降，接近30%。合作伙伴導致的泄漏一般發生在提供運維服務、業務外包和供應鏈等場合，因此在選擇合作伙伴時，除了管理制度上的措施外，還應評估合作方在保護數據安全方面的資質和能力。有組織的竊密接近數據泄漏事件的20%。組織化竊密可以分為官方組織和非官方組織。據安全管理雜志披露，2022年影響力最大的黑客組織依次是Lapsus$、Conti、Lazarus Group、LockBit和REvil。另據Palo Alt

26、o Networks Unit 42的泄漏現場數據分析，2022年第一季度，LockBit占所有勒索軟件相關漏洞事件的46%。僅在2022年6月，該組織就發起了44次攻擊，成為我們今年見過的最活躍的勒索軟件。由政府支持的竊取數據行為，通常與APT攻擊關聯，由于潛伏期長，不易發現，因此占比較低。數據泄漏可以發生在其生命周期中的任何一個階段。據統計，2022年數據泄漏發生在存儲階段的占比依然最高，超過50%，與2021年相比有所上升。針對存儲階段的數據安全防護固然重要，其它階段的數據安全也需要給與同樣的重視。使用階段的數據泄漏占比超過20%，僅次于存儲階段，也屬于數據泄漏的高風險階段。數據在使用階

27、段的泄漏方式包括肩窺（shoulder surfing）、掠讀（skim）、拍照、截屏和打印等。使用階段泄漏的數據量比存儲階段泄漏的少，但是發生得非常頻繁。交換階段的數據泄漏占比超過15%。說明與合作伙伴進行數據共享交換，也容易發生數據泄漏。2.8 數據泄漏各階段占比2022年度數據泄漏態勢分析報告15個人信息泄漏最嚴重的是金融行業，占比接近30%。保險和金融部門由于其持有高敏感數據而成為最常見的目標。泄漏的原因除了外部攻擊，還包括缺乏訪問控制、非授權訪問、數據庫配置錯誤、“內鬼”和系統漏洞。2022年2月，瑞士信貸被曝發生數據泄漏，涉及18,000 多個銀行賬戶。泄漏的信息表明，瑞士信貸為被

28、指控洗錢的受制裁個人和國家元首持有價值超過 1000 億美元的賬戶。醫療行業的個人信息泄漏占比接近20%。這說明醫療行業的個人信息仍然保持著巨大的吸引力。2022年3月，Shields Health Care Group遭黑客攻擊出現嚴重數據泄漏，近200萬人受到影響。該公司位于馬薩諸塞州，提供MRI和PET/CT診斷成像、放射腫瘤、門診手術等服務。根據官方通報，黑客在3月期間訪問了公司內部服務器，可能竊取了包含用戶姓名、社會安全號、生日、住址、診斷、賬單、保險號、病歷號、患者識別碼等敏感信息。政府行業的個人信息泄漏占比為15%，也屬于個人信息泄漏的重點行業，主要是因為政府行業數據豐富且真實。

29、2022年11月，加拿大Westmount遭遇LockBit攻擊，政府的數臺服務器被加密，導致計算機故障，同時也導致14TB數據泄漏。運營商行業同樣是個人信息泄漏事件高發行業，2022年占比為10%，與2021年持平。由于運營商行業涉及的個人信息極其豐富，包括聯系方式、通訊信息、上網行為、地理位置等方面，數據泄漏能夠對社會生活造成重大影響。2.9 個人信息泄漏行業占比2022年度數據泄漏態勢分析報告16 -個人信息包含了很多維度的個人相關數據。在泄漏的個人信息中，姓名出現在86%的個人信息泄漏事件中，其次是電話號碼，泄漏的占比超過60%，第三位是電子郵件，泄漏占比超過50%，登錄憑據的泄漏占比

30、接近40%，排在第四位。個人信息的泄漏，會通過地下市場流向黑灰產業。電話號碼會被利用進行電信詐騙或者廣告騷擾，Email地址也會被用來發送釣魚郵件、惡意軟件，或者各種非法廣告，對社會造成二次危害。地下黑市甚至發明了“Fullz”這個單詞，用以描述包含“完整”個人信息的數據包，其中包含個人姓名、地址、NI號碼、駕駛執照、銀行賬戶憑證和醫療記錄等信息，以及其他細節。欺詐者利用這些信息冒充受害者，利用其財務聲譽進行身份盜竊和欺詐。2.10 個人信息泄漏行業占比2022年度數據泄漏態勢分析報告17個人信息泄漏所引起的危害嚴重程度是不一樣的，本報告嘗試對每一次個人信息泄漏事件進行危險等級評估，這有助于受

31、害者選擇不同級別的響應措施。本報告根據所泄漏個人信息的分類和分級信息，以及泄漏數據影響的人員數量，對個人信息泄漏事件進行危險等級評估，將個人信息泄漏事件的危險等級分為四等，分別是低等危害、中等危害、高等危害和嚴重危害。根據統計分析，具有中等危害的泄漏事件達到12%，低等危害的泄漏事件為19%，高等危害的泄漏事件為36%，嚴重危害的泄漏事件為26%，8%的泄漏事件由于缺乏泄漏的數據內容、規模、影響人數等信息，無法做出對應的評估。2.11 個人信息泄漏嚴重程度占比2022年度數據泄漏態勢分析報告總結18風險監測能力不足。數據泄漏事件在2022年各月份的數量占比分布具有一定的波動?？紤]到數據樣本的局

32、限性，這種波動不一定能反映真實的數值，但可以一定程度上幫助了解其規律和趨勢。對各月份數據進行線性擬合（紅色虛線），可以發現數據泄漏事件在2022年各月份的數量占比分布線性趨勢呈水平狀。這種趨勢不同于以往前低后高的增長，說明2022年上半年的數據泄漏事件比往年同期更加集中。個人信息泄漏嚴重。個人信息對于攻擊者而言就是金礦。個人信息富含社會關系、訪問憑據、健康和資產信息，包含了主體可以被進一步利用的數據，既可以在地下黑市交易，也可以為下一次攻擊提供豐富的情報。越來越頻繁的個人信息泄漏，不但對企業組織造成損失，也為社會的不安定埋下了隱患。勒索攻擊常態化。從實際情況看，在很多勒索攻擊事件中，受害者數據

33、并沒有被加密，攻擊者僅依靠所竊取的數據便開始勒索。相比較而言，加密數據需要攻擊者付出更高的成本，而竊取數據則代價更小。鑒于很多企業有備份數據，加密數據與公開被竊的數據相比反而對受害者威脅更小。因此，未來的勒索攻擊將更加常見，且主要以泄漏數據為主。員工依然是安全防護的薄弱點。除了員工惡意地實施數據泄漏之外，還有相當比例的數據泄漏與員工的疏忽和安全意識不足有關。一方面，人為錯誤直接暴露信息，另一方面，無法準確地辨識威脅使得社會工程和各種釣魚攻擊能夠得逞。泄漏的信息又增強了下一次攻擊的欺騙性，這是一個惡性循環。2022年度數據泄漏態勢分析報告建議19數據泄漏不僅僅是企業組織所面臨的風險，也是國家層面

34、開展數據治理工作所需要解決的問題之一。2022年先后通過的 關于加強數字政府建設的指導意見、關于構建數據基礎制度更好發揮數據要素作用的意見，以及 數據出境安全評估辦法 的實施，都表明了國家對數據安全的重視，強調要平衡發展和安全，維護國家安全和社會公共利益。規避數據安全風險和滿足合規要求，是保障企業正常開展業務的前提。如何合理地建設自身的數據安全能力，以較少的投入發揮出最大的價值，本報告給出了如下幾點建議：在保證業務的同時，又要保證數據安全，最好的實踐就是對數據進行分類分級保護。分類分級保護是數據安全治理的基礎，也是我國 數據安全法 中明確提出的要求。通過數據分類分級信息，機構組織能夠正確地評估

35、數據所面臨的風險，能夠根據風險的高低為不同級別數據制訂有差異化的防護策略，將有限的安全資源發揮最大價值。數據分類分級工作通常需要注意三點：一、時效性。數據分類分級的結果是用來指導數據安全保護工作的，應該保證一定的時效性，如果分類分級結果反映的是半年前，甚至一年前的情況，那么分類分級的作用就會大打折扣。二、準確性。這一點的重要程度顯而易見，但實際情況中，組織機構當前的分類分級結果質量仍有很大提升空間。采用更先進的內容識別技術，同時減少人為因素導致的錯誤，將會對提升分類分級準確性有極大幫助。三、持續性。數據資產的分類分級并不是一次性工作。一方面由于業務的驅動，企業機構的數據資產時刻都在發生變化，出

36、于安全的考慮，需要根據數據的分類分級信息定期更新數據安全策略；另一方面由于合規的要求，企業組織應定期提交包括分類分級信息的數據資產情況說明。建設持續的分類分級能力有助于企業機構以較小的投入滿足上述要求。4.1 對數據進行分類分級保護2022年度數據泄漏態勢分析報告20數據安全風險越早發現，其造成的損失就會越小。反之，無視風險的存在，甚至任由其發展，是對數據極其不負責任的行為。隨著數字經濟時代的來臨，數據的流動成為常態。風險看不見，但不代表風險不存在。數據的風險貫穿于誕生到銷毀整個生命周期，除了過去重點關注的數據存儲環節，數據使用和共享交換環節的風險也同樣驚人，因此，對數據安全的風險監控可以重點

37、考慮如下三個方面：一、安全措施稽核。主要監測數據是否按照分類分級結果進行了安全防護，例如敏感字段是否加密存儲，個人隱私是否在使用過程中脫敏，重要數據是否有訪問控制機制，數據存儲環境是否合規等。二、操作行為監測。數據操作包括數據的訪問、使用、共享等行為，數據操作日志則蘊含了豐富的線索，可以通過監測操作行為的時間、動作、IP、應用、內容、頻率等信息，識別出高風險點，幫助安全團隊采取措施減少風險。三、系統漏洞監測。定期對現有安全防護體系進行驗證，通過漏洞掃描、滲透測試等方式發現防護體系中存在的安全漏洞，及時進行風險評估和處置。4.2 加強全流程數據安全風險監控數據上云使數據資源能夠更加方便快捷的使用

38、，同時也帶來了數據泄漏的風險。這主要是因為上云后的數據脫離了傳統安全邊界的保護，且對新環境下的數據安全風險認識不足。當前非常成熟的網絡空間搜索技術，能夠在全球范圍內搜索到連接互聯網的所有數據庫，沒有實施保護措施而將數據上云，幾乎等同于直接把數據公開。因此，建議計劃數據上云的企業可以從如下四個方面考慮數據安全的防護措施：一、對上云的數據進行分類分級，識別出高風險數據，并制定有針對性的防護策略。二、對業務進行梳理，明確數據使用的場景，關閉不必要的服務，僅允許可信的訪問請求。三、建立訪問控制機制，特別是對API的訪問。需要梳理API所返回數據的敏感性，并采4.3 加強企業云上數據防護2022年度數據

39、泄漏態勢分析報告21取審計、脫敏等訪問控制措施。四、對數據進行防護的基礎上，定期巡檢自查，對安全策略和安全配置進行驗證，防止安全策略未落地，或者安全配置錯誤。通過建設流程和制度，保障企業組織的數據安全能力持續發揮作用并不斷優化。定期培訓和宣貫數據安全技能，提升員工辨識釣魚攻擊的能力。對安全產品進行預防性維護，最大限度地提高現有安全工具和措施的有效性，例如安全產品補丁和升級，更新白名單、黑名單以及安全策略。定期進行脆弱性評估，任何配置的變更都要進行評估和驗證。建立安全事件響應機制，定期演練。事后有分析和優化的流程。為防止再次發生，從事件中獲取4.4 建立數據安全運營能力2022年度數據泄漏態勢分

40、析報告關于閃捷信息22閃捷信息科技有限公司（Secsmart）是一家專注數據安全的高新技術企業，創新性提出“云管端”立體化動態數據安全理念，在業界率先將人工智能、前沿密碼技術成功應用于數據安全領域，實現對結構化和非結構化數據資產的全面防護。產品范圍涉及大數據安全、云數據安全、應用數據安全、數據防泄漏、工業互聯網安全、數據安全治理以及數據安全治理服務等，已廣泛應用于政府、電力、金融、運營商、醫療、教育等行業。閃捷信息由歸國留學人員創辦，創始團隊具備全球數據安全視野和技術實踐能力，以“讓數據資產更安全”為使命，已擁有50多項發明專利和軟件著作權，獲國家保密局、國家密碼管理局、國家信息中心、公安部等

41、權威機構認證。目前，閃捷信息已在全國設立2個研發中心和20多個分支機構，與國家應急管理部、國家互聯網應急中心、中國人民銀行、中國人保財險、國家電網、南方電網、中國電信、中國聯通、騰訊等2000多家知名單位持續合作。閃捷信息秉持“征途路上、你我同行”的企業文化，以滿足客戶需求為導向，愿與廣大合作伙伴共建數據安全生態體系，以先進技術創新為數字經濟發展保駕護航！2022年度數據泄漏態勢分析報告附錄23 附錄A：MITRE ATT&CK框架偵察技術列表附錄B：個人信息泄漏嚴重程度評估表偵察技術偵察技術子項主動掃描 收集目標主機信息 收集目標身份信息 收集目標網絡信息 收集目標機構信息 釣魚收集 搜索不

42、開放信息源 搜索開放技術數據庫 搜索開放站點/域名搜索目標站點 IP段掃描、漏洞掃描硬件信息、軟件信息、固件信息、客戶端配置搜索目標站點社交媒體、搜索引擎WHOIS、DNS/被動DNS、數字證書、CDNs、掃描數據庫威脅情報廠商、購買技術數據釣魚服務、釣魚附件、釣魚鏈接業務關系、確定物理位置、識別業務工作時間、識別角色域信息、DNS、網絡信任依賴、網絡拓撲、IP、網絡安全技術賬號憑據、郵箱地址、員工姓名泄露數量真實個人信息100萬 中高虛擬個人信息低低嚴重高2022年度數據泄漏態勢分析報告24附錄C：參考來源1.信息安全技術 網絡數據處理安全要求 GB/T 41479-2022；2.信息安全技術 個人信息安全規范 GB/T 35273-2020;3.https:/