什么是数据泄露

数据泄露是一种安全事件，导致机密信息或敏感数据被盗、泄露、被未经授权的个人访问，或者被公开披露。造成数据泄露的原因可能包括系统漏洞、不安全的办公方式、随意下载安装软件、使用不安全的第三方供应商等。

数据泄露通常是外部人员侵入网络以获取敏感数据或用户凭据的结果。数据泄露包括通过物理手段丢失数据，例如丢失打印文件或草稿、通知、U盘、笔记本电脑、手机等，或通过电子手段，例如从服务器或数据库丢失数据。随着越来越多的组织适应混合工作并将其数据有效负载转移到云中，通过电子方式造成数据泄露变得更加普遍。

数据泄露是如何进行的

数据泄露从攻击者破坏组织的安全框架开始，到攻击者从组织的服务器或数据库窃取数据结束。

• 在组织的安全层中寻找漏洞，并将恶意软件插入链接到公司网络的一个或多个端点中。
• 执行数据发现（识别和定位敏感信息），以定位目标数据。
• 部署数据泄露技术，将数据从组织的安全边界中吸走。通常，被盗数据会进行出售，或者用来向组织索要赎金。

如何发现或防止数据泄露

数据泄露很难发现，因为导致实际泄露的事件往往隐藏在合法的日常操作背后。以下是帮助管理员发现或防止数据泄露的几种方法：

• 跟踪网络进出流量
• 人员网络安全培训
• 监控来自特权帐户的密码重置请求
• 跟踪访问的特权帐户
• 非工作时间的用户登录模式

跟踪网络进出流量

在任何组织中，数据在网络之间频繁移动是很普遍的，攻击者通常是在短时间内窃取数据，而不是一次性全部窃取，这使得检测数据泄露变得很困难，因为它很好地隐藏在常规网络流量模式之后。但是，通过仔细监视网络流量，可以捕捉到数据移动中的小峰值，尽管监控大量用户的网络流量不是一件容易的事，但是单独监控每个部门的进出流量可以帮助管理员发现异常情况。

人员网络安全培训

人为错误是数据泄露等网络攻击的一个重要的原因，根据调查，大多数的网络攻击是由人为错误造成的。有时，员工可能会无意中为黑客打开一个入口，为了防止此类事件的发生，教育员工应对常见的威胁和黑客技术是很重要的，这包括跟踪完成安全培训的员工百分比，并要求其余员工完成安全培训。

监控来自特权帐户的密码重置请求

特权帐户是可以访问组织敏感数据、网络和关键系统的主密钥，这也使它们容易成为攻击者的目标。攻击者会不断寻找特权账户的漏洞，一旦获得了对特权帐户的访问权限，他们就很容易渗透到其他特权帐户中。保护特权帐户的安全至关重要，管理员可以通过监控来自特权账户的密码重置请求并观察峰值来实现这一点。

跟踪访问的特权帐户

密切关注谁有权访问特权帐户并授予对特权帐户的有限或临时访问权限，管理员还可以跟踪特权用户的活动状态，并撤销对非活动用户的访问权限。对于已激活但三个月以上未访问的用户帐户，可以撤销访问以确保安全。

非工作时间的用户登录模式

识别可能的网络攻击的{BANNED}最佳佳方法来自异常的登录尝试。例如，当员工在非工作时间登录并试图访问文件时，它可能是攻击者的可能性很高。在非工作时间监控异常登录模式并观察用户活动可以保护组织免受此类威胁，尽管并非所有非工作时间登录都表明存在安全威胁，但是监控非工作时间登录并寻找潜在威胁是很重要的。

使用数据泄露预防 （DLP） 工具保护数据

使用 DataSecurity Plus 的数据泄露预防（DLP）工具帮助管理员保护端点设备，保护敏感数据免遭泄露或被盗，以{BANNED}最佳大限度地减少数据泄露的可能性。

数据泄露保护

• 通过使用阻止列表来限制未经审查的设备，确保在组织中仅使用安全的可移动存储设备。
• 通过阻止对 USB 设备以及跨本地和网络共享的高风险文件复制活动，避免数据泄露。
• 精细控制各种终端节点设备的使用，包括 Wi-Fi、蓝牙、CD/DVD 驱动器等。
• 防止包含高度敏感数据（如 PII 或 ePHI）的文件通过电子邮件作为附件共享。
• 发现异常用户行为的实例，并阻止文件通过外部存储设备被泄露。
• 删除或隔离文件、停止 USB 数据传输或从其他预定义的主动补救措施中进行选择以防止数据泄露。

外部设备保护

• 审核和报告可移动存储设备的使用情况以及与它们之间的所有数据传输活动。
• 对外部存储设备实施选择性控制，例如启用对可疑设备的只读访问、阻止可执行文件在 USB 上运行等。
• 使用阻止列表来指定和分类哪些设备不应该使用，减少攻击面。
• 锁定外围设备端口以响应恶意用户行为并防止潜在的数据泄露活动。
• 了解谁在何时何地将什么设备连接到组织的端点。
• 监控和分析何时将任何关键文件复制到可移动存储设备或从可移动存储设备复制。

自动化事件响应

• 当用户通过 USB 端口移动受限内容时，立即锁定 USB 端口。
• 使用预定义的补救选项（包括删除和隔离文件的选项）查看和解决关键安全事件。
• 通过在初始阶段隔离受勒索软件感染的端点，快速检测和遏制勒索软件攻击，并通过定义的即时告警获得通知。
• 在选择修复计划之前，请调查告警并分析检测到的安全问题的有效性、上下文、损害范围和严重性。
• 使用各种预定义 DLP 策略，通过跟踪入侵指标来检测和缓解关键安全问题。
• 启用屏幕弹出消息，通知并警告用户严重的策略违规行为。

内容感知保护

• 定义哪些文件和文件夹可以通过端点共享，哪些设备应该被限制使用，等等。
• 将数据发现与DLP功能集成，以保护和分析包含个人数据（PII/ePHI/PCI）的文件，以及所有者、{BANNED}最佳后访问者等详细信息。
• 根据文件的敏感性将文件分为公共、私人、机密或限制等类别，以帮助保护有风险的机密文件。
• 为组织的敏感数据确定并实施适当的安全级别，并遵守合规性。
• 监控对业务关键内容的所有访问和修改。检测文件复制、删除或重命名活动的突然峰值，因为它们表明文件可能被篡改。
• 从一个集中位置定义、部署和管理各种数据丢失预防（DLP）策略。

工作站安全审计

• 实时审核 Windows 终端节点中的所有文件访问和修改，包括创建、删除、重命名、权限更改等。
• 检查电子邮件活动并捕获有关电子邮件发送者、收件人、附件和主题、时间和位置的信息。
• 对跨网络共享、工作站和外部存储设备的文件复制和粘贴活动保持详细的审计跟踪。
• 通过监控对重要系统文件、程序文件等进行的高风险修改并发出告警，确保其完整性。
• 通过浏览器收集有关所有文件活动的详细信息，例如员工可能上传和下载的操作。

云数据安全性

• 通过实施严格的URL过滤，限制员工访问不安全的Web内容，如恶意软件、网络钓鱼、间谍软件等。
• 审核影子云应用程序的使用情况以及访问它们的主要设备，以仔细检查它们对组织安全构成的风险。
• 通过Web应用程序（如SharePoint， Exchange, OneDrive, DropBox， Box等）跟踪数据共享模式，并详细了解谁在何时何地提出请求。
• 查看访问组织内已批准和未批准的云应用程序的失败尝试。
• 分析对未加密、被禁止或声誉不佳的云应用程序发出的请求，寻找滥用和泄露的迹象。
• 规范不需要的 Web 服务的使用，并禁止社交媒体、视频流、在线游戏等消耗生产力的云应用程序。

组织应该时刻关注网络安全威胁，跟踪每个可能的攻击入口是保护敏感数据的关键。封闭所有安全漏洞，并定期检查安全边界，防止未经授权的进入或企图进入。{BANNED}最佳后，教育企业员工时刻保持警惕，使用安全的网络登录，选择多因素身份验证，并遵循其他安全实践。