2021年度数据泄漏态势分析报告

闪捷信息安全与战略研究中心2022年3月数据泄漏态势分析报告2021 免责声明 本分析报告中的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网。由于样本收集范围所限，未必能够反映事件的全貌，特此说明。 闪捷信息根据可获得的数据发布该分析报告，并不保证所有数据的精确和完整，报告中所包含的信息具有一定的概括性，并不能用来解决特定的安全问题。意见和结论只是在报告发布时间得出，后续的变更将不会特别通知。任何人在使用报告中的信息时，责任自负。 01概述数据来源说明1.32.12.22.32.44.14.24.34.46.12.52.62.72.82.92.102.11数据分析总结建议关于闪捷附录背景1.11.2 报告内容说明数据泄漏月份占比数据安全事件类型占比数据泄漏事件动机占比数据泄漏原因占比数据泄漏的数据源占比泄漏数据类型占比数据泄漏人员类型占比数据泄漏各阶段占比加强全流程数据安全风险监控加强企业云上数据防护数据防泄漏与数据防勒索并重对数据进行分类分级保护附录A：MITRE ATT&CK框架侦察技术列表6.2 附录B：个人信息泄漏严重程度评估表6.3 附录C：参考来源5.1 公司介绍个人信息泄漏行业占比个人信息泄漏维度占比个人信息泄漏严重程度占比0203040506Contents目录01031415171802010103040506070809101515161618181917111213 2021 年是十四五规划的开局之年，依据《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》，“ 十四五 ”期间会注重数字经济发展，以数据为关键要素，以数字技术与实体经济深度融合为主线，加强数字基础设施建设，完善数字经济治理体系，协同推进数字产业化和产业数字化，赋能传统产业转型升级，培育新产业新业态新模式，不断做强做优做大我国数字经济，为构建数字中国提供有力支撑。 数字经济的健康发展，离不开数据安全的保驾护航。2021 年，《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》和《关键信息基础设施安全保护条例》相继在下半年施行，数据安全行业迈入了有法可依的时代。 数据安全至关重要，通过对数据泄漏事件进行态势分析，一方面可以了解数据泄漏事件的表现和特点，使社会各界意识到数据安全的危害；另一方面也可以帮助组织机构洞察数据安全的规律，预判数据安全威胁的发展趋势，对机构的决策和行业发展有一定参考意义。 本报告通过统计分析 2021 年国内所发生的数据泄漏事件，结合全球数据泄漏事件的趋势，尽力为读者呈现 2021 年国内数据泄漏的态势全景。 数据分析章节里，对收集的数据泄漏事件进行了多维度的统计分析，例如数据泄漏事件在时间维度上的占比、导致数据泄漏的各种原因占比等。意图使数据泄漏事件与各种因素之间的相关性得到展现。分析内容包括统计图表展现和描述，包括趋势、比例和排名等形式。并根据统计图表展现的内容，结合掌握的其它情报信息，进行原因分析和说明。在本报告的总结部分，概括性地叙述了数据泄漏态势可能蕴含的信息。建议章节里，是根据分析的原因对组织机构提出降低数据安全风险的建议和措施。Overview概述011.2 报告内容说明1.1 背景01 1.3 数据来源说明02 本期报告分析所采用的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网。数据的整理沿用了 VERIS（Vocabulary for Event Recording and Incident Sharing）框架。这样的收集整理工作还在持续进行中，这为后续的数据分析工作打下了基础。VERIS 框架在未来使用过程中还会不断改进和细化，这与数据安全行业自身处在高速发展中有关。报告撰写团队也希望在这一过程中，能形成一个适用于国内数据安全事件记录的框架，欢迎读者为报告撰写团队提供有建设性的指导意见。 数据泄漏事件在 2021 年各月份的占比具有一定的波动，考虑到数据样本的局限性，对这种波动不做解读。对各月份数据进行线性拟合（红色虚线），可以发现数据泄漏事件的整体趋势是逐月不断增长的，在 2021 年下半年有较高的占比。这种趋势符合数据泄漏事件不断增长的宏观态势。 数据泄漏事件在下半年有较高的占比，与《数据安全法》、《个人信息保护法》等法律法规应该有密切关系。数据安全相关的法律条文和规范，将数据的安全级别做出了较清晰的划分，使得前期不被重视，或者没有意识到的情景也纳入了数据泄漏的范畴。例如数据出境，特别是非国产医疗设备、或者非国产工程机械装备向境外传输数据。这一类设备出于管理维护的需要，或者提供增值服务的需要，会收集境内数据传输到境外。在早期数据安全意识薄弱的阶段，这种数据泄漏并未被严肃对待，但随着相关法律规范的出台，这种数据泄漏被大量发现。以医疗行业为例，根据 2021 年 3 月 1 日生效的《刑法修正案（十Data Analysis数据分析2.1 数据泄漏月份占比0302 数据安全事件类型目前汇集了数据泄漏、勒索攻击+数据泄漏、勒索攻击、数据损毁和数据篡改。勒索攻击+数据泄漏表示数据泄漏事件同时存在勒索攻击行为。 与 2020 年相比，2021 年数据泄漏所占比例进一步上升，超过了数据安全事件的80%。勒索攻击 + 数据泄漏事件的占比接近 40%。 勒索攻击事件中，以公开敏感数据为要挟，似乎比加密受害者的数据更有杀伤力，很多场景中，受害者能够承受业务的短暂中断，却不能接受敏感数据被公开。也许，勒索攻击的定义会被扩展。勒索是一种获利的方式，其筹码可能是加密的数据，也可能是泄漏的数据，甚至有可能是其它方式。因此，防勒索方案应该包含数据防泄漏技术，从多个方面防止勒索事件的发生。 一）》以及 2021 年 4 月 15 日生效的《生物安全法》，违反相关规定向境外提供我国人类遗传资源或非法携带我国人类遗传资源出境的，可能面临数额较大的罚款及刑事处罚。 事实上，在航空、能源、矿产、医疗、教育和制造业中存在大量非国产电子设备，例如民航客机的机载无线电系统会对航路上的风速、高度、湿度和经纬度进行细致的采集。这样的信息是否涉及数据出境，需要各行业高度重视。2.2 数据安全事件类型占比04 数据损毁的比例偏低，与 2020 年相比并没有显著变化。主要是因为数据存储方面的建设过程中，对数据备份容灾等问题考虑得很充分，因此，这一类型的数据安全事件相比较少。 数据篡改的占比最少，主要是因为此类型的活动实施成本高，且并没有直接的回报，更多是一种恶作剧，或者炫耀实力的方式。2.3 数据泄漏事件动机占比05 不同的数据泄漏事件背后，有不同的动机。以获利为目的的数据泄漏事件占比接近80%，这说明数据泄漏事件，仍然是利益驱动。据不完全统计，全球的地下市场数据交易，几乎有近 70% 的交易行为与个人信息有关。在暗网的交易记录中，账户余额 5000 美元左右的信用卡信息，单条售价是 240 美元，被黑掉的 WestStein Mastercard 信用卡账号信息可以高达 710 美元，而 eBay 上有较高信誉的账号，售价则超过了 1000 美元。地下经济使得数据泄漏行为防不胜防，巨大的利益催生了更多的数据泄漏事件。数据防泄漏将是一个系统工程，需要社会各界共同努力。 另外，接近 15% 的数据泄漏事件属于窃密活动。这类数据泄漏事件同时具有长期性的特点。近年来多起 APT 攻击就属于此类型。12 月初中国台湾地区的网络攻击组织“ 绿斑”在2021年持续对中国大陆发动攻击活动，从攻击目标地域分布来看，北京位居首位，其次是福建省。主要针对高校、政府部门、航天航空、军事相关科研机构进行攻击，目标是 2.4 数据泄漏原因占比06 2021 年的数据统计表明，导致数据泄漏的原因中，内部人员和黑客攻击所占比例大致相当，内部人员占比为 42%，黑客攻击的占比为 39%， 16% 是对数据的越权访问，10% 是数据处置不当。 内部人员导致的数据泄漏发生在各个行业。在政府、金融、医疗、运营商和教育行业的个人信息泄漏尤为突出。这一现象说明，相关组织机构在重要数据防护方面仍需要进一步提升。内部人员能够有机可乘，则说明违法的成本远远小于获得的利润。窃取高价值数据和机密信息。 在数据泄漏事件中，获利的同时，也有表达立场主张的现象。2021 年 8 月，美国电信运营商 T-Mobile 生产环境被攻击，超 106GB 敏感数据失窃。卖家在地下论坛上开出 6枚比特币的售价，约 27 万美元，购买者可以得到包含 3000 万个社保号码与驾照数据的信息子集。威胁情报公司 Hudson Rock 的 CTO Alon Gal 表示，攻击者的这次行动是为了进行报复，打击美国的基础设施。卖家在线上交流中曾表示，此次违规行为是为了报复美国中央情报局和土耳其情报人员 2019 年在德国绑架和拷问 John Erin Binns。 07 黑客攻击包含了网络钓鱼、APT 攻击、爬虫及融合了数据泄漏的勒索攻击。近年来，黑客攻击在供应链环节的入侵持续增长。据报道，SITA（全球信息技术公司）宣布服务器被黑客入侵，该公司管理着全球主要航空公司（超过 400 家航空公司，包括星空联盟和OneWorld 会员）的机票处理和旅客数据。攻击者使用了“ 高度复杂 ”的攻击手段，导致全球多家知名航空公司和航旅企业的顾客数据遭泄漏。 越权访问是指组织机构的数据访问行为并没有按照“ 最小权限原则 ”进行。可能的原因是数据安全策略制定不合理，或者是缺乏有效的访问控制措施。2021 年 7 月，日本电子元件制造商村田 (Murata) 的一名员工未经许可将业务合作伙伴信息和个人信息在内的项目管理数据下载到企业计算机，并上传到云端个人账户，其中包含该公司员工和业务合作伙伴的银行账户信息。 数据处置不当主要是指对数据的保护措施偏离了最初的设定目标，例如访问策略配置错误，甚至缺失，或者安全措施并未发挥作用。2021 年 11 月，WiFi 软件管理公司WSpot 披露发生数据安全事件，或涉及数百万客户信息。据报道，安全研究公司 Safety Detectives 首先发现了 WSpot 有一个配置错误的 Amazon Web Services S3 存储桶，该存储桶未受保护且对公众开放，这导致了 10 GB 的访问者数据暴露。据悉，在这次数据泄漏中，大约有 226000 个文件被暴露，泄漏的信息包括连接到 WSpot 客户端公共 WiFi 网络至少 250 万用户的个人详细信息。2.5 数据泄漏的数据源占比 08 统计数据中，仍有近半数的数据泄漏事件无法确定数据源类型。在已知数据源的数据泄漏事件中，Elasticsearch 占比最高，达到 25%，S3 bucket 和 SQL 数据库的占比分别为 9% 和 6%，其余为 Azure、Git 和 BlueKai 这一类云端存储。 随着企业业务上云的普及，以及 SaaS 行业的日益发展，越来越多的数据存储在云端，企业的数据不再受传统的网络边界保护，这使得数据泄漏的风险骤增。据分析，使用Elasticsearch 而导致数据泄漏，64% 的原因是没有正确的安全配置，36% 的原因是毫无任何防护措施。同样，亚马逊的 S3 bucket 也因为安全配置错误，导致了多起数据泄漏事件。 在所有数据泄漏事件中，泄漏数据包含个人信息的占比超过 60%，居首位。个人信息可细分为个人自然信息、个人行为信息、个人身份鉴别信息和个人关系信息等子类。其中，个人自然信息包括基本信息