数据安全中心数据泄漏检测可以发现和避免由于身份冒用、越权操作、违规操作、误操作、基础设施不可控、故意泄漏、配置失当、安全漏洞等引起的数据泄露事件,当异常检测上报告警后,需要根据原始日志排查相关内容的合理性。

常见数据泄露原因

在获得用户授权后,数据防泄漏检测可处理以下类型的问题:
  • 内部数据泄漏
    • 笔记本电脑和移动设备的丢失或失窃
    • 敏感数据越权访问和存储
    • 在职员工、待离职员工、合作伙伴、外包人员盗窃数据
    • 员工外发、打印和复制敏感数据
    • 意外传输敏感数据
  • 外部攻击导致的数据泄漏
    • 基础措施不可控,避免数据存储系统存在安全漏洞
    • 配置不当导致的外部攻击
    • 敏感数据越权访问和存储

操作指导

请参见以下操作指导,查看数据安全中心数据泄漏检测结果及异常检测上报的告警,根据原始日志排查相关内容的合理性。

  1. 登录数据安全中心控制台
  2. 在左侧导航栏,选择数据资产授权 > 数据资产授权
  3. 云上托管页面,添加资产授权并开启识别权限审计权限
    添加资产授权的具体操作,请参见数据资产授权资产授权
  4. 在左侧导航栏,选择数据防泄漏 > 泄漏风险告警
  5. 泄漏风险告警页面,查看异常检测上报的告警。告警
    当发现存在告警项后,单击异常事件所在行的查看详情。关注事件描述和对象信息,或单击原始日志进行评估和确定事件风险和影响。详情
  6. 排查后,在泄漏风险告警页面,单击异常事件所在行的处理,设置处理记录,单击处理完成。并可以一键设置账号封禁、IP封禁、资产配置修改等止血操作。告警
  7. 在左侧导航栏,选择设置 > 白名单
  8. 白名单页面单击新增白名单。在新增白名单页面,用户可以配置白名单,对一些资产账号加白,不进行审计和异常检测。白名单
  9. 在左侧导航栏,选择设置 > 实时邮件告警
  10. 实时邮件告警页面,单击新增告警配置。在新增告警通知配置页面,您可以配置接收邮箱,当有异常告警事件,将会第一时间收到邮件。实时告警通知

典型案例

以下案例均为产品模拟的告警截图。

配置不当风险(某金融公司)

  • 问题描述:数据安全中心检测到Bucket配置不当,在控制台和邮件中告警。
  • 排查结果:该公司安全管理员根据告警提示进入对应Bucket后,根据敏感数据识别结果 , 排查对应文件的业务情况后确定不能将文件公开,否则会导致数据泄漏。
  • 处理方法:选择将敏感文件挪出后,在OSS控制台上删除Bucket内文件或者在数据安全中心控制台泄漏风险告警页面单击异常事件所在行的处理,一键将Bucket设置为私有,避免因为Bucket公开导致的敏感数据泄漏风险。配置不当风险

误操作(某银行)

  • 问题描述:数据安全中心检测到Bucket公开,且存在AK、SK信息,在控制台和邮件中告警。
  • 排查结果:发现apk包里写入了AK、SK,且apk包在百度可以公开下载。该AK、SK权限可以访问所有的OSS Bucket,导致几百TB的数据存在数据泄漏风险。
  • 处理方法:在AccessKey管理控制台紧急停用AK、SK,修改APK程序,排除数据泄漏风险。误操作

违规操作(某互联网公司)

  • 问题描述:数据安全中心检测到UA使用异常,收到邮件告警。
  • 排查结果:查看数据安全中心日志,排查出有内部员工通过电报App将文件分享出去。
  • 处理方法:在OSS控制台将文件下载链接取消,并且编写自定义异常规则,对非常规UA下载进行预警。违规操作

身份冒用(某教育公司)

  • 问题描述:数据安全中心检测到异常地址访问。告警
  • 排查结果:经确认用户本人未进行对应操作,排查后发现地址是出口IP,出口IP无法定位到内部具体执行人。
  • 处理方法:修改配置文件中的AK后 , 在AccessKey管理控制台紧急停用AK、SK ,终止异常访问。身份冒用

突发测试(某物流公司)

  • 问题描述:数据安全中心检测到文件下载量异常。告警
  • 排查结果:员工在进行压力测试,因此产生的事件较多。
  • 处理方法:未发现违规。

合作方在家办公(某制造企业)

  • 问题描述:数据安全中心检测到文件下载量异常。告警
  • 排查结果:合作方员工在家未经审批下载了大量文件进行办公。
  • 处理方法:通过数据安全中心控制台云原生数据审计 > 原始日志页面中的审计日志持续监控后续行为,观察是否有违规行为。