数据泄露 · 排查

在当今数字化时代，数据安全至关重要。然而，数据泄露事件却时有发生，给组织带来严重的损失。当数据泄露事件发生时，迅速、有效地进行排查至关重要。今天，我们就来深入了解一下数据泄露事件排查的总体原则与方法。

一、总体原则

二、不同类型产品日志排查

1、数据防护类产品日志排查

网络途径数据外发日志分析：对于电子邮件、即时通讯软件等通过网络途径的数据外发日志进行分析时，要重点关注被泄漏数据的特征。如果被泄漏的数据是特定格式的文档，可以在日志中查找发送了类似格式文档的记录。时间节点也是关键因素，确定数据泄露的大致时间范围后，在该时间段内查找异常的外发行为。

2、审计类产品日志排查

入侵检测类产品日志排查。提取服务器、终端、网站和应用系统的告警日志进行分析时，重点关注 SQL 注入、webshell 等可获取数据的攻击日志。SQL 注入攻击可能会导致数据库中的数据被窃取。在日志中查找包含 SQL 注入特征的记录，如异常的 SQL 语句、频繁的数据库错误等。Webshell 是一种网页后门，可以让攻击者通过网页控制服务器。排查日志中是否有与 webshell 相关的上传、执行等记录。

3、终端和服务器 /web 应用排查

终端和服务器日志等排查：对终端和服务器的日志（包括操作系统日志、中间件日志、数据库日志）、进程、脚本程序、帐号、病毒木马等进行全面排查。在日志中查找可能表明入侵行为的异常记录，如未知帐号的登录、异常的系统命令执行等。检查进程和脚本程序，看是否有可疑的进程在运行或脚本在执行可能导致数据泄露的操作。排查病毒木马，防止它们窃取数据并外传。关注异常的历史操作命令，如删除重要文件、复制大量数据等操作。

三、总结

通过对不同类型产品日志的排查以及对终端、服务器和 web 应用的全面检查，可以更全面地了解数据泄露事件的情况，初步确定数据泄露的产生原因，为后续的应急处理和防范措施提供依据。