最后更新于2023年3月16日星期四17:18:06 GMT

数据泄露是指在组织网络上发生的未经授权的数据移动或传输. 当恶意行为者获得访问公司网络的权限,意图窃取或泄露数据时,就会发生这种情况.

数据泄露也可以通过内部参与者意外地将数据移出网络来实现, 将公司文件上传到他们的个人云上,或者故意泄露损害组织的信息.

识别这种网络风险对于确保组织的网络安全至关重要.

当然,攻击者使用多种方法

有些人使用网络钓鱼诈骗来诱骗用户将个人登录信息输入欺骗域,以便他们可以使用适当的凭据渗透到网络中. 一旦进入网络, 恶意行为者可以使用远程桌面将他们正在搜索的文件发送到网络外部, SSH, 等.

另一种方法? 忽略网络的安全控制. 例如, 员工可能下载未经授权的软件以方便使用, 但无意中允许第三方访问本不打算离开网络的敏感信息. 人们可能会使用个人账户和设备来完成与工作相关的任务,因为这很容易. 恶意的内部参与者还可以绕过安全控制,将信息泄露到网络外部.

随着许多组织转向混合工作模式, 防止数据泄露比以往任何时候都更加重要, 有意或无意. 这可以通过教育员工在网络内外的数据使用和数据共享方面的适当行为来实现. 关于攻击者可能用来窃取其凭证的常见攻击媒介的教育也将帮助您的员工保持您的网络安全. 另外, 了解哪些设备可以访问您的网络将使您更容易监控数据泄露是否即将发生. 最后,根据员工的功能分配某些特权会有所帮助.

能够检测数据泄露对于组织的环境非常重要,并且对于组织的安全状态至关重要. 我们的新发现之一, 异常数据传输, 为您提供对网络中可能发生的数据泄露事件的可见性.

检测异常数据传输的Rapid7s方法

异常数据传输是一种利用网络流数据的InsightIDR检测, 由洞察网络传感器生产, 识别和标记异常的数据传输和行为. 该检测识别出网络外资产发送的异常大量数据传输, 并输出数据泄露警报.

该模型根据每项资产超过30天的活动期动态地派生出一个基线, 每一个小时, 是否会输出与基线相比异常高的网络活动作为进一步调查的候选. 这个过程有效地起到了过滤器的作用, 将数百万个网络连接减少为几个候选警报,以引起安全分析师的注意.

每个候选警报中都包含进一步的上下文信息,以帮助安全团队就如何调查可能发生的数据泄露做出明智的决定.

用户可以通过进入Managed detection来调整异常数据传输警报所显示的异常. 用户可以通过以下属性调整异常数据传输的异常规则:组织, 证书, “源IP/子网”. 这使得分析人员可以专注于针对其组织环境量身定制的警报.