數(shù)據(jù)泄漏事故以驚人的頻率發(fā)生，IT部門第一個想知道的事情是哪些數(shù)據(jù)丟失了，是怎樣丟失的。

　　“數(shù)據(jù)滲漏”(是指從公司網(wǎng)絡(luò)轉(zhuǎn)移敏感信息)的概念已經(jīng)逐漸成為所有數(shù)據(jù)泄漏調(diào)查的重要組成部分。不管是通過物理盜竊還是通過受感染內(nèi)部機器的數(shù)字傳輸，結(jié)果都是相同的：敏感數(shù)據(jù)丟失將為企業(yè)帶來災(zāi)難性的結(jié)果。

　　很多人使用數(shù)據(jù)丟失防護(DLP)技術(shù)來對抗這種威脅，這種技術(shù)可以在重要信息離開企業(yè)網(wǎng)絡(luò)之前幫助識別并阻止重要信息的傳輸。但是不幸的是，攻擊者往往很容易操縱、編碼或者加密信息，讓信息很容易地繞過數(shù)據(jù)丟失防護功能：看看最近為Metasploit發(fā)布的vSploit模塊中的Web_PII模塊。

　　Security Art的研究員Iftach Ian Amit在拉斯維加斯舉行的BSides大會上說到這樣一種趨勢，即越來越多的公司意識到他們易于遭受數(shù)據(jù)丟失。

　　數(shù)據(jù)滲漏是這種趨勢的核心所在。滲透測試公司現(xiàn)在的任務(wù)不僅僅是找出攻擊者可以接觸到企業(yè)數(shù)據(jù)的不同方式：企業(yè)還想知道數(shù)據(jù)從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)移出去的所有方式。

　　Amit描述了一些數(shù)據(jù)滲漏技術(shù)，這些技術(shù)雖然用法不同，但是都有相同的目標(biāo)：獲取重要數(shù)據(jù)。其中一種方法就是在將數(shù)據(jù)傳輸?shù)交ヂ?lián)網(wǎng)之前或者期間對數(shù)據(jù)進行加密，這種方法非常容易實現(xiàn)，只需要簡單地連接到支持SSL的遠程web服務(wù)器或者FTP服務(wù)器或者使用基于文件的加密方式(例如winzip、PDF等)。

　　數(shù)據(jù)被加密和編碼后，攻擊者如何將數(shù)據(jù)轉(zhuǎn)移出去呢?不要考慮電子郵箱和FTP。Amit建議使用社交網(wǎng)站發(fā)布帖子，然后稍后再獲取。在滲透測試之前，可以創(chuàng)建一個WordPress或者博客網(wǎng)站來發(fā)布信息，這樣做非常容易，并且是免費的。

　　Amit還提出了一個關(guān)于Wikipedia和wikis的有趣的問題，人們很少瀏覽的網(wǎng)頁是哪些?觀眾給出了正確答案：討論頁，這是關(guān)于wiki的討論頁面。將加密和編碼的數(shù)據(jù)放在那里，基本上很難被注意到。

　　在目標(biāo)環(huán)境外面沒有網(wǎng)絡(luò)連接的話，攻擊者會怎樣做呢?這在高度安全環(huán)境中是很常見的情況，這種環(huán)境中，內(nèi)部網(wǎng)絡(luò)是與互聯(lián)網(wǎng)隔絕的。Amit提供了三種選擇：第一種是對數(shù)據(jù)進行編碼，將數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)打印機，并期望任何看到它的人會將它當(dāng)做亂碼和垃圾。當(dāng)這個垃圾被扔到企業(yè)外面時，攻擊者就可以從垃圾箱中取回這張紙，并解碼數(shù)據(jù)。

　　第二種方法就是利用VoIP或者電話系統(tǒng)來進行數(shù)據(jù)滲漏。首席，將數(shù)據(jù)編碼為音頻數(shù)據(jù)，然后呼叫到外部的語音信息或者電話會議服務(wù)，通過電話播放音頻，并記錄下來。隨后獲取音頻，并解碼。

　　Amit開發(fā)了一個概念證明型工具來處理編碼和解碼。

　　第三種方法是利用電子郵件到傳真接口，內(nèi)部電子郵件地址收到文件后可以被傳真到任何地方。同樣的，攻擊者可以利用多功能打印機(具有直接掃描到傳真號碼或者電子郵件地址的功能)。

　　如果數(shù)據(jù)滲漏為硬拷貝形式，那么就可以直接掃描或傳真并從設(shè)備發(fā)出，Amit表示。

　　數(shù)據(jù)滲漏的方法比比皆是，這意味著根本沒有辦法可以阻止數(shù)據(jù)滲漏。對于網(wǎng)絡(luò)防護者而言，對公司的內(nèi)部網(wǎng)關(guān)實施SSL檢查可以幫助識別可疑數(shù)據(jù)傳輸。還可以配置Web/電子郵件內(nèi)容過濾器來阻止加密文件傳輸。Amit建議首先加強防御控制以解決人為因素，然后再加入技術(shù)。

　　除了進行用戶培訓(xùn)外，企業(yè)必須解決數(shù)據(jù)庫存儲位置和如何存儲的問題。如果用戶被允許在可移動載體上存儲數(shù)據(jù)，請確保他們具有數(shù)據(jù)加密工具并知道如何使用。更好的是，使用自動自我加密的閃存驅(qū)動器。

　　同時，加強對傳真機和多功能設(shè)備的控制，防止網(wǎng)絡(luò)中的任何機器連接到這些設(shè)備，并防止個人在沒有密碼的情況下走過去使用它們。

　　部署好這些控制后，再對公司資產(chǎn)進行監(jiān)控，弄清楚哪些屬于重要資產(chǎn)以及它們的存儲位置。Amit指出，沒有理由羞于監(jiān)控