佛系随性笔记，记录最好的自己！

01

—

什么是数据泄露？

数据泄露是指机密、敏感或其他受保护信息被未经授权的个人获取的事件。犯罪者通常以组织为目标，以获取其员工和客户的个人数据（社会安全号码、银行账户信息、医疗信息）或公司数据（知识产权、财务数据）。

举个栗子：就像是你的秘密不小心被别人知道了。比如，你的个人信息、公司的秘密或者重要的资料，被不该知道的人看到了或者拿走了。这通常是因为网络安全没做好，或者内部有人不小心或故意泄露出去。这种情况可能会让你的隐私受到侵犯，或者让公司损失money，甚至还要进去蹬缝纫机。

02

—

数据泄露的影响

首先，机密信息泄露可能导致经济损失。根据 IBM 的《2023 年数据泄露成本报告》，2023 年全球数据泄露的平均成本为 445 万美元，比 2022 年高 2.3%，比 2020 年高 15.3%。此外，数据泄露的间接成本可能要高得多，具体取决于弥补损失所需的时间、精力和资源。

数据泄露的平均成本-图1

数据泄露的后果主要有这么几点：

1、赔钱：公司可能得赔客户、交罚款，还得出钱修系统漏洞。

2、客户跑光：大家一听说信息不安全，可能就转投别人家了。

3、名声扫地：泄露事件一出，公司名声大损，以后想翻身都难。

4、法律麻烦：可能会被起诉，得交大额罚款。

5、内部乱成一锅粥：员工可能也对管理层不信任了。

6、业务停摆：系统可能因为安全问题直接瘫痪，影响正常工作。

7、个人隐私被侵犯：个人的隐私信息一旦泄露，后果不堪设想。

企业和个人都得加强数据保护，比如给数据加密，严格控制谁可以看数据，还要培训员工怎么保护数据，万一出事了还得有应急计划。

03

—

什么是数据泄露响应与调查

数据泄露事件响应是处理和管理数据泄露后果的系统方法。目标是以最大限度减少损害并减少恢复时间和费用的方式解决问题。数据泄露调查是数据泄露响应的重要组成部分。其目标是查明泄露事件的相关情况，评估其造成的损失，并根据调查结果制定进一步的行动计划。

下图概述了处理事件的四个主要步骤：

数据泄露的处理步骤-图2

为了最大限度地减少潜在泄露造成的损害，需要在数据泄露发生之前就确定响应和调查步骤。也就是为什么制定可行的计划是实施有效数据泄露事件响应的第一步。

04

—

如何制定数据泄露响应计划

数据泄露响应计划（或数据泄露响应指南）是一个框架，它定义了组织中参与处理数据泄露的人员的角色以及发生数据泄露时他们需要采取的步骤。

在继续了解如何创建数据泄露响应计划以及它应包含哪些内容之前，先看看为什么制定一个数据泄露响应计划至关重要。

制定数据泄露应对计划的重要性 制定数据泄露响应清单或计划可让您的组织迅速有效地缓解数据泄露，最大限度地减少其影响。特别是，经过深思熟虑的数据泄露响应计划可以帮助您：

计划的重要性-图3

制定数据泄露响应计划（这个详细的后面再写一篇）时，包含以下信息： 

• 数据泄露的明确定义，可能有助于员工检测数据泄露的指标 

• 事件响应团队（IRT）成员列表，其中明确了角色和职责 

• 处理数据泄露的流程步骤，例如遏制、根除和恢复，以及 IRT 在每个步骤中需要采取的行动 

• 用于预防和检测数据泄露的任何技术手段的描述及其使用说明 

• 管理层、监管机构和调查员的紧急联系方式，以及何时需要联系他们 

• 如何将数据泄露与监管机构、受影响方、客户和媒体联系起来的说明 

• 记录数据泄露，以供进一步分析和评估的指南 

尝试让组织中不同部门的人员参与数据泄露响应规划过程。考虑各种观点可以帮助您制定更全面、更有效的计划。 

现在我们了解了数据泄露响应计划的重要性和基本要素，接下来就是数据泄露响应的最佳实践。通过一系列关键步骤概述这些实践。

05

—

数据泄露响应和调查的 8 个关键步骤

尽管数据泄露背后的原因可能有所不同，但在应对和调查网络安全事件时都需要采取严格的安全措施。

数据泄露响应和调查的 8 个步骤：

数据泄露响应和调查的步骤-图4

如何应对数据泄露取决于，你所在的行业以及需要遵守的要求。可以重新排序、添加或省略以下任何步骤，以更好地满足行业的特定需求。

1. 未雨绸缪，防范数据泄露 

应该在数据泄露发生之前做好准备。良好的准备可以显著降低业务损失的风险，并简化响应和恢复流程。

数据泄露采取的主要措施-图5

准备工作包括评估风险、组建事件响应团队和部署可靠的网络安全软件。只有完成这些之后，您才能开始制定数据泄露事件响应计划。 

准备过程的一个重要部分是获取确保数据安全和应对数据泄露所需的所有必要技术资源：威胁检测和监控工具、数据丢失预防系统、访问管理解决方案、用户和实体行为分析（UEBA）软件等。 

为了从一开始就防止数据泄露，公司员工是主要的防线。可以通过定期进行网络安全培训来做到这一点。在培训中，解释与数据泄露相关的风险、网络犯罪分子使用的各种攻击技术以及您的员工应该采取哪些措施来确保可靠的数据安全。 （国内很多公司都会定期内部自检，自己钓鱼员工）

2. 检测数据泄露 

所有调查数据泄露的技巧都始于数据泄露检测。不知道如何检测数据泄露？寻找迹象。下图区分了两种类型的数据泄露迹象：前兆和迹象。

数据泄露迹象-图6

MITRE ATT&CK（对抗战术、技术和常识https://attack.mitre.org/）知识库。这是一个框架，其中已知的攻击者行为，分为战术和技术用矩阵图表示。对于数据保护、监控和员工培训非常有用。

3. 执行紧急事件响应行动 

紧急措施-图7

当检测到数据泄露时，应该采取几个紧急措施。

首先，记录检测日期和时间以及当时已知的有关事件的所有信息。此时，发现泄密事件的人必须立即通知组织内的相关方。安全人员还应限制对泄露信息的访问，以防止泄露数据进一步传播，上图是详情。

接下来，尽快展开彻底的调查至关重要，这样才能找到数据泄露的根本原因。

4. 收集证据 

迅速采取行动，尽可能多地收集有关数据泄露的信息。从所有网络安全工具、服务器和网络设备收集日志数据，并在访谈期间收集员工的信息。情况的了解越多，后果越有可能降到最低。 

收集的信息应包括以下内容： 

• 检测数据泄露的日期和时间 
• 开始响应数据泄露的日期和时间 
• 谁发现了违规行为、谁报告了违规行为以及还有谁知道此事 
• 哪些信息被泄露，以及如何泄露 
• 与事件相关的所有事件的描述 
• 有关违规行为涉及的所有各方的信息 
• 受事件影响的系统 
• 有关事件造成的损害程度和类型的信息

5. 分析数据泄露 

询问问题-图8

收集到有关事件的信息后，需要对其进行分析。在确定事件的情况。可能还需要回答一系列问题以进一步协助调查：仔细分析了收集到的数据泄露信息后，可以对泄露的来源得出一些结论。

6. 实施遏制、根除和恢复措施 

防止数据泄露蔓延并恢复组织运营至关重要。一般通过三种对策来实现：

对策-图9

7. 通知受影响方 

需要通知的人员名单将根据泄露数据的类型而有所不同，可能包括（但不绝对，行业不同者自行分辨）：

通知-图10

许多其他国家/地区也制定了有关使用和未经授权披露个人数据的法律法规。如果企业在多个国家/地区开展业务，则必须考虑所有本地数据泄露要求。 

8. 开展事故后活动 

采取行动应对数据泄露后，就该分析事件及其后果，并采取措施防止将来再次发生类似问题。每次数据泄露事件都应事后彻底审核。每次审核的具体内容取决于数据泄露本身及其原因。

事故后活动-图11

通过彻底实施这些步骤，可以更好地了解发生的数据泄露，发现其真正原因，并确定减轻其后果的最佳途径。

深圳        

注释：如有失误，望批评指正！

后面会写下Windows和liunx的应急响应技巧、容器、还有一些网络安全、数据安全。

后台输入“Windows应急响应手册、linux应急响应手册、数据安全政策、数据安全治理、电力、工业、金融、0731”有相关资料可供下载！