全面战争时代—— 数据防泄密

演讲者 吴鲁加

吴鲁加（ quack ）

网络安全焦点（ XFOCUS ）成员。

拥有 15 年信息安全行业从业经验，专注于数据防泄密领域超过7 年的时间。

领导研制开发了天榕数据防泄密系统和天榕电子文档安全系统。

对于信息安全行业有深刻的理解，精通终端安全、安全攻防、 互联网安全、运维安全等领域。

信息安全时代变迁

童稚期 侠客期 蠕虫期 逐利期 战争时代

别让黑客跑掉

信息战的最后阵地是信息

发现 敏感信息

文档解析能力• 能解析哪些类型的文档• 改后缀、插入对象、多重嵌套、多重压缩• 文档解析效率

中文分词

中文图片识别

监控 敏感操作

冷数据激活• 什么是冷数据• 什么情况下会密集访问冷数据– 是否有交互式登录– 访问前后是否有异常行为–……

应用深度分析

应用深度分析

应用深度分析要长期跟进邮箱

• QQ 邮箱• GMail• 网易 163 邮箱• 新浪邮箱• 126 邮箱• 搜狐闪电邮• 188 财富邮• 139 邮箱• TOM 邮箱• 雅虎邮箱• ……

微博

• 人民微博• 搜狐微博• 腾讯微博• 网易微博• 新华微博• 新浪微博• 央视微博• ……

博客

• CSDN 博客• QQ 空间• 凤凰快博• 人民网博客• 搜狐博客• 网易博客• 新华博客• 新浪论坛• 央视博客• ……

论坛

• 百度贴吧• 开心网• 猫扑• 搜狐社区• 腾讯朋友• 天涯社区• 新华网论坛• 新浪论坛• ……

非关联程序访问文件• 敏感文件被非关联程序访问– 例： a.exe 访问图纸 .dwg

• 难点– 过滤杀毒等软件的正常访问– 杀毒软件是否就真的可信

泄密渠道• U 盘拷贝• 截屏 / 录像• 压缩 / 加密压缩• 打印• 光盘刻录• 共享操作

• 虚拟机（ Vm ）拷贝• 远程桌面传输• 即时通讯（ QQ ）• 邮件 / 浏览器 /FTP• 复制粘贴• 大量复制文件

其他异常行为• 删除日志• 杀进程• 卸载安全客户端• 运行逆向程序

数据挖掘

挖掘哪些数据• PC/ 服务器数据– 文件、 进程、服务、端口、网络连接、注册表、

启动项、用户、驱动• 网络数据– 网站访问、协议分布

• 很简单– 简单遇上大规模

某企业终端数据• 用户 23000+ ，办公场所 60+ ， PC

28000+ ， NB 3000+ ， Internet 10G ，专线 500M

• IT 350 ，安全运营 4• 10M/PC/ 天， 20 亿条日志 / 天• 20 起一级事件 / 天• 100 轻度感染 / 年， 10 起事故 / 年

There are two types of people: those who've been hacked and those who don't know they've been hacked.

Michael Chertoff , former Homeland Security Secretary

美国监控隐私项目揭秘者：为公众利益爆料： http://news.sina.com.cn/w/2013-06-12/191127380660.shtml美国国家安全局能利用“大数据”做什么： http://www.enet.com.cn/article/2013/0613/A20130613290404.shtml

揭秘美国国安局绝密黑客小组 TAO ： http://tech.sina.com.cn/i/2013-06-13/14348436108.shtml

信息战• 各种攻击

– Mandiant称中国 61398攻击： http://t.cn/zYKwXbQ

– 澳大利亚破获韩国间谍网： http://t.cn/zTWqITY– 美是计算机入侵工具最大买家： http://t.cn/zTmHtSY– 印度攻击美、巴基斯坦、中国： http://t.cn/zHwxlSG– 美授权美国公司可反击中国： http://t.cn/zHUauSl

• 地球就像一个幼儿园– 世界各国就像幼儿园里的小朋友。私下你掐我一把，我掐你一把。都掐别人，也都被掐。区别是有些小朋友哭声比较响，有些不爱哭。（ @tombkeeper ）

总结• 1 、目标：不让黑客带着数据出去• 2 、从信息入手，加密、监控对敏感数据的

动作• 3 、简单的事情长期做，大量做

THANKS