数据外泄

  此条目介绍的是翻译为Data exfiltration的名词。关于对应Data breach的名词，请见“数据泄露”。

数据外泄（Data exfiltration）是指恶意软件和/或恶意行为者从计算机中执行未经授权的数据传输。它通常也被称为数据导出或数据泄露。数据外泄也被认为是数据盗窃的一种形式。自 2000 年以来，许多数据外泄事件严重损害了全球企业和政府的消费者信心、企业估值、知识产权和国家安全。

在某些数据外泄场景中，可能会泄露大量聚合数据。然而，在这些场景和其他场景中，某些类型的数据也可能成为目标。目标数据类型包括：

• 用户名、关联密码和其他系统身份验证相关信息^[1]
• 与战略决策相关的信息^[1]
• 加密密钥^[1]
• 个人财务信息^[2]
• 社会安全号码和其他个人身份信息 (PII)^[2]
• 邮寄地址^[2]
• 美国国家安全局黑客工具^[2]

恶意行为者使用多种技术进行数据泄露。所选技术取决于许多因素。如果攻击者拥有或可以轻松获得对包含其希望泄露数据的服务器的物理或特权远程访问权限，则其成功的机会要大得多。例如，系统管理员相对容易植入并执行恶意软件，将数据传输到外部命令和控制服务器而不会被发现。^[1] 同样，如果可以获得物理管理访问权限，他们可能会窃取保存目标数据的服务器，或者更现实地说，将数据从服务器传输到 DVD 或 USB 闪存驱动器。^[3] 在许多情况下，恶意行为者无法获得对保存目标数据的物理系统的物理访问权限。在这种情况下，他们可能会使用制造商默认密码或弱密码来破坏远程访问应用程序上的用户帐户。 2009 年，在分析了发生在 24 个国家的 200 起数据窃取攻击事件后，SpiderLabs 发现，在不需要暴力破解攻击的情况下，入侵远程访问应用程序上的用户帐户的成功率高达 90%。一旦恶意行为者获得了这种级别的访问权限，他们就可以将目标数据传输到其他地方。^[3]

此外，还有一些更复杂的数据泄露形式。可以使用各种技术来隐藏网络防御的检测。例如，跨站点脚本 (XSS) 可用于利用 Web 应用程序中的漏洞为恶意行为者提供敏感数据。时间通道还可用于以指定的时间间隔每次发送几个数据包，这种方式更难被网络防御检测和阻止。^[4]

• 
  主要数据窃取技术

可以采取许多措施来帮助防御网络免受数据泄露。三大类预防措施可能是最有效的：

• 预防性措施^[4]
• 检测性措施^[4]
• 调查性措施^[4]

检测措施的一个例子是实施入侵检测和防御系统，并定期监控网络服务，以确保在任何给定时间只运行已知的可接受服务。^[3] 如果可疑网络服务正在运行，请立即进行调查并采取适当的措施。预防措施包括实施和维护访问控制、欺骗技术以及对处理中、传输中和静态数据进行加密。调查措施包括各种取证行动和反情报行动。^[4]

• http://www.ists.dartmouth.edu/library/293.pdf （页面存档备份，存于互联网档案馆）
• https://www.scmagazine.com/data-exfiltration-defense/article/536744/
• 数据泄露/博客、新闻和报告 （页面存档备份，存于互联网档案馆）