發(fā)布時間:2020年4月7日
已經(jīng)查看了255次
2020年4月1日,萬豪國際首次披露今年2月底檢測到的數(shù)據(jù)泄露事件,近520萬房客個人信息被泄露,數(shù)據(jù)涉及個人姓名�、地址��、電話號碼以及會員賬戶信息、伙伴關(guān)系與從屬關(guān)系信息��、客戶偏好等��。這也是萬豪繼2018年11月喜達屋5億條用戶數(shù)據(jù)泄露事件后發(fā)生的又一起重大安全事件�����。
在全球來看,數(shù)據(jù)泄露事故并非偶發(fā)現(xiàn)象�����。據(jù)安全情報供應(yīng)商Risk Based Security (RBS) 的2019年Q3季度的報告���,2019年1月1日至2019年9月30日��,全球披露的數(shù)據(jù)泄露事件有5183起����,泄露的數(shù)據(jù)量達到了79.95億條記錄��。
2019.3某安全研究人員對外披露一個可公開訪問的 MongoDB 數(shù)據(jù)庫����,包含9.8億條數(shù)據(jù)記錄�;
2019.4 Facebook的應(yīng)用服務(wù)商Cultura Colectiva上5.4億數(shù)據(jù)由于數(shù)據(jù)庫配置錯誤導(dǎo)致數(shù)據(jù)泄露;
2019.5 澳大利亞的平面設(shè)計服務(wù)網(wǎng)站 Canva被一名黑客攻破,竊取1.39億用戶數(shù)據(jù);
2019.5美國房地產(chǎn)和產(chǎn)權(quán)保險巨頭First American 8.85億份敏感客戶財務(wù)記錄被泄露�����;
2019.12國外網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)Elasticsearch 數(shù)據(jù)庫27 億個電子郵件地址泄露����;
數(shù)據(jù)“洼地”行業(yè)成為泄露的重災(zāi)區(qū)
近幾年��,隨著信息技術(shù)與眾多產(chǎn)業(yè)的融合以及全球資產(chǎn)數(shù)字化的發(fā)展趨勢��,個人與企業(yè)數(shù)據(jù)的價值劇增,掌握海量用戶信息的行業(yè)和企業(yè)頻繁面臨數(shù)據(jù)泄露的安全風險�����。尤其金融�����、保險�、教育�、醫(yī)療、科技�����、政府等行業(yè)作為數(shù)據(jù)的“洼地”�����,已成為黑客和黑產(chǎn)的主要攻擊目標����?v觀歷年數(shù)據(jù)泄露事故�����,不僅數(shù)據(jù)規(guī)模驚人�����,動輒千萬級甚至上億,同時泄露數(shù)據(jù)的顆粒度愈發(fā)精細��、全面�����,對于企業(yè)和用戶都造成了直接或間接的巨大損失�����。
隨著互聯(lián)網(wǎng)技術(shù)在社會各方面的滲透,個人生活工作的便利與企業(yè)效率的提升常常是通過個人讓渡一部分隱私權(quán)實現(xiàn)的�����。這其中有用戶對個人隱私保護的輕視�����,但更多來源于部分企業(yè)對于用戶信息的過度索取����,導(dǎo)致大量個人用戶的信息以數(shù)據(jù)方式存儲于企業(yè)的數(shù)據(jù)庫中�,形成了數(shù)據(jù)聚合的“洼地”。
而數(shù)據(jù)本身也存在一定的安全風險����。產(chǎn)業(yè)互聯(lián)網(wǎng)時代��,企業(yè)在生產(chǎn)����、運營中都高度依賴數(shù)據(jù),數(shù)據(jù)從生產(chǎn)之初就會進入傳輸���、存儲、處理�����、分析����、訪問與服務(wù)應(yīng)用等各環(huán)節(jié)且循環(huán)往復(fù),并在流動的過程中產(chǎn)生大量的接觸和交互——內(nèi)部的研發(fā)和運營管理人員的經(jīng)手,服務(wù)器����、云平臺��、大數(shù)據(jù)處理與分析系統(tǒng)中的流動,與眾多伙伴、客戶的共享�����,這些都使得數(shù)據(jù)面臨安全風險��。
結(jié)合近幾年新聞曝光的事故統(tǒng)計和研究資料表明����,黑客����、公開數(shù)據(jù)庫、數(shù)據(jù)庫配置錯誤����、“內(nèi)鬼”是數(shù)據(jù)泄露的四大“罪魁禍首”——
黑客:利用特定的漏洞來竊取信息,通過暗網(wǎng)或黑市交易獲取利益�;
公開數(shù)據(jù)庫:因選型不當或技術(shù)疏忽而對數(shù)據(jù)庫未加保護�����,使其暴露于互聯(lián)網(wǎng)上�;
數(shù)據(jù)庫配置錯誤:錯誤地關(guān)閉云提供商標準化的默認安全設(shè)置����,或?qū)δ承┓⻊?wù)允許不受限制的訪問設(shè)置;
內(nèi)鬼:員工數(shù)據(jù)盜竊、員工賄賂和售賣信息、運維人員報復(fù)性操作等;
此外�,非授權(quán)訪問�、系統(tǒng)或者網(wǎng)站漏洞等也會引發(fā)數(shù)據(jù)泄露風險�����,隨著AI�����、大數(shù)據(jù)、云計算等新技術(shù)被黑客應(yīng)用,原有的數(shù)據(jù)安全防護體系不得不面臨更大的壓力���。
企業(yè)應(yīng)如何防護數(shù)據(jù)安全?
風險背后�����,是企業(yè)數(shù)據(jù)防護思維和體系的缺位�����。在傳統(tǒng)的安全構(gòu)架中,企業(yè)依賴于特征匹配的防御模式����,即把已出現(xiàn)的攻擊事件寫入特征庫再進行同類型防御操作���;由于已有特征的局限性�,往往會使企業(yè)在面對新攻擊時應(yīng)對滯后或束手無策��,造成嚴重的經(jīng)濟損失���。那么�����,對于數(shù)據(jù)存量高、信息流動性強的企業(yè)��,到底應(yīng)如何構(gòu)建數(shù)據(jù)安全的防護體系呢����?如何轉(zhuǎn)后手為先手,讓安全防護更具主動性和前瞻性呢��?
騰訊安全數(shù)據(jù)安全負責人彭思翔表示���,數(shù)據(jù)泄露事件折射出的是僅僅依靠單點防護難以達到真正的安全防護效果����。企業(yè)保護數(shù)據(jù)安全應(yīng)該轉(zhuǎn)向以數(shù)據(jù)為中心構(gòu)建防護策略,并遵循數(shù)據(jù)流動的方向���,構(gòu)建基于全生命周期的安全防護。具體來說��,構(gòu)建全生命周期的防護體系分為四大階段:
1)數(shù)據(jù)安全的梳理���。企業(yè)對應(yīng)在數(shù)據(jù)生產(chǎn)之初就加強數(shù)據(jù)管理的分類和治理���,包括對數(shù)據(jù)進行感知����、風險識別和分級�,明確定位哪些是機密數(shù)據(jù)、敏感數(shù)據(jù)�、普通數(shù)據(jù)����,進而根據(jù)數(shù)據(jù)的不同等級,設(shè)置不同的安全策略�����,做到加強感知��、聯(lián)防聯(lián)控�����。
2)管理制度的建設(shè)。數(shù)據(jù)安全不僅是技術(shù)問題�����,更是管理問題��。由于目前數(shù)據(jù)的流動速度快���、流動體量大��,僅靠企業(yè)的安全運維人員和基礎(chǔ)的安全防護設(shè)備已經(jīng)難以滿足數(shù)字資產(chǎn)的風險響應(yīng)���、運營維護����、防越權(quán)治理等需求,而是需要通過數(shù)據(jù)安全的相關(guān)產(chǎn)品把制度落地。通過自動化的工具來清點數(shù)據(jù)資產(chǎn)�,快速明確核心數(shù)據(jù)分級和資源分配�����,實時監(jiān)控訪問權(quán)限和訪問行為軌跡;同時需要重視運維審計和數(shù)據(jù)庫審計,一方面為企業(yè)提供運維人員操作審計,對異常行為進行告警���,防止內(nèi)部數(shù)據(jù)泄密,一方面對數(shù)據(jù)庫運行進行智能化審計�,對數(shù)據(jù)庫運行過程中的潛在風險進行挖掘�����。
3)解決方案的落地。在數(shù)據(jù)存儲����、傳輸���、使用過程中�,應(yīng)充分應(yīng)用先進的數(shù)據(jù)保護技術(shù)����,如加密和脫敏技術(shù),針對機密數(shù)據(jù)則需要持續(xù)性的保護。企業(yè)必須確保其數(shù)據(jù)庫�����、文檔管理系統(tǒng)��、文件服務(wù)器在整個生命周期內(nèi)正確分類和保護機密數(shù)據(jù);通過密鑰管理對數(shù)據(jù)訪問權(quán)限進行限定��,集中管控以及安全存儲數(shù)據(jù)庫憑證�����、API密鑰和其他密鑰��、配置信息等敏感憑據(jù)以避免越權(quán)操作行為。善用數(shù)據(jù)安全產(chǎn)品和工具��,即使出現(xiàn)了不可逆的黑客攻擊導(dǎo)致數(shù)據(jù)泄露的情況���,也可以通過水印追溯和數(shù)據(jù)加密保護等技術(shù)盡可能地降低企業(yè)和個人損失�����。
4)強化安全運營�,企業(yè)應(yīng)當加強事前-事中-事后的全流程安全保障,打造覆蓋全生命周期的預(yù)防、檢測��、響應(yīng)和可視的安全運營體系�。企業(yè)用戶可以參考或直接使用騰訊安全公有云安全運營中心的產(chǎn)品,它主要包括:
事前:通過攻擊面測繪可以發(fā)現(xiàn)有不應(yīng)暴露的運維端口在公網(wǎng);通過云產(chǎn)品安全配置管理,可以檢查服務(wù)器�����、數(shù)據(jù)庫有沒有部署訪問控制����,有沒有開啟數(shù)據(jù)備份,做到防患于未然。
事中:可以通過Cloud UBA(用戶行為分析)分析發(fā)現(xiàn)一些過度授權(quán)的子賬號與協(xié)作者賬號以及相關(guān)用戶的異常操作行為�,例如用戶權(quán)限提升���、高危操作等�,有效識別云控制臺只能夠用戶操作的異常行為�。同時通過流量威脅感知功能�����,可識別云上資產(chǎn)互聯(lián)網(wǎng)流量中的異常外連等內(nèi)到外數(shù)據(jù)泄漏威脅���。此外�����,通過泄漏監(jiān)測,可幫助用戶實現(xiàn)對Github及暗網(wǎng)上的數(shù)據(jù)泄漏事件進行監(jiān)測����。
事后:通過接入的云操作行為日志����、云產(chǎn)品配置變更日志及各類安全產(chǎn)品日志�����,可以實現(xiàn)事后的全面分析和調(diào)查溯源���,及時分析定位安全事件��。
此外需要重點關(guān)注的的是上云企業(yè)應(yīng)偏重考慮完整、場景化的解決方案���,以確保企業(yè)數(shù)據(jù)防線穩(wěn)固可靠。
騰訊安全助力企業(yè)快速有效的數(shù)據(jù)防護體系
騰訊副總裁丁珂曾表示:騰訊安全圍繞海量數(shù)據(jù)構(gòu)建了原生���、全生命周期縱深防御技術(shù)架構(gòu)和安全運維體系,致力于護航產(chǎn)業(yè)互聯(lián)網(wǎng)安全����。安全防護的本質(zhì)是最大限度發(fā)揮“人+工具+方法”的組合能力,而騰訊安全依托過去20年在數(shù)據(jù)安全防護方面積累的技術(shù)、人才��、生態(tài)經(jīng)驗等優(yōu)勢�,可以協(xié)助企業(yè)快速地構(gòu)建全生命周期的安全防護體系。
開箱即用的“云數(shù)據(jù)安全中臺”:在數(shù)據(jù)加密保護方面��,騰訊安全整合數(shù)據(jù)加密軟硬件系統(tǒng)(CloudHSM / SEM)�����、密鑰管理系統(tǒng)(KMS)以及憑據(jù)管理系統(tǒng)(Secrets Manager)三大能力��,推出了“云數(shù)據(jù)安全中臺”,打造了端到端的云數(shù)據(jù)全生命周期安全體系�,將密碼運算���、密碼技術(shù)及密碼產(chǎn)品以服務(wù)化���、組件化的方式輸出�����,并無縫集成至騰訊安全產(chǎn)品中;通過標準化的API接口/SDK服務(wù),實現(xiàn)從數(shù)據(jù)獲取��、事務(wù)處理及檢索、數(shù)據(jù)分析與服務(wù)��,數(shù)據(jù)訪問與消費過程中的安全防護�。
前沿安全技術(shù)應(yīng)用落地:在具體的安全產(chǎn)品上,騰訊安全應(yīng)用了諸多前沿的安全技術(shù)�����。為了對抗量子計算對加密的威脅���,開發(fā)了量子計算機也無法破解的抗量子加密算法�����;使用AI引擎的數(shù)據(jù)庫審計,可以更精準的識別如SQL注入等惡意語句��,并實現(xiàn)了20萬SQL每秒的業(yè)內(nèi)領(lǐng)先吞吐速度��;在大數(shù)據(jù)融合計算中��,提供K匿名脫敏算法,保證個人隱私數(shù)據(jù)無法被還原竊取�����,同時將誤差控制在2%以下��,極大的保留了數(shù)據(jù)的可用性��;另外還獲得了密文求交集的研發(fā)專利,針對性解決聯(lián)合營銷推廣、征信查詢����、聯(lián)合建模等場景下的數(shù)據(jù)泄露風險���。
頂尖安全專家全程護航:騰訊安全集結(jié)旗下七大實驗室的全球頂級白帽黑客以及深耕各行各業(yè)安全專家����,組建的3500+人安全專家服務(wù)團隊全程護航企業(yè)建立和運營數(shù)據(jù)安全體系全過程�,為企業(yè)量身定制包括但不限于合規(guī)咨詢、風險評估、安全規(guī)劃、數(shù)據(jù)治理��、安全審計�、應(yīng)急演練、安全培訓(xùn)等一站式服務(wù)。
https://tech.huanqiu.com/article/3xgMXG3OeyQ