资源描述
免责声明 本分析报告中的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网。由 于样本收集范围所限,未必能够反映事件的全貌,特此说明。 闪捷信息根据可获得的数据发布该分析报告,并不保证所有数据的精确和完整,报 告中所包含的信息具有一定的概括性,并不能用来解决特定的安全问题。意见和结论 只是在报告发布时间得出,后续的变更将不会特别通知。任何人在使用报告中的信息 时,责任自负。 01 Contents 概述 目录 01 数据说明1.3 1.4 2.1 2.2 2.3 2.4 4.1 4.2 4.3 4.4 6.1 2.5 2.6 2.7 2.8 2.9 2.10 2.11 数据分析 03 总结 15 建议 16 关于闪捷 18 附录 19 02 整体态势 02 背景1.1 1.2 01 摘要 01 数据泄漏月份占比 03 数据安全事件类型占比 04 数据泄漏特征占比 05 数据泄漏原因占比 06 数据泄漏的数据源占比 08 泄漏数据类型占比 09 数据泄漏人员类型占比 10 数据泄漏各阶段占比 11 加强企业云上数据防护 16 数据防泄漏与数据防勒索并重 16 对数据进行分类分级保护 16 加强数据安全风险监控 17 附录A:MITRE ATT&CK框架侦察技术列表 19 6.2 附录B:个人信息泄漏严重程度评估表 19 5.1 公司介绍 18 个人信息泄漏行业占比 12 个人信息泄漏维度占比 13 个人信息泄漏严重程度占比 14 02 03 04 05 06 数据作为一种新型生产要素,与土地、劳动力、资本、技术等传统要素并列,一起融入经 济价值创造过程之中,对生产力发展具有广泛影响,成为了推动经济高质量发展的新动 能。数据安全肩负着护航经济发展的重任,也关系国家安全、社会公共利益,以及公民、法 人和其他组织在网络空间的合法权益,成为数字经济时代的基石。 数据安全一直受到社会各界的重视。特别是在近年,与数据安全相关的法律法规,行业 规范密集出台,不但对过去的标准做了修订完善,也对未来的数据安全标准制订进行了 长期规划,反映了国家层面对数据安全的高度重视和发展决心。 数据安全至关重要,通过对数据安全事件进行统计分析,一方面可以了解数据安全事 件的现状,使读者意识到数据安全的危害;一方面可以帮助组织机构预判数据安全威胁 的发展趋势,对机构的决策和行业发展有一定参考意义。 Overview概述 01 1.2 摘要 1.1 背景 01 1.3 数据说明 1.4 整体态势 02 本报告通过统计分析2020年国内所发生的数据安全事件,结合全球数据泄漏事件的 趋势,尽力为读者呈现2020年国内数据泄漏的态势全景。 数据分析章节里,对收集的数据泄漏事件进行了多维度的统计分析,例如数据泄漏事 件在时间维度上的占比、导致数据泄漏的各种原因占比等。意图使数据泄漏事件与各种 因素之间的相关性得到展现。分析内容包括统计图表展现和描述,包括趋势、比例和排名 等形式。并根据统计图表展现的内容,结合掌握的其它情报信息,进行原因分析和说明。 在本报告的总结部分,概括性地叙述了数据泄漏态势可能蕴含的信息。建议章节里,是根 据分析的原因对组织机构提出降低数据安全风险的建议和措施。 本期报告分析所需的数据,是参考VERIS(Vocabulary for Event Recording and Inci- dent Sharing)框架进行整理。这样的收集整理工作还在持续进行中,这为后续的数据分 析工作打下了基础。VERIS框架为数据安全事件的记录定义了灵活的格式,方便信息共享 和交换。同时,VERIS框架在未来使用过程中也会不断改进和细化,这与数据安全行业自 身处在高速发展中有关,欢迎读者为报告撰写团队提供有建设性的指导意见。 与2019年相比,2020年国内数据安全事件仍然呈上升趋势。其中,云上的数据泄漏事 件上升显著,个人信息泄漏的占比增加,勒索攻击和数据泄漏融合的现象进一步加强,使 机构组织的数据安全防护增加了难度。 行业方面,信息化程度越高的行业,数据泄漏事件越多,且泄漏所造成的危害越大。信 息化使得现实世界在网络空间中的映射愈加具体,物理空间中受到层层保护的信息在网 络空间中却唾手可得,信息化建设和信息安全之间仍存在脱节。 内部人员仍然是数据泄漏的首要因素,其主要目的仍然是获利,这说明组织机构在数 据安全教育、风险监控等方面还需要提高。泄漏的数据又对其它的数据形成威胁,这种链 式反应加速了数据泄漏,使越来越多的机构和个人遭受损失。 2020年的新冠疫情,对数据泄漏事件也存在显著影响。疫情与数据泄漏事件的数量有 一定相关性,同时在网络钓鱼、APT攻击方面,攻击者也通过疫情热点信息诱导受害者点 击恶意链接。 数据泄漏事件在2020年的第一季度有比较显著的分布,在2月份达到顶点,在全年的 其它月份则没有明显差异。对比国内疫情数据,可以发现数据泄漏事件与疫情的严重程 度存在一定的相关性。 事实上,在2020年初,由于疫情的影响,线上业务出现了急速增长,特别是线上教育、 居家办公和电商等领域。据统计,2020年1-5月有超过2万家在线教育相关企业注册成立, 平均每天新增140家。2020春节后复工期间,有超过1800万家企业采用了线上远程办公 模式,共计超过3亿用户使用远程办公应用。特殊情况造成的变化导致数据安全防护不及 时,增加了数据安全风险。 另一方面,在疫情期间实施了个人信息登记,由于相关安全措施未及时就位,国内多 处发生了不少个人信息泄漏的案例。患者的姓名、家庭住址、身份证号码、手机号码等详 细个人信息都被泄漏、遭到曝光和人肉搜索,甚至是网络暴力。 Data Analysis 数据分析 2.1 数据泄漏月份占比 03 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 0% 5% 10% 15% 20% 25% 1月2月3月4月5月6月7月8月9月10月11月12月 数 据 泄 漏 月份占比 新增确诊病例 数据泄漏事件 02 数据安全事件类型包括数据泄漏、勒索攻击+数据泄漏、勒索攻击、数据损毁和数据篡 改。勒索攻击+数据泄漏表示在同一次数据安全事件中,勒索和数据泄漏同时存在,且攻 击者要挟受害者支付赎金,否则将泄漏的数据对外公布。 与2019年相比,2020年数据泄漏所占比例进一步上升,统计意义上接近所有数据安全 事件的3/4。勒索攻击+数据泄漏事件的占比达到了15%,成为常态化的数据安全事件。未 来,勒索攻击与数据泄漏的区别会变得更加模糊,数据泄漏很可能伴随着勒索。防勒索方 案应该融合数据防泄漏技术,否则,泄漏的数据仍然可以作为勒索的筹码。 从攻击者的角度来看,进入受害者的网络进行加密破坏,再进一步窃取敏感数据作为 要挟,迫使受害者就范,可以增加勒索的胜算。相关的勒索软件包括DoppelPaymer、 NetWalker、Maze、Ragnar Locker等。2020年3月,西班牙的多家医院成为NetWalker的 攻击目标。受害者被诱导打开包含新型冠状病毒肺炎最新信息的PDF附件,这些PDF文件 经过武器化处理,打开PDF文件也就安装了勒索软件。 NetWalker 已经开始向 RaaS (勒索软件作为服务)交付模式转变,这使得勒索攻击的 技术门槛降低,将有可能为越来越多的犯罪分子提供平台。 数据损毁的比例偏低,与2019年相比并没有显著变化。主要是因为数据存储方面的建 设过程中,对数据备份容灾等问题考虑得很充分,因此,这一类型的数据安全事件相比较 少。 2.2 数据安全事件类型占比 04 0% 20% 40% 60% 80% 100% 间谍活动 凭据丢失 长期活动 钓鱼 获利 数 据 泄 漏 特征占比 数据篡改的占比最少,主要是因为此类型的活动实施成本高,且并没有直接的回报, 更多是一种恶作剧,或者炫耀实力的方式。 2.3 数据泄漏特征占比 05 不同的数据泄漏事件,具有不同的表现特征。以获利为目的的数据泄漏事件占所有泄 漏事件的80%以上,这说明数据泄漏事件,仍然是利益驱动。据有关安全报告指出,在黑 市上,每条医疗记录的售价最高可达250美元,与之对比,信用卡支付记录售价为每条 5.40美元。数据泄漏背后是庞大的黑产利益链,数据防泄漏将是一个系统工程,任重道 远。 接近20%的数据泄漏事件由网络钓鱼导致,这是一种以欺骗受害者为主的社会工程 学攻击。通常,受害者会收到钓鱼邮件,要求收件人将账号、口令等信息回复给指定的接 收者;或引导收件人访问伪造的网页,这些网页通常会伪装成银行或理财的官方网页,令 登录者信以为真,在输入信用卡或银行卡号码、账户名称及密码后而导致信息泄漏。网络 钓鱼之所以存在,说明受害者的联系方式已经被泄漏,是上一次数据泄漏的延续。 17%的数据泄漏事件具有长期性的特点。这说明数据泄漏在一段相当长的时间内存 在而没有被发现。长期性的数据泄漏通常有两种原因,一种是机构组织对数据安全毫无 概念,对数据访问行为甚至缺乏基本的审计措施;另一种是数据泄漏有很高的隐蔽性,一 般的技术手段无法监测到。 2.4 数据泄漏原因占比 06 据统计,导致数据泄漏的原因中,内部人员和黑客攻击所占比例大致相当,内部人员占 比为48%,黑客攻击的占比为46%,17%是数据处置不当,11%是缺乏对数据的访问控 制。 排名第四的特征是凭据丢失。统计表明,9%的数据泄漏事件中存在凭据丢失。凭据包 括密码明文、密码密文和证书等信息,是登录应用系统的身份依据。凭据丢失说明数据存 储者并没有对凭据进行较高级别的保护,使得凭据和普通数据一样处于较低水平的安全 防护。 近年来多起APT攻击就属于此类型。例如DarkHotel(黑店)组织利用CVE-2019-1367微 软IE浏览器远程代码执行漏洞针对我国的定向攻击,由于相应利用代码在2019年 7月19 日就被上传至受攻击服务器,而微软在2019年9月份才修补该漏洞,因此在攻击发生的当 时漏洞还处于0day漏洞状态。所以可以推断,攻击者最晚在2019年7月就利用了该0day 漏洞对我国实施网络攻击。2019年确认的美国CIA针对国内的网络渗透攻击,则长达11年 之久。 0% 10% 20% 30% 40% 50% 60% 其它 爬虫 设备失窃 数据违规使用 凭据泄漏 越权访问 缺乏访问控制 数据处置不当 黑客攻击 内部人员 接近8%的数据泄漏事件属于间谍活动。这类数据泄漏事件同时具有长期性的特点。 数 据 泄 漏 原因占比 07 内部人员导致的数据泄漏发生在各个行业。在医疗、学校、物流、金融和运营商行业的 个人信息泄漏尤为突出。这一现象说明,相关组织机构在个人信息防护方面仍需要进一 步完善。内部人员能够有机可乘,则说明违法的成本远远小于获得的利润。 黑客攻击包含了网络钓鱼、APT攻击、爬虫及融合了数据泄漏的勒索攻击。黑客攻击通 常会对组织机构造成大的危害。例如2020年底,FireEye公司的许多渗透测试客户网络的 黑客工具被泄漏,其被盗工具的涉及范围,从用于自动化侦察的简单脚本到类似于 CobaltStrike和Metasploit等公开技术的整个框架,覆盖了信息收集、漏洞扫描、漏洞利 用、C2程序、安全绕过、凭证获取等工具以及一些用于分析、开发、调试的工具。 数据处置不当,是指对数据的防护策略配置有漏洞,没有根据实际风险进行正确的安 全配置。多发生在企业将数据连接到公网,或者将企业数据上云时发生。例如2020年4月, 著名的法国报纸企业费加罗报,由于人为错误导致数据泄漏,一台云服务器暴露了74 亿条记录数据,包括读者的个人信息。公开的PII(个人验证信息)数据包括全名、电子邮 件、家庭住址、居住国家和邮编、IP地址、服务器访问令牌和新用户的密码(以明文形式并 使用不可靠的MD5算法进行散列)。 缺乏访问控制是指对数据根本没有实施保护,这种情况听起来难以置信,但实际情况 不在少数。2020年7月,全球化妆品巨头雅芳(Avon)在Azure服务器上的Elasticsearch数 据库公开暴露,没有密码保护或加密。包括个人信息和技术日志的1900万条记录遭到泄 漏。该漏洞实际上意味着拥有服务器IP地址的任何人都可以访问公司的开放数据库。暴 露的数据库包含有关客户和员工的个人身份信息(PII),包括全名、电话号码、生日、电子 邮件和家庭住址以及GPS坐标。此外包括40,000多个安全令牌、OAuth令牌、内部日志、账 户设置和技术服务器信息。PII可以被用来进行各种各样的身份欺诈和后续的网络钓鱼诈 骗,暴露的技术细节也会给雅芳自身带来风险。 08 2.5 数据泄漏的数据源占比 统计数据中,仍有近半数的数据泄漏事件无法确定数据源类型。在已知数据源的数据 泄漏事件中,Elasticsearch占比最高,达到25%。S3bucket和SQL数据库的占比同为6%。 其余为Azure、Git和BlueKai这一类云端存储。 随着企业业务上云的普及,以及SaaS行业的日益发展,越来越多的数据存储在云端。 企业的数据不再受传统的网络边界保护,这使得数据泄漏的风险骤增。据分析,使用Elas - ticsearch而导致数据泄漏,64%的原因是没有正确的安全配置,36%的原因是毫无任何 防护措施。同样,亚马逊的S 3 bucket也因为安全配置错误,导致了多起数据泄漏事件。 2020年1月,英国的印刷公司Doxzoo在亚马逊服务器上的S3 bucket因为存在错误配置 而导致数据泄漏,该数据源有超过27万条记录,大小超过343GB,可能有超过10万用户受 到影响。这其中不仅涉及侵犯版权,还影响了美国和英国的军事数据。所泄漏的记录包括 姓名、地址、电子邮件地址、支付方式、支付方式的后四代码、护照扫描件、订单细节、有版 权的出版物(如书籍、电影剧本、电视节目脚本等)、教师临时测试的答案、证书、文凭和学 位、医学文件、平面图、乐曲、宗教典籍、内部军事文件(包括机密信息)。其中军事文件属 于美国和英国军方,专家还注意到其中甚至存在来自印度、尼日利亚和斯里兰卡的 Doxzoo客户的数据。 0% 10% 20% 30% 40% 50% 60% 未知 BlueKai Git Microsoft Azure Blob SQL数据库 S3 bucket Elasticsearch 数 据 泄 漏 的数据源占比 09 2.6 泄漏数据类型占比 细分为个人自然信息、个人行为信息、个人身份鉴别信息和个人关系信息等子类。其中, 个人自然信息包括基本信息、财产信息、健康信息等个人本身具有的属性,在数据泄漏事 件中占比为43%。 业务信息泛指企业机构开展业务相关的信息,包括业务记录、合同、图纸、源代码和技 术工艺等内容。业务信息在数据泄漏事件中占比为37%。 个人身份鉴别信息包括传统鉴别信息、生物特征信息和其它辅助鉴别信息。在数据泄 漏事件中的占比为10%。个人身份鉴别信息通常会被用在后续的犯罪活动中,黑客通过 收集互联网已泄漏的用户账号及密码信息,生成对应的字典表,尝试批量登陆其他网站 后,得到一系列可以登录的用户,这种被称为“撞库”的攻击又会导致更多的数据泄漏,因 此所造成的危害是持续的。 个人行为信息包括网页浏览记录为和交易记录等信息,占比为8%。2020年9月,微软 Bing 爆出罕见的网络安全漏洞,公司员工由于误操作,使后端Elasticsearch 系统暴露在 网上,有超过 6.5 TB 的日志文件被曝光,其中包含来自 Bing 搜索引擎的 130 亿条记录。 0% 10% 20% 30% 40% 50% 60% 70% 其它 个人关系信息 系统信息 个人行为信息 个人身份鉴别信息 价值信息 业务信息 个人自然信息 个人信息 在所有数据泄漏事件中,泄漏数据包含个人信息的占比超过60%,居首位。个人信息可 泄 漏数 据 类型占比 10 2.7 数据泄漏人员类型占比 泄漏数据除了设备和位置的详细信息,还包括使用移动应用执行搜索的确切时间,用户 从搜索结果访问的 URL 的部分列表以及三个标识符。 含10种侦察技术。泄漏的个人信息和系统信息则是其中8种侦察技术的目标,也就是说, 一次网络攻击所需要侦察的信息,80%可以从泄漏的数据中获取。 泄漏事件占比达到52%。外部人员除黑客外,还包括组织机构的合作方员工。黑客通常采 用钓鱼、SQL注入、恶意代码、社会工程等方式窃取数据,也会通过扫描网络,搜索任何人 都可以访问的数据库并直接获得数据。组织机构的合作方员工则由于熟悉环境,但又常 常不在监管范围之内,对机构的数据造成很大威胁。 内部人员造成的数据泄漏接近50%,包括主动的泄密和由于失误造成的泄密。在主动 的泄密类型中,内部人员受利益驱动泄漏数据,或者被外部人员欺骗泄漏,或者对企业有 不满情绪而泄漏。失误造成的泄密类型中,由于安全意识或者流程的问题,造成安全策略 配置错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。 有组织的窃密占数据泄漏事件的33%。组织化窃密可以分为官方组织和非官方组织。 非官方组织以著名的“Anonymous”为例,核心成员来自世界各地,多达数千名。这些黑 客可以进入大公司和政府部门内部网站,中断他们的服务,删除备份数据,截取电子邮件 以及盗取各种文件。 0% 10% 20% 30% 40% 50% 60% 合作伙伴 政府支持 组织窃密 内部人员 外部人员 每一个数据泄漏事件背后,都是有实际操作人员的。统计发现,外部人员导致的数据 在MITRE ATT&CK框架中,侦察(Reconnaissance)环节是所有攻击行为的起点,共包 数 据 泄 漏 人员类型占比 11 2.8 数据泄漏各阶段占比 由政府支持的窃取数据行为,通常与APT攻击关联,由于潜伏期长,不易发现,因此占 比较低。合作伙伴泄漏数据近年来有增长趋势,一般发生在提供运维服务、业务外包等场 合,因此在选择合作伙伴时,除了管理制度上的措施外,还应评估合作方在保护数据安全 方面的资质和能力。 存储阶段的占比最高,超过40%,与2019年相比有所下降。这意味着其它阶段的数据泄漏 事件在上升。针对存储阶段的数据安全防护固然重要,其它阶段的数据安全也需要给与 同样的重视。 使用阶段的数据泄漏占比接近30%,仅次于存储阶段,是数据泄漏的高风险阶段。数 据在使用阶段的泄漏方式包括肩窥(shoulder surng)、掠读(skim)、拍照、截屏和打印 等。使用阶段泄漏的数据量比存储阶段泄漏的少,但是发生得非常频繁。 交换阶段的数据泄漏占比为14%。说明与合作伙伴进行数据共享交换,也容易发生数 据泄漏。2020年11月,瑞典最大的保险公司Folksam证实,近100万客户的个人信息已泄 露给Facebook和Google等社交媒体。从Folksam接收个人数据的公司有Facebook、 Google、Microsoft、Linkedin和Adobe。这些企业本意是分析folksam的客户及其他访 问者登录的信息,向客户提供定制产品。但是在数据交换共享过程中,敏感个人数据如个 人社会保险账号等信息遭到泄漏。 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 销毁 交换 使用 存储 传输 采集 数据泄漏可以发生在其生命周期中的任何一个阶段。据统计,2020年数据泄漏发生在 数 据 泄 漏 各阶段占比 12 2.9 个人信息泄漏行业占比 个人信息泄漏最严重的是互联网行业,占比接近30%。除了涉及社交网站、在线招聘网 站、数字营销公司、约会网站、电商网站等,还包括以互联网形式运作的教育、金融等企业 和组织机构。互联网行业内部,各企业对数据安全的态度差异明显,并且只有少数头部企 业能够在数据安全方面有实质性的投入。由于互联网行业的特殊性,该行业既是个人信 息泄漏的受害者,同时(其中个别企业)也在一定程度上加剧了数据泄漏。 大的吸引力。根据美国卫生与公共服务部(HHS)民权办公室(OCR)披露的安全事件数据 显示,2020年美国医疗保健行业发生规模以上(500+条)数据泄露事件的数量创下了历 史新高。涉及500条及以上记录的上报医疗保健数据泄露事件多达642起,较上年增长 25%。 金融保险行业的个人信息泄漏占比为13%。泄漏的原因除了外部攻击,还包括缺乏访 问控制、非授权访问、数据库配置错误、“内鬼”和系统漏洞。2020年上半年,国内银行接连 爆出个人信息泄漏事件,泄漏的数据涉及公民个人征信信息和贷款客户财产信息,涉案 人员甚至涉及银行行长。 0% 5% 10% 15% 20% 25% 30% 35% 其它 交通运输 制造业 能源 教育 政府机构 运营商 金融保险 医疗 互联网 医疗行业的个人信息泄漏占比接近20%。这说明医疗行业的个人信息仍然保持着巨 个人信息泄漏行业占比 13 2.10 个人信息泄漏维度占比 运营商行业的个人信息泄漏占比为10%,但每次泄漏事件影响面极广。2020年5月,泰 国运营商AIS发生数据泄漏,事件波及数百万名用户,数据记录达83亿条,容量约为4.7 TB,且每24小时新增2亿记录。发生泄漏的数据库无需密码即可访问,包括DNS查询和 Netow数据。 个人信息包含了很多维度的个人相关数据。在泄漏的个人信息中,姓名出现在45%的 个人信息泄漏事件中,其次是电话号码,泄漏的占比为32%,第三位是电子邮件,泄漏占 比为31%,登录凭据的泄漏占比为25%,排在第四位。 2020年第三季度,许多社交网络和短信用户看到了一些新闻的屏幕截图:CNBC报道了 Facebook向新冠疫情受害者捐款的消息。并提示想获得捐款,就要点击链接填写一些文 件。这个链接与Facebook没有任何关系,只是一个伪造的页面。要申请捐款,必须输入用 户的Facebook用户名和密码,然后提供个人信息验证身份,包括SSN(社会安全号码)。这 些信息可能会被用于身份盗窃或银行卡诈骗。值得注意的是,Facebook确实准备为新冠 疫情受害者提供支持。但它只涉及对公司的拨款,而不针对个人。 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 50% 其它 身份证号码 信用卡号 IP地址 生日 家庭住址 登录凭据 电子邮件 电话号码 姓名 Email地址通常会被用来发送钓鱼邮件、或者各种非法广告,对社会造成二次危害。 个人信息泄 漏 维度占比 14 2.11 个人信息泄漏严重程度占比 96%以上的用户会在多个网络系统应用中使用相同的账号凭据,因此登录凭据泄漏,会 引起一系列连锁反应。据调查,失窃的目标网络管理员账户的网络黑市价格,平均高达 7768美元。2020年底,数以十万计的Spotify订户在凭据填充攻击期间经历了服务中断, 该攻击试图验证窃取的Spotify账户登录信息。凭据填充攻击利用了从多个泄漏源中获取 的带密码账户。攻击者使用泄露的登录凭证通过自动化脚本攻击其他网站。Spotify表示, 在其2.99亿月度活跃用户中,有35万个账户受到了攻击。 个人信息泄漏所引起的危害严重程度是不一样的,有必要对每一次个人信息泄漏事件 进行危险等级评估,这有助于受害者选择不同级别的响应措施。本报告根据所泄漏个人 信息的分类和分级信息,及泄漏数据影响的人员数量,制订了危险等级评估方法,将个人 信息泄漏事件的危险等级分为四等,分别是低等危害、中等危害、高等危害和严重危害。 根据统计分析,具有中等危害的泄漏事件达到34%,低等危害的泄漏事件为30%,高等 危害的泄漏事件为9%,严重危害的泄漏事件为2%,25%的泄漏事件由于缺乏泄漏的数 据内容、规模、影响人数等信息,无法做出对应的评估。 34% 30% 25% 9% 2% 中等危害 低等危害 未知 高等危害 严重危害 登录凭据是指登录系统时用于验证身份的信息,常见的登录凭据就是口令或密码。 个人信息泄漏严重程度占比 数据泄漏将会日趋严重。数据泄漏事件的数量以及单次泄漏的数据量都呈逐年增高 的趋势,泄漏的数据内容和影响的人数也在不断刷新纪录。在数字经济时代,数据已经成 为生产要素。受利益驱动,对数据的争夺将会更加激烈。 数据安全挑战不断。线上业务的爆发、或业务上云都使得数据安全风险骤增。虽然数 据安全技术在持续进步,但新技术的出现仍会对现有安全体系形成冲击。例如大数据技 术、5G、人工智能、云计算和物联网使防护场景更复杂,数据交易使数据的流动更频繁,这 都要求数据安全技术和理念不断演进。 对数据安全的认识不足。很多起数据泄漏事件是因为员工对数据安全缺乏足够重视。 数据安全与网络安全相比,尚未得到完全普及。很多组织机构无法判断数据安全的范围, 认为做好网络安全就能拥有数据安全。这导致组织机构的员工从未认真对待过数据安全 风险。 流动数据发生泄漏的风险增加。数据泄漏在使用交换阶段的占比增加,将会对数据流 动产生负面影响。数据作为生产要素,自主有序流动是其本质要求。惟有数据安全先行, 数据流通共享才能达到一个全新的高度,数据的价值才能得到充分发挥。没有数据安全, 不足以谈数据要素的市场化配置。 当前的数据安全缺乏体系化防护。数据发生泄漏的原因多且复杂,有关联的因素包括 人员、应用、数据内容和使用方式等方面。企业机构目前仅依赖若干孤立产品进行安全防 护,已不能应对当前复杂的应用场景,更谈不上创新性和前瞻性。 Summary总结 15 03 4.1 加强数据安全风险监控 尽早发现数据安全风险并进行处置,是减少安全事件,降低损失的最佳办法。反之,放 任风险暴露,甚至意识不到安全风险的存在,是对数据极其不负责任的行为。随着数字经 济时代的来临,数据的流动成为常态。数据的风险贯穿于诞生到销毁整个生命周期,除了 过去重点关注的数据存储环节,使用和共享交换环节的风险也同样惊人,因此,对数据安 全的风险监控可以重点考虑如下三个方面: 一、安全措施稽核。主要监测数据是否按照分类分级结果进行了安全防护,例如敏感字段 是否加密存储,个人隐私是否在使用过程中脱敏,重要数据是否有访问控制机制,数据存 储环境是否合规等。 二、操作行为监测。数据操作包括数据的访问、使用、共享等行为,数据操作日志则蕴含了 丰富的线索,可以通过监测操作行为的时间、动作、IP、应用、内容、频率等信息,识别出高 风险点,帮助安全团队采取措施减少风险。 三、系统漏洞监测。定期对现有安全防护体系进行验证,通过漏洞扫描、渗透测试等方式 发现防护体系中存在的安全漏洞,及时进行风险评估和处置。 Suggestions建议 16 4.2 加强企业云上数据防护 数据上云使数据资源能够更加方便快捷的使用,同时也带来了数据泄漏的风险。这主 要是因为上云后的数据脱离了传统安全边界的保护,且对新环境下的数据安全风险认识 不足。当前以Shodan为代表的网络空间搜索引擎,能够在全球范围内搜索到连接互联网 的所有数据库,没有实施保护措施而将数据上云,几乎等同于直接把数据公开。因此,建 议计划数据上云的企业可以从如下四个方面考虑数据安全的防护措施: 04 17 通过实时的数据分类分级,机构组织能够正确地评估数据所面临的风险,能够根据风 险的高低为不同级别数据制订有差异化的防护策略,将有限的安全资源发挥最大价值。 数据分类分级工作通常需要注意两点: 一、时效性。数据分类分级的结果是用来指导数据安全保护工作的,应该保证一定的时效 性,如果分类分级结果反映的是半年前,甚至一年前的情况,那么分类分级的作用就会大 打折扣。 二、准确性。这一点的重要程度显而易见,但实际情况中,组织机构在分类分级工作中仍 有很大提升空间。采用更先进的内容识别技术,同时减少人为因素导致的错误,将会对提 升分类分级准确性有极大帮助。 构对数据存在的风险无法正确评估,一种结果是机构组织在日常工作中对数据安全缺乏 足够的重视,另一种结果则是对所有数据都施以最高级别的保护,造成巨大浪费。 4.4 对数据进行分类分级保护 当前数据安全保护工作最大的挑战是不清楚哪些数据需要保护。这种状况导致组织机 一、对上云的数据进行分类分级,识别出高风险数据,并对云上环境进行风险评估。 二、对业务进行梳理,明确数据使用的场景,关闭不必要的服务,仅允许可信的访问请求。 三、采用必要的技术手段对数据进行防护,对安全策略和安全配置进行验证,防止安全策 略未落地,或者安全配置错误。 四、提升员工的数据安全意识,建立合理的操作流程制度。 4.3 数据防泄漏与数据防勒索并重 数据防泄漏与数据防勒索通常由不同的解决方案负责,这在2020年及以前是可以接 受的,但是根据本报告所搜集的数据显示,数据泄漏与勒索攻击正在加速融合。攻击者依 靠这一手段占据充分优势,不但加密了数据,还获得了敏感信息。勒索的筹码增多,令受 害者更容易就范。因此,防勒索的同时,还应兼顾数据防泄漏,否则无法彻底杜绝被勒索。 细分为个人自然信息、个人行为信息、个人身份鉴别信息和个人关系信息等子类。其中, 个人自然信息包括基本信息、财产信息、健康信息等个人本身具有的属性,在数据泄漏事 件中占比为43%。 业务信息泛指企业机构开展业务相关的信息,包括业务记录、合同、图纸、源代码和技 术工艺等内容。业务信息在数据泄漏事件中占比为37%。 个人身份鉴别信息包括传统鉴别信息、生物特征信息和其它辅助鉴别信息。在数据泄 漏事件中的占比为10%。个人身份鉴别信息通常会被用在后续的犯罪活动中,黑客通过 收集互联网已泄漏的用户账号及密码信息,生成对应的字典表,尝试批量登陆其他网站 后,得到一系列可以登录的用户,这种被称为“撞库”的攻击又会导致更多的数据泄漏,因 此所造成的危害是持续的。 个人行为信息包括网页浏览记录为和交易记录等信息,占比为8%。2020年9月,微软 Bing 爆出罕见的网络安全漏洞,公司员工由于误操作,使后端Elasticsearch 系统暴露在 网上,有超过 6.5 TB 的日志文件被曝光,其中包含来自 Bing 搜索引擎的 130 亿条记录。 About Secsmart关于闪捷 18 5.1 公司介绍 闪捷信息科技有限公司(Secsmart)是一家专注数据安全的高新技术企业,在业界率 先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据 安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据库 安全、数据防泄露、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、 教育、医疗等行业。 闪捷信息由归国留学人员创办,创始团队具备全球数据安全视野和技术实践能力,以 “让数据资产更安全”为使命,已拥有40多项发明专利和软件著作权,获国家保密局、国家 信息中心、公安部等权威机构认证,在商密、涉密领域均有建树。目前,闪捷信息已在全国 设立2个研发中心和20多个分支机构,与国家应急管理部、国家互联网应急中心、国家电 网、南方电网、中国移动、中国电信、腾讯等1000多家知名单位持续合作。 闪捷信息秉持“征途路上、你我同行”的企业文化,以满足客户需求为导向,愿与广大 合作伙伴共建数据安全生态体系,以先进技术创新为数字经济发展保驾护航! 05 Appendix附录 19 6.1 附录A:MITRE ATT&CK框架侦察技术列表 6.2 附录B:个人信息泄漏严重程度评估表 侦察技术 侦察技术子项 主动扫描 收集目标主机信息 收集目标身份信息 收集目标网络信息 收集目标机构信息 钓鱼收集 搜索不开放信息源 搜索开放技术数据库 搜索开放站点/域名 搜索目标站点 IP段扫描、漏洞扫描 硬件信息、软件信息、固件信息、客户端配置 搜索目标站点 社交媒体、搜索引擎 WHOIS、DNS/被动DNS、数字证书、CDNs、扫描数据库 威胁情报厂商、购买技术数据 钓鱼服务、钓鱼附件、钓鱼链接 业务关系、确定物理位置、识别业务工作时间、识别角色 域信息、DNS、网络信任依赖、网络拓扑、IP、网络安全技术 账号凭据、邮箱地址、员工姓名 严重程度 描述 低等危害 中等危害 高等危害 严重危害 泄漏的个人信息仅包含虚拟个人信息 泄漏的个人信息仅包含物理世界个人信息 泄漏的个人信息包含虚拟个人信息和对应的物理世界个人信息 泄漏的个人信息既包含虚拟个人信息,也包含物理世界个人信息 06 地址:杭州市文一西路998号未来科技城海创园 闪捷信息科技有限公司 全国统一服务热线:400-811-8806 邮箱: 网址:
展开阅读全文