2020年4月1日,万豪国际首次披露今年2月底检测到的数据泄露事件,近520万房客个人隐私信息被泄露,数据涉及个人姓名、地址、电话号码以及会员账户信息、伙伴关系与从属关系信息、客户偏好等。这也是万豪继2018年11月喜达屋5亿条用户数据泄露事件后发生的又一起重大安全事件。
在全球来看,数据泄露事故并非偶发现象。据安全情报供应商Risk based Security (RBS) 的2019年Q3季度的报告,2019年1月1日至2019年9月30日,全球披露的数据泄露事件有5183起,泄露的数据量达到了79.95亿条记录。
2019.3某安全研究人员对外披露一个可公开访问的 MongoDB 数据库,包含9.8亿条数据记录;
2019.4 Facebook的应用服务商Cultura Colectiva上5.4亿数据由于数据库配置错误导致数据泄露;
2019.5 澳大利亚的平面设计服务网站 Canva被一名黑客攻破,窃取1.39亿用户数据;
2019.5美国房地产和产权保险巨头First American 8.85亿份敏感客户财务记录被泄露;
2019.12国外网络安全研究人员发现Elasticsearch 数据库27 亿个电子邮件地址泄露;
数据“洼地”行业成为泄露的重灾区
近几年,随着信息技术与众多产业的融合以及全球资产数字化的发展的新趋势,个人与企业数据的价值剧增,掌握海量用户个人信息的行业和企业频繁面临数据泄露的安全风险。尤其金融、保险、教育、医疗、科技、政府等行业作为数据的“洼地”,已成为黑客和黑产的主要攻击目标。纵观历年数据泄露事故,不仅数据规模惊人,动辄千万级甚至上亿,同时泄露数据的颗粒度愈发精细、全面,对于企业和用户都造成了直接或间接的巨大损失。
随着互联网技术在社会各方面的渗透,个人生活工作的便利与企业效率的提升常常是通过个人让渡一部分隐私权实现的。这其中有用户对个人隐私保护的轻视,但更多来源于部分企业对于用户个人信息的过度索取,导致大量个人用户的信息以数据方式存储于企业的数据库中,形成了数据聚合的“洼地”。
而数据本身也存在一定的安全风险。产业互联网时代,企业在生产、运营中都高度依赖数据,数据从生产之初就会进入传输、存储、处理、分析、访问与服务应用等各环节且循环往复,并在流动的过程中产生大量的接触和交互——内部的研发和运营管理人员的经手,服务器、云平台、大数据处理与分析系统中的流动,与众多伙伴、客户的共享,这些都使得数据面临安全风险。
结合近几年新闻曝光的事故统计和研究资料表明,黑客、公开数据库、数据库配置错误、“内鬼”是数据泄露的四大“罪魁祸首”——
黑客:利用特定的漏洞来窃取信息,通过暗网或黑市交易获取利益;
公开数据库:因选型不当或技术疏忽而对数据库未加保护,使其暴露于互联网上;
数据库配置错误:错误地关闭云提供商标准化的默认安全设置,或对某些服务允许不受限制的访问设置;
内鬼:员工数据盗窃、员工贿赂和售卖信息、运维人员报复性操作等;
此外,非授权访问、系统或者网站漏洞等也会引发数据泄露风险,随着AI、大数据、云计算等新技术被黑客应用,原有的数据安全防护体系不得不面临更大的压力。
企业应如何防护数据安全?
风险背后,是企业数据防护思维和体系的缺位。在传统的安全构架中,企业依赖于特征匹配的防御模式,即把已出现的攻击事件写入特征库再进行同类型防御操作;由于已有特征的局限性,往往会使企业在面对新攻击时应对滞后或束手无策,造成严重的经济损失。那么,对于数据存量高、信息流动性强的企业,到底应如何构建数据安全的防护体系呢?如何转后手为先手,让安全防护更具主动性和前瞻性呢?
腾讯安全数据安全负责人彭思翔表示,数据泄露事件折射出的是仅仅依靠单点防护难以达到真正的安全防护效果。企业保护数据安全应该转向以数据为中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的安全防护。具体来说,构建全生命周期的防护体系分为四大阶段:
1)数据安全的梳理。企业对应在数据生产之初就加强数据管理的分类和治理,包括对数据进行感知、风险识别和分级,明确定位哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略,做到加强感知、联防联控。
2)管理制度的建设。数据安全不仅是技术问题,更是管理问题。由于目前数据的流动速度快、流动体量大,仅靠企业的安全运维人员和基础的安全防护设备已经难以满足数字资产的风险响应、运营维护、防越权治理等需求,而是需要通过数据安全的相关产品把制度落地。通过自动化的工具来清点数据资产,快速明确核心数据分级和资源分配,实时监控访问权限和访问行为轨迹;同时需要重视运维审计和数据库审计,一方面为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密,一方面对数据库运行进行智能化审计,对数据库运行过程中的潜在风险进行挖掘。
3)解决方案的落地。在数据存储、传输、使用的过程中,应充分应用先进的数据保护技术,如加密和脱敏技术,针对机密数据则需要持续性的保护。企业必须确保其数据库、文档管理系统、文件服务器在整个生命周期内正确分类和保护机密数据;通过密钥管理对数据访问权限进行限定,集中管控以及安全存储数据库凭证、API密钥和其他密钥、配置信息等敏感凭据以避免越权操作行为。善用数据安全产品和工具,即使出现了不可逆的黑客攻击导致数据泄露的情况,也能够最终靠水印追溯和数据加密保护等技术尽可能地降低企业和个人损失。
4)强化安全运营,企业应当加强事前-事中-事后的全流程安全保障,打造覆盖全生命周期的预防、检测、响应和可视的安全运营体系。企业用户都能够参考或直接使用腾讯安全公有云安全运营中心的产品,它最重要的包含:
事前:通过攻击面测绘可以发现有不应暴露的运维端口在公网;通过云产品安全配置管理,可以检查服务器、数据库有没有部署访问控制,有没有开启数据备份,做到防患于未然。
事中:能够最终靠Cloud UBA(用户行为分析)分析发现一些过度授权的子账号与协作者账号以及相关用户的异常操作行为,例如用户权限提升、高危操作等,有效识别云控制台只能够用户操作的异常行为。同时通过流量威胁感知功能,可识别云上资产互联网流量中的异常外连等内到外数据泄漏威胁。此外,通过泄漏监测,可帮助用户实现对Github及暗网上的数据泄漏事件进行监测。
事后:通过接入的云操作行为日志、云产品配置变更日志及各类安全产品日志,能轻松实现事后的全面分析和调查溯源,及时分析定位安全事件。
此外需要着重关注的的是上云企业应偏重考虑完整、场景化的解决方案,以确保企业数据防线稳固可靠。
腾讯安全助力企业快速有效的数据防护体系
腾讯副总裁丁珂曾表示:腾讯安全围绕海量数据构建了原生、全生命周期纵深防御技术架构和安全运维体系,致力于护航产业互联网安全。安全防护的本质是最大限度发挥“人+工具+方法”的组合能力,而腾讯安全依托过去20年在数据安全防护方面积累的技术、人才、生态经验等优势,可以协助企业快速地构建全生命周期的安全防护体系。
开箱即用的“云数据安全中台”:在数据加密保护方面,腾讯安全整合数据加密软硬件系统(CloudHSM / SEM)、密钥管理系统(KMS)以及凭据管理系统(Secrets Manager)三大能力,推出了“云数据安全中台”,打造了端到端的云数据全生命周期安全体系,将密码运算、密码技术及密码产品以服务化、组件化的方式输出,并无缝集成至腾讯安全产品中;通过标准化的API接口/SDK服务,实现从数据获取、事务处理及检索、数据分析与服务,数据访问与消费过程中的安全防护。
前沿安全技术应用落地:在具体的安全产品上,腾讯安全应用了诸多前沿的安全技术。为了对抗量子计算对加密的威胁,开发了量子计算机也无法破解的抗量子加密算法;使用AI引擎的数据库审计,可以更精准的识别如SQL注入等恶意语句,并实现了20万SQL每秒的业内领先吞吐速度;在大数据融合计算中,提供K匿名脱敏算法,保证个人隐私数据无法被还原窃取,同时将误差控制在2%以下,极大的保留了数据的可用性;另外还获得了密文求交集的研发专利,针对性解决联合营销推广、征信查询、联合建模等场景下的数据泄露风险。
顶尖安全专家全程护航:腾讯安全集结旗下七大实验室的全球顶级白帽黑客以及深耕各行各业安全专家,组建的3500+人安全专家服务团队全程护航企业建立和运营数据安全体系全过程,为企业量身定制包括但不限于合规咨询、风险评估、安全规划、数据治理、安全审计、应急演练、安全培训等一站式服务。