防护系统:数据安全的钥匙

安全研究员Vinny Troia在2018年6月发现,市场营销和数据聚合公司Exactis已将一个数据库暴露在可公开访问的服务器上。

1.jpg

该数据库包含2TB的信息,这些信息涵盖2.3亿人,几乎是全美的上网人口。库中所含个人信息非常详细,包括电话号码、家庭住址、电子邮箱地址和其他与个人特征高度相关的信息。从个人爱好、习惯到家中小孩人数、年纪和性别都有。

值得关注的是,此次Exactis的信息泄露并不是黑客撞库引起或者其他恶意攻击,而是他们自己的服务器没有防火墙加密,直接暴露在公共的数据库查找范围内。

那么对于掌握大量用户数据的企业来说,自身的数据泄露防护系统就显得尤为重要。

25%数据泄露事件由内部造成

在我国,数据泄露事件时有发生。去年6月,我国的圆通快递10亿条快递数据被曝在暗网上开售,数据为2014年下旬的数据,信息包括寄(收)件人姓名、电话、地址等信息。

去年8月,华住旗下多个连锁酒店开房信息数据在暗网出售,受到影响的酒店包括汉庭酒店、美爵、禧玥、漫心、诺富特、美居、海友等,泄露数据总数近5亿条。

据研究人员表示,此次泄露的原因是华住公司程序员将数据库连接方式及密码上传到开源项目平台GitHub导致的,数据库信息是20天前传到Github上,黑客拖库是在14天前,也就是说导致此次泄露事件的直接原因不是黑客拖库,而是企业自身的数据防护措施不到位。

就在今年4月,哔哩哔哩弹幕网(B站)发生“源代码外泄”事件,其后台工程代码被上传至GitHub上,内容疑似包含部分用户名密码,由于网站的开源性质,登录网站者均可使用,该事件一度引起热议,当天B站美股盘前跌逾5%。

综合来看,数据泄露不仅有外部原因,内部原因导致的信息泄露也时有发生。Gemalto《2017年的数据泄露调查报告》显示,数据泄露事件由内部导致的占比25%。在主要攻击手段上,配置或操作失误占比17%,特权滥用占比13%。

组织内部的违规事件通常是由组织内部的员工或领导者引起的,却是所有数据泄露事件中代价最高昂且最难检测到的事件。根据《2018年IBM X-Force威胁情报指数》调查报告,2017年数据泄露的事件中有2/3是组织内部人员无意造成的结果,而组织的内部威胁也是导致网络攻击的主要原因,达到数据泄露事件总量的60%。同时,2017年因组织内部员工疏忽导致的错误配置的云计算服务器和网络备份事件中,总共泄露了20多亿条数据记录。

数据泄露防护市场规模达9.6亿

在互联网迅速发展的大背景下,数据安全已经上升到各行各业的重要战略层面。而数据防护系统作为一套完整体系,能够用以解决不同类型用户的不同需求,促使我国数据泄露防护市场保持快速增长。

根据赛迪顾问公司调查研究的《中国数据泄露防护产品市场研究报告》显示,2017年,数据泄露防护市场规模达到7.8亿元,同比增长25.3%,同时,在国家政策的大力支持和重视下,数据安全需求不断扩大,2018年我国数据泄露防护市场规模达到9.6亿元,同比增长23.1%。

从全国范围看,数据安全产业正处于快速发展阶段。随着我国数据信息化的不断发展,广大企业对数据安全的重视程度也日渐提升,我国的数据安全产业开始进入高速发展时期。产业信息化为数据安全产业提供了极具潜力的市场,数据泄露防护产品的不断突破则成为支撑产业发展强有力的技术保障。数据资产信息化、互联网技术的普及,给数据泄露防护市场带来新的变革。

中国作为全球最大的“信息化产品”市场之一,根据报告显示,未来三年我国的数据泄露防护市场将持续处于高速发展阶段,增速保持在20%以上。同时,随着大数据时代的到来,数据安全成为核心资产信息化的重要目标。结合大数据分析技术,推动数据泄露防护的智能化发展。

数据泄露溯源技术有待改进

截至目前,数据安全监控和防泄漏技术已经相对成熟,但数据的共享安全、结构化数据库的安全防护以及数据泄露溯源技术还有待改进。

企业对于信息化的需求,可以概括为保护自己的核心竞争力、提高企业运作效率,而企业所拥有的数据正是企业核心竞争力的保证,所以对于企业来说,增强自身的数据泄露防护系统至关重要。

对于目前国内数据泄露事件,某互联网公司数据部数据工程师徐麟向《数据》记者表示:“在我国,企业的数据泄露防护系统做得还是很不错的。”

一方面,企业会接洽数据泄露防护系统领域的服务供应商,布局传统防火墙、IDS、防病毒等领域;另一方面,公司内部对数据隐私的管理也是非常严格的。“举例来说,我之前在某家电商公司做数据分析师时,用户信息我是无法获取到的,只有在某些特定情况下,比如说举办促销活动,我们才能够获取部分用户信息,拿到的只是销售数据,具体的用户信息是经过加密的。”

对于企业如何能够不断完善数据泄露防护体系,防止信息泄露,徐麟认为,一方面企业需要控制好信息源头,对不同属性的数据进行分类,比如有的数据只能业务部门的人获取,有的数据只能技术部门的人获取。另一方面,企业运维也要做好自主防御系统,成立专门的运维部门,要有良好的数据保护意识,投入大量精力来实现数据隐私保护。

文 / 西瓜少侠

精彩推荐

下载安装手机客户端