北京
近日,闪捷信息安全与战略研究中心发布《2023年度数据泄漏态势分析报告》(以下简称“《报告》”),《报告》通过统计分析2023年国内所发生的数据泄漏事件,结合全球数据泄漏事件的趋势,从数据泄漏事件、时间、人员、动机、数据源以及个人信息泄漏态势进行总结分析,多维度呈现2023年国内数据泄漏的态势全景。
01
数据泄露
不同的数据泄露事件背后,有不同的动机。以获利为目的的数据泄露事件占比超过70%,这说明数据泄露事件,仍然是利益驱动。据观察发现,不法分子在窃取数据后,可以通过售卖个人信息或知识产权变现,也可以勒索受害者获得收入。
统计发现,内部人员导致的数据泄露事件占比接近60%。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中,内部人员受利益驱动泄露数据,或者被外部人员欺骗泄露,或者对企业有不满情绪而泄露。失误造成的泄密类型中,由于安全意识或者流程的问题,造成安全策略配置错误,例如访问权限控制缺失、安全管控颗粒度粗放、账号凭据丢失等。
02
个人信息泄露
个人信息泄露最严重的是金融行业,占比超过25%。保险和金融部门由于其持有高敏感数据而成为最常见的目标。泄露的原因除了外部攻击,还包括缺乏访问控制、 非授权访问 、数据库配置错误、“内鬼”和系统漏洞。
个人信息包含了很多维度的个人相关数据。在泄露的个人信息中,姓名出现在88%的个人信息泄露事件中,其次是电话号码和电子邮件,泄露的占比均超过60%,第四位是登录凭据,泄露占比接近38%,排在第四位。
个人信息的泄露,会通过地下市场流向黑灰产业。电话号码会被利用进行电信诈骗或者广告骚扰,Email地址也会被用来发送钓鱼邮件、恶意软件,或者各种非法广告,对社会造成二次危害。
03
分析总结
供应链安全风险凸显。在分工更加细化的全球化时代,全球供应链的复杂性和互联性日益增加,以及数字生态系统攻击面的迅速扩大和更多潜在漏洞,为攻击者瞄准这一目标提供了更大的动力。一次成功的攻击可以带来巨大的财务或信息收益。
风险监测能力不足。企业缺乏全面的风险评估和监测机制,无法及时发现并预防各类数据泄露、破坏等安全威胁,导致敏感数据和核心业务系统面临巨大风险。在多数情况下,数据泄露事件被公众知晓是滞后的。数据到了攻击者手中,甚至开始地下交易,或者开始造成不良后果,才引起了数据处理者的关注。未能在发生数据泄露前及时识别风险,那就更谈不上采取应急措施减少损失。
个人信息泄露严重。个人信息的泄露,会对企业和个人造成损失,也为以后的数据泄露提供了便利。个人信息富含社会关系、访问凭据、健康和资产信息,包含了主体可以被进一步利用的数据,既可以在地下黑市交易,也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄露,为社会的不安定埋下了隐患。
勒索攻击常态化。勒索攻击已经开始向RaaS(勒索软件作为服务)模式转变。其中最有代表性的当数Netwalker勒索软件。RaaS模式降低了勒索攻击的技术门槛,使得攻击者不需要具备编码和网络渗透技术,只需要购买勒索攻击的服务,即可执行高度复杂的勒索攻击。这为越来越多的犯罪分子提供了便利,也意味着未来会有更多的勒索攻击事件。
员工依然是安全防护的薄弱点。除了员工恶意地实施数据泄露之外,还有相当比例的数据泄露与员工的疏忽和安全意识不足有关。一方面,人为错误直接暴露信息,另一方面,无法准确地辨识威胁使得社会工程和各种钓鱼攻击能够得逞。泄露的信息又增强了下一次攻击的欺骗性,这是一个恶性循环。
04
降低数据安全风险的建议
加强对合作伙伴的安全能力评估
建立合作伙伴的评估机制和标准体系,明确数据安全的合规要求和风险承受能力,通过审计合作伙伴的安全政策、技术措施、人员素质等多个维度,结合实地检查、渗透测试、案例评审等手段,全面考查合作伙伴在访问控制、加密传输、 数据备份 、漏洞修复、应急响应等方面的能力表现,识别其在数据全生命周期各环节可能存在的风险隐患。
建设数据分类分级保护能力
依据数据的敏感程度、重要性和相关法规要求,制定数据分类分级标准和规范。针对不同级别数据,采取差异化的安全保护措施,建立数据全生命周期管理机制,从数据采集、传输、存储、使用到销毁各环节,落实相应的安全技术及管理制度。
开展全链路数据流转风险监控
制定完善的数据流转策略和管控机制,明确各环节的操作规范、风险审查流程以及人员权责分工。建立数据流转事件的发现、处置及追溯机制,确保一旦发生安全事件,能够快速控制、止损和问责。对数据在各个系统和应用之间的传输进行全链路监控和审计,实时捕获异常行为,如未经授权访问、数据篡改或泄露等风险事件。
加强企业云上数据防护
制定全面的云安全策略和管理制度,明确云上数据分类分级要求、访问权限控制、加密存储/传输等规范,实现风险的全方位监控和防御。同时,对平台安全能力进行严格审核评估,开展定期的云上数据安全检查和应急演练,提高风险发现和应急响应能力。统筹兼顾技术、管理、人员等各方面资源,构筑企业云上数据的安全防线。
建立数据安全运营能力
通过建设流程和制度,保障企业组织的数据安全能力持续发挥作用并不断优化。定期培训和宣贯数据安全技能,提升员工辨识钓鱼攻击的能力。对安全产品进行预防性维护,最大限度地提高现有安全工具和措施的有效性;定期进行脆弱性评估,任何配置的变更都要进行评估和验证。建立安全事件响应机制,定期演练。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
