2019年全球数据安全事件盘点及行业分析报告

 

在全球范围内,重大数据泄露事件的发生向来是备受关注的焦点新闻。然而令人遗憾的是,这类“顶流”新闻的数量正在连年增长,并在2019年“再创新高”…

从理论角度来看,无论安全专家采取何种防御措施,攻击者都可以绕过;无论组织大小,都无一幸免的会成为数据泄露的受害者。不管哪个组织,存储着什么类型的数据,规模有多大,似乎总有一双“眼睛”在注视着它们,并试图进行盗取或破坏行为。

医疗信息、账户凭证、公司电子邮件、企业内部敏感数据等等等等,每时每刻都在面对威胁或发生泄露。有统计显示,2016年全球共发生数据泄露事件1673起,造成7.07亿条数据泄露;而仅仅在两年后,这一数字就猛增至4600起和35亿条。

根据IBM最新的数据泄露年度成本研究,通过对包括法律、监管和技术活动、品牌损失、客户和员工生产力损失等数百个成本因素的考量,数据泄露的平均成本现已高达392万美元,而这些费用在过去五年里增加了12%。

安华金和作为专业的数据安全产品与解决方案提供商,公司旗下数据库攻防实验室的数据安全专家们对过去一年发生在全球范围内的代表性数据安全事件进行梳理分析,并围绕数据安全行业现状、发展趋势、政策法规等方面给出概括总结与相关建议。下面,就让我们一同回顾,2019年数据安全领域发生过的那些“麻烦事”吧:

 

【一月】

1、苹果iOS 12.1重大漏洞被曝光:FaceTime通话可被窃听

报道时间:2019.1

信息来源:雷锋网

原文链接:https://www.leiphone.com/news/201901/ihGJPmLLwuiWsyAb.html

向来以注重用户隐私安全为“标签”的苹果公司出了状况:在其运行iOS 12.1及更新版本iOS操作系统的设备上,其预装的FaceTime应用被曝存在重大安全漏洞——在对方接听或者拒绝接听前,用户就能听到对方的谈话声音。

美国科技媒体The Verge进行了实机测试:首先,他们用一部iPhone X中的FaceTime向另一部iPhone XR拨打远程电话。结果确实如上述所说,在尚未同意接听电话的情况下,从iPhone X中传来了XR一端环境中的嘈杂声,其中测试人员谈话的内容也清晰可辨。

目前,几乎所有的iPhone设备上都会预装FaceTime软件,这将意味着几乎所有符合条件的iOS用户都会面临相当大的隐私问题。除此之外,也有媒体在实测中发现,当用户按下锁屏的电源按钮后,视频也可能被直接传送到对方的手机设备上。

对此苹果方面称,如果用户对于FaceTime的服务产生了质疑,完全可以通过设置页面禁用这一功能,而这个问题将在“本周晚些时候”的软件更新中得到解决。

安华金和专家分析:这些私人聊天记录及视频属于敏感数据。很显然,这个漏洞造成了相当大的隐私问题,“有心之人”可以通过这个途径监听任何IOS用户。也就是说,如果你的iPhone收到一个FaceTime请求,在接听前另一端的人就可能正在监听。“本周晚些时候”这种拖延的做法对客户来说是非常不负责任的,问题需要尽早得到解决。建议用户在“问题真正得到解决”之前,暂时禁用iPhone和iPad上的FaceTime功能。

2、菲律宾金融服务公司数据泄露,影响90万客户

报道时间:2019.1

信息来源:cnBeta

原文链接:https://www.cnbeta.com/articles/tech/810333.htm

菲律宾金融服务提供商Cebuana Lhuillier表示,大约有90万名客户数据在未经授权的情况下遭到黑客窃取。该公司已向有关部门报警并介入这一事件的调查。此次泄密事件发生时,正值菲律宾调查人员针对菲外交部长指控黑客入侵该国护照数据库展开调查之际。上周,菲外交部长指控称,一家私人承包公司从外交部的护照数据库中窃取了文件和数据。

Cebuana Lhuillier表示,黑客此次针对该公司市场营销部门电子邮件服务器发起的攻击,致部分客户的生日、地址和收入来源等信息外泄。

安华金和专家分析:金融公司数据库中存储了大量的个人隐私信息,如地址、收入来源等,可能被用于电话诈骗、网络钓鱼,造成更为严重的人身及财产损害。如果该公司此前就与网络安全公司合作,应用如数据库透明加密技术等防护手段,那么即使数据被盗走了,犯罪分子也无法获取真实数据,从而保障了数据和相关方面的安全。

3、Voipo数据泄露:价值数十亿美元的客户资料被曝光

报道时间:2019.1

信息来源:cnBeta

原文链接:https://www.cnbeta.com/articles/tech/809159.htm

研究人员发现,语音服务提供商Voipo发生严重数据泄露事件,价值数十亿美元的客户资料被曝光,泄露数据包括700万通话、600万短信记录和Voipo访问E911服务提供商的凭证等。据悉,此次泄露事件源于Voipo后端ElasticSearch数据库无密码保护,因此,所有人均可查询双向发送的实时呼叫日志和文本消息流。事件发生后,Voipo数据库已脱机。

安华金和专家分析: 这起事件是由于公开的公司服务器导致的,遇到该数据库的任何用户均可查看服务器上的实时信息,而数据库中的数据也未采用任何加密措施。公司严重缺乏数据安全防护意识,密码保护是数据库最基本的安全配置,除此之外还应对数据库账号权限、审计日志网络安全配置等各方面的安全性进行加强,以防止用户敏感数据的泄露。

 

【二月】

1、全部数据被清除,美国电邮商 VFEmail宣布倒闭

报道时间:2019.2

信息来源:IT之家

原文链接:https://www.ithome.com/0/409/230.htm

2月14日消息,以“注重隐私”为卖点的美国邮件服务提供商 VFEmail 遭毁灭性打击,其主系统和备份系统上的所有数据均被销毁——黑客直接将该企业积累了近20年的数据以及备份全部删除,VFEmail 被迫宣布倒闭。

在被黑客删除所有数据之后,VFEmail 技术团队于第一时间对黑客的IP进行了追踪,最终定位到攻击者最终活跃位置IP为94.155.49.9,位于保加利亚。但根据猜测该位置很大概率是黑客使用的伪装地址,应该是使用虚拟机和多种访问方式来进行攻击的。此外,由于黑客对 VFEmail 所有的磁盘,包括邮箱主机、虚拟机和SQL服务器集群等进行了格式化处理,即便追踪到黑客真实位置也无力回天。

安华金和专家分析:企业内部能力不足不容忽视,具备足够的的技术能力必不可少,例如正确配置服务器、采取必要的数据加密措施等,避免给黑客留下可乘之机。此外,安全不是简单的边界和外网安全,应适当运用安全工具对数据库做定期扫描,不过只依赖于数据库扫描类工具的定期巡检也是远远不够的。扫描类产品能发现的基本属于已经出现的安全威胁,对未知安全威胁的探查能力可能不足。想要对未知的安全威胁做防护则需要数据库防火墙等更多产品和技术支撑。

2、270万电话记录被未加密存储

报道时间:2019.2

信息来源:PortSwigger

原文链接:https://portswigger.net/daily-swig/healthcare-hotline-millions-of-medical-advice-calls-exposed-in-sweden

瑞典国家卫生服务热线记录的呼叫已存储在未加密的系统中,任何与互联网连接的人都可以公开访问该系统。据当地报道,估计有270万个电话被未受保护的NAS(网络连接存储)系统打开,并且无需密码或任何身份验证即可访问。相关消息称,有57000个瑞典电话号码出现在与音频文件关联的数据库中。Outpost24的首席安全官Martin Jartelius说:“这可能是现代瑞典最严重的隐私泄露事件,该设备是NAS设备,在软件上已经过时了。”

安华金和专家分析:传统的TCP/IP协议不可避免的给NAS带来一些“先天”的缺点。NAS只适用于较小的网络或局域网中,受限于企业网络的带宽,很可能会出现当多台客户端访问NAS文件系统时,NAS的性能大大下降,最终不能满足用户需求的情况。企业对于基础设备的升级不容忽视,相关工作刻不容缓。

3、Verifications.io数据库泄露8亿条记录

报道时间:2019.2

信息来源:cnBeta

原文链接:https://www.cnbeta.com/articles/tech/825487.htm

2月25日,安全研究人员披露了电子邮件验证服务公司Verifications.io的一个可被公开访问的 MongoDB 数据库(被暴露在互联网上)。该数据库大小为 150GB,其中包含超过 8.08 亿个电子邮件、生日、电话、地址、员工信息、IP地址、业务信息以及其它纯文本记录,其余是涉及个人信息的数据缓存。据报道,这家公司的经营地址可能在爱沙尼亚,事件发生后, Verification.io的域名已不再运营。

安华金和专家分析:上述安全事件是数据库暴露在互联网上。Verifications.io数据库包含了大量的电子邮件信息以及用户个人信息,黑客如果获取到如此庞大的敏感数据,可以方便地进行网站钓鱼,用户可能面临更大的损失。用户对于此类邮件要提高警惕,掌握此类用户数据的公司也要提高数据安全防护意识,杜绝此类安全事件再次发生。

 

【三月】

1、英特尔CPU再现高危漏洞 得到官方证实可泄露私密数据

报道时间:2019.3

信息来源:凤凰网科技

原文链接:https://tech.ifeng.com/c/7koSmvDAxRg

北京时间3月6日消息,美国伍斯特理工学院研究人员在英特尔处理器中发现另外一个被称作Spoiler的高危漏洞,与之前被发现的Spectre相似,Spoiler会泄露用户的私密数据。虽然Spoiler也依赖于预测执行技术,现有封杀Spectre漏洞的解决方案对它却无能为力。无论是对英特尔还是其客户来说,Spoiler的存在都不是个好消息。

研究论文明确指出,Spoiler不是Spectre攻击。Spoiler的根本原因是英特尔内存子系统实现中地址预测技术的一处缺陷,现有的Spectre补丁对Spoiler无效。但与Spectre一样,Spoiler可能被黑客恶意利用,以从内存中窃取密码、安全密钥或其他关键数据。

英特尔对此发表声明称,“英特尔已获悉相关研究结果,我们预计软件补丁能封堵这一漏洞。

安华金和专家分析:近几年硬件的安全漏洞越来越多,这些漏洞并不容易修复,而且硬件漏洞带来的影响更大,厂商在不断提高产品性能的同时,也需要在安全性上多加考虑,才能避免这种事情不断发生。

2、FEMA暴露了230万灾难受害者的个人信息

报道时间:2019.3

信息来源:CBS NEWS

原文链接:

https://www.cbsnews.com/news/fema-data-breach-exposed-personal-information-of-2-3-million-disaster-victims/

美国国土安全部监察长办公室周五发布的一份报告中说,FEMA错误地暴露了230万灾难受害者的个人信息,包括地址和银行帐户信息。报告称,发生该违规行为是因为FEMA不能确保私人承包商仅收到其履行公务所需的信息。受影响的受害者包括哈维、艾尔玛和玛丽亚飓风以及2017年加州野火的幸存者,他们或将面临身份盗用和欺诈等风险。

安华金和专家分析:首先,上述事件:“发生该违规行为是因为FEMA不能确保私人承包商仅收到其履行公务所需的信息“反映出内部安全管理的完善不容忽视,部分机构或企业甚至大型互联网企业内部,安全管理制度松懈或得不到有效执行,造成数据主动泄露。数据持有者应将保护用户数据安全放在更重要的位置上。其次,政府行业一直都是数据泄露的重灾区,政府拥有身份证号等多种隐私数据,更有可能拥有私密项目的数据,这些数据一旦泄露后果不堪设想。对更多缺乏保护的政府部门来说,他们需要对自己的数据进行跟踪,记录,对未知的安全威胁进行探查,确保丢失的数据也不能被人利用,为此可以和安全公司合作,运用漏扫、审计、加密等一系列技术。最后,在事件发生后应及时通知受影响用户小心防范。

 

【四月】

1、研究人员发现中国企业简历信息泄露:涉5.9亿份简历

报道时间:2019.4

信息来源:新浪科技

原文链接:https://tech.sina.com.cn/i/2019-04-08/doc-ihvhiqax0769134.shtml

北京时间4月8日上午消息,据美国科技媒体ZDNet报道,有研究人员发现中国企业今年前3个月出现数起简历信息泄露事故,涉及5.9亿份简历。大多数简历之所以泄露,主要是因为MongoDB和ElasticSearch服务器安全措施不到位,不需要密码就能在网上看到信息,或者是因为防火墙出现错误导致。

在过去几个月,尤其是过去几周,ZDNet收到一些服务器泄露信息的相关消息,这些服务器属于中国HR企业。发现信息泄露的安全研究者叫山亚·简恩(Sanyam Jain)。单是在过去一个月,简恩就发现并汇报了7宗泄露事件,其中已经有4起泄露事故得到修复。

安华金和专家分析:具备足够的技术能力必不可少,例如正确配置服务器、采取必要的数据加密措施等,避免给黑客留下可乘之机:

1、启动基于角色的登录认证功能,为admin用户添加密码,并在数据库中添加新用户(需设置密码)启用有效认证功能,修改默认密码;

2、修改默认的MongoDB数据库端口号(默认端口号为:TCP 27017)为其他端口;

3、使用防火墙对访问源IP进行控制,如果仅对内网服务器提供服务,建议禁止将数据库服务发布到互联网上;

4、使用bind_ip选项对登入ip做限制;

5、开启日志审计功能。

2、两家第三方公司收集5.4亿条Facebook相关记录

报道时间:2019.4

信息来源:ZDNet

原文链接:

https://www.zdnet.com/article/over-540-million-facebook-records-found-on-exposed-aws-servers/

数据泄露猎人发现了两台亚马逊云服务器,存储着由两家第三方公司收集的超过5.4亿条与Facebook有关的记录,受影响的用户数量在数百万至数千万之间。

第一台服务器包含大部分数据,属于一家名为Cultura Colectiva的在线媒体平台。该AWS服务器容量为146GB,存储了5.4亿条记录,详细记录了用户的帐户名、Facebook ID、评论、喜欢以及用于分析社交媒体供稿和用户交互的其他数据。

第二台AWS服务器存储了“ At the Pool” Facebook游戏记录的数据。其中包括诸如Facebook用户ID、Facebook朋友、喜欢、照片、组、签到以及用户首选项(如电影,音乐,书籍,兴趣等)之类的详细信息,还有22,000个密码。

安华金和专家分析:两家第三方公司存储着大量的个人隐私信息,这些个人信息泄露会被“有心之人”利用去尝试其他网站的用户账户,这就是所谓的“撞库”。我们习惯于在不同的网站使用相同的账号密码,如果其中一个网站的数据库泄露,那就意味着与之用户名密码相同的网站会发生连锁反应,应尽快更改与之相同的、其他网站的账号密码,尤其是金融或购物类网站,以免造成更大损失。

3、丰田汽车服务器再遭黑客入侵 310万名用户信息存忧

报道时间:2019.4

信息来源:新浪科技

原文链接:https://tech.sina.com.cn/i/2019-04-01/doc-ihsxncvh7398707.shtml

北京时间4月1日晚间消息,据美国科技媒体ZDNet报道,丰田汽车今日公布了第二起数据泄露事件,这也是该公司在过去五周内承认的第二起网络安全事件。丰田汽车表示,黑客入侵了其IT系统,并访问了几家销售子公司的数据。该公司表示,黑客访问的服务器存储了多达310万名客户的销售信息。

安华金和专家分析:IT系统被黑客入侵这是安全防范不足的表现,丰田公司不止一次发生这种安全事件说明该公司整个IT系统存在漏洞和缺陷,给了黑客可乘之机。公司应当定期对系统安全进行评估,发现问题及时修正。可以与安全公司合作,应用数据库漏扫和防火墙类产品,帮助用户及时发现安全漏洞并升级、打补丁,防止黑客入侵服务器。

 

【五月】

1、澳大利亚科技独角兽Canva疑遭受大规模数据泄露

报道时间:2019.5

信息来源:NOSEC

原文链接:https://nosec.org/home/detail/2679.html

Canva,一家总部位于悉尼的著名平面设计公司,疑似出现大规模用户数据泄露。根据某个黑客的说法,他从Canva非法窃取了大约1.39亿用户的数据,被盗的数据包括客户用户名、真实姓名、电子邮件地址以及所在的城市和国家/地区信息等详细信息。这名网络称呼为GnosticPlayers的黑客,是一个臭名昭著的数据窃取者——自今年2月以来,这名黑客已在暗网上出售了9.32亿用户的数据,全球44家公司都被他偷走过数据。

“我下载了截止到5月17日的所有数据”,该黑客表示:“随后,他们发现了我的存在,并关闭了数据库服务器”。包括这次黑客行动,GnosticPlayers现在已经窃取了超过10亿用户的登录凭证,这同时也是这位黑客在之前的采访中告诉ZDNet的“目标”。现在,他的手中有来自45家公司的数量达十多亿的登录凭证。

安华金和专家分析:要依靠有实力的信息安全公司,应用数据库加密和数据库防火墙双层技术,实现数据库的访问行为控制、危险操作阻断、可疑行为审计;对数据库中的敏感数据做加密存储、访问控制增强、应用访问安全、安全审计以及三权分立等,在防御外部黑客攻击方面进行持续投入,避免由于批量信息泄露对公司及其客户造成重大损失。

2、优衣库日本网站逾46万名顾客信息遭泄露

报道时间:2019.5

信息来源:新京报网

原文链接:http://www.bjnews.com.cn/feature/2019/05/14/578836.html

2019年5月13日,优衣库母公司日本迅销(Fast Retailing)发布公告称,4月23日至5月10日期间,其日本在线购物网站遭到黑客攻击,黑客在“未经授权”的情况下进行了46.11万次登录,这意味着超过46万名顾客的信息可能遭到了泄露。

日本迅销表示,这些账户包含的信息包括客户姓名、地址、电话号码、电子邮件、生日、收件地址以及部分信用卡信息,并承认虽然信用卡密码“不存在泄露的可能性”,但黑客可能已经“浏览过部分信用卡的信息”。目前,该公司已向受影响的账户单独发送了电子邮件,要求他们重置账号密码。

安华金和专家分析:及时发邮件尽力降低损失的做法值得学习,但更应该在信息安全方面增加投入,与实力强的信息安全公司合作,应用数据库安全技术,如防火墙、TDE等,防止类似的事情再发生。

 

【六月】

美国医疗收集机构(AMCA)因数据泄露申请破产保护

报道时间:2019.6

信息来源:ZDNet

原文链接:

https://www.zdnet.com/article/medical-debt-collector-amca-files-for-bankruptcy-protection-after-data-breach/

美国医疗收集机构(AMCA)在经历灾难性的数据泄露事件后,于近日申请破产保护。

AMCA去年被黑客入侵(2018年8月1日到2019年3月30日),导致约2000万美国公民的医疗数据泄露。黑客洗劫了AMCA的内部系统以窃取用户数据,随后在暗网进行出售。被盗数据包括用户姓名、社会安全号码、地址、出生日期和支付卡信息等,并导致包括Quest Diagnostics、LabCorp、BioReference Laboratories、Carecentrix和Sunrise Laboratories等企业客户的信息被盗。

安华金和专家分析:对于企业,在支付卡这种信息上应着重保护,进行多层加密等;对于个人,“撞库”是数据盗窃常见的途径,所以在不同的网站应尽量设置不同的密码,尤其是金融类、购物类涉及钱财的网站,尽量避免某一网站信息被窃,其余网站也受损失的情况发生。

2、Quest Diagnostics 1190万患者信息泄露

报道时间:2019.6

信息来源:安全内参

原文链接:https://www.secrss.com/articles/11156

6月3日,美国Quest Diagnostics公司证实了一起数据泄露事件,导致1190万名患者信息受到曝光,包括财务资料、社会保险号码和医疗信息等。Quest Diagnostics是一家实验室测试提供商,提供诊断测试、信息和服务,患者和医生可以利用这些信息做出更好的医疗决策。

此次泄露主要是由于Quest将账单服务外包给Optum360公司,Optum360公司又将此服务委托至美国医疗托收机构(AMCA)来处理,而AMCA的系统遭到了未经授权的访问,由于该系统包含AMCA患者个人信息,导致本次数据泄露事件发生。

安华金和专家分析: 数据泄露往往是由于公司内部原因造成,随着企业业务复杂度不断增加,研发部门架构也越来越复杂,中间可能会夹杂不同的供应商和外包公司,对于这些不同成员的权限控制至关重要。此外,涉及人员调换、离场时,需要做好用户账号和权限的清理。企业内部还要加强安全管理工具的配置,企业成员的所有操作都应有详细的日志记录,防止此类事件再次上演。

 

【七月】

1、Capital One银行数据泄露事件分析

报道时间:2019.7

信息来源:FreeBuf

原文链接:https://www.freebuf.com/column/210411.html

7月,一起和云有关的大型数据泄露事件成了头条新闻。美国的Capital One银行由于“服务器配置错误”,被某个黑客窃取了上亿张信用卡数据以及十多万社保号码。

让黑客有可乘之机的是一个常见的云安全问题:云上基础设施资源的错误配置使得未经权限验证的用户非法提升自己的权限,从而接触到敏感文档。在过去的2-3年里,这种问题所导致的安全事件也频频见报,例如,近2亿份选民记录泄露,五角大楼Tb级机密文件泄露,5亿份Facebook个人资料泄露。

云中的安全管理一直都非常具有挑战性。正如我们在过去几年中所看到的那样,一条策略的缺陷,就有可能导致上亿条数据的泄露。

安华金和专家分析:一些可能形成安全风险的配置项配置错误会导致非法提权发生。云服务日益发展的今天,云安全问题已经不容忽视。另外,企业足够的技术能力必不可少,例如正确配置服务器、采取必要的数据加密措施等,避免给黑客留下可乘之机。

2、约会应用3fun被爆安全漏洞,全球150万用户隐私信息或遭泄露

报道时间:2019.7

信息来源:IT之家

原文链接:https://www.ithome.com/0/438/478.htm

7月1日,Pen Test Partner安全研究人员发现,集体约会应用程序3fun存在一个巨大漏洞——任何人都可以找到该应用程序150万用户的个人信息、聊天数据、私人照片和实时位置数据。

究其原因,是3fun将用户的位置数据存储在了应用程序中,而不是安全地保存在服务器上。这意味着对研究人员来说,在客户端公开数据是一项微不足道的任务,即使用户对他们的位置数据设置了权限。这次泄露意味着Pen Test Partners可以发现全球3fun用户的位置。此外,无论用户的出生日期、性取向,甚至照片是否设置为隐私,它都可以查看到。

安华金和专家分析:内部安全管理不完善以及能力不足不容忽视。同时,具备足够的技术能力必不可少,例如正确配置服务器、采取必要的数据加密措施等。数据持有者应将保护用户数据安全放在更重要的位置上。

3、英航、万豪因数据泄露领巨额罚单

报道时间:2019.7

信息来源:钛媒体

原文链接:https://www.tmtpost.com/nictation/4057426.html

7月9日和10日,英国信息专员办公室(ICO)接连开出两张巨额罚单,累计罚金超3.5亿美金!处罚对象分别是国际航空集团旗下英国航空公司以及国际知名连锁酒店万豪国际集团。

2018年9月,英国航空公司向信息监管局通报了一起始于当年6月的数据泄露事件,该事件导致约50万名英航乘客的个人基本信息和付款记录等数据被黑客窃取。其中,至少有7.7万张支付卡持有者的姓名、账单地址、电子邮箱地址、信用卡支付信息(包括卡号、有效期和信用卡验证码)可能遭到泄露,成千上万的乘客被迫紧急取消掉了他们的信用卡。对此英航方面宣称:是黑客对其官方网站进行了“复杂、恶意的犯罪攻击”。针对此次事件,英国信息专员办公室向英国航空公司开出了高达2.3亿美元的罚单。

2018年11月,万豪国际集团公开披露一起数据泄露事件,该事件导致3.83亿酒店客户信息被黑客窃取。万豪国际集团在2016年9月收购了喜达屋连锁酒店,可经调查显示,自2014年7月以来,黑客就一直驻留在喜达屋的IT网络当中,并从其客户预订数据库内窃取到了详尽的客户信息。针对此次事件,英国信息专员办公室向万豪国际集团开出了1.23亿美元的罚单。

安华金和专家分析:

从英航事件来看,其实现在有许多途径可以将恶意代码注入到合法页面。比如当开发人员错误输入JavaScript库的域名,“有心之人”只需注册域名并在其中放置恶意软件,等到该公司购买自己的域来托管第三方代码又忘记更新域名时,网络攻击者便有机可乘。

从万豪酒店事件来看,归根结底可能是2014年喜达屋未完全清理IT系统木马后门导致。安全不是简单的边界和外网安全,内网安全尤其是数据库安全同样重要。如果使用适当的安全工具对数据库定期扫描,应该早就能发现黑客在预订数据库中残留的木马、后门,也就不会发生现在的数据泄露事件。

最后,任何在上述酒店居住过的顾客都应该对银行账单保持密切关注,特别是有可疑的费用产生时应特别注意,受到影响的顾客要注意对身份信息保护和信用卡监控。

 

【八月】

1、全球 7.37 亿医疗数据泄露,涉及 2000 多万人,波及 52 国

报道时间:2019.8

信息来源:InfoQ

原文链接:https://www.infoq.cn/article/8VZ8aVetNvRQ2VCmHl4u

据外媒 Securityaffairs 报道,德国漏洞分析和管理公司 Greenbone Networks 的专家发现,600 个未受保护的服务器暴露于互联网,这些服务器包含大量医疗放射图像。其中,有超过 7.37 亿个放射图像,涉及 2000 多万人,影响到 52 个国家的患者。

安华金和专家分析:医疗保健领域的医疗系统和流程正变得越来越数字化。像所有其他行业一样,医疗服务提供者和医院也正在使用互联网技术来完善和提高对患者的护理质量。PACS服务器是医疗领域广泛使用的图像存储系统,服务器中会包含与个人病历有关的高度机密数据,因此应严格限制访问,仅对某些专门人员开放访问。如果这些服务器没有进行任何保护措施,那么连普通互联网用户都有可能获得操作系统账号。医疗服务机构应当尽快排查自己的服务器,不要再出现服务器暴露于互联网的情况。

2、数据泄露后 Web托管服务商Hostinger重置1400万用户密码

报道时间:2019.8

信息来源:cnBeta

原文链接:https://www.cnbeta.com/articles/tech/882515.htm

全球知名网站托管商Hostinger一台数据服务器遭到“未经授权的第三方”访问,影响1400万Hostinger用户。此次泄露的数据库包括用户的注册邮箱、散列密码、用户名、真实姓名、家庭住址以及手机号码等。在访问的事件之后,Web 主机托管服务商 Hostinger 决定采取“预防措施”—— 重置了所有客户的密码。

安华金和专家分析: Hostinger公司能够及时发现漏洞并要求客户重置密码的行为是很好的,但是客户的安全风险依然存在。攻击者已经从数据库中获取到用户足够的信息,可以发起比较令人信服的网络钓鱼攻击,甚至可以伪造与Hostinger公司的安全警报类似的网络钓鱼攻击。用户尽量通过公司域来访问而不要通过邮件链接访问网站。公司也应当及时升级服务器的安全性。

 

【九月】

1、马印航空乘客信息泄露或影响数百万人

报道时间:2019.9

信息来源:环球网

原文链接:https://3w.huanqiu.com/a/c36dc8/9CaKrnKmYKh

据路透社23日报道,马印航空在一份声明中表示,两名曾在该公司印度发展中心就职,供职于为马印航空提供电商服务的GoQuo公司前职员“不恰当地获取并盗窃了乘客的个人数据”。

当地时间18日,马印航空证实大量乘客信息泄露,受影响乘客人数或达数百万。位于莫斯科的网络安全公司卡巴斯基实验室在一则报告中披露,马印航空及泰国狮航约3千万乘客的资料被上传并存储在开放的亚马逊云端运算服务(AWS)。卡巴斯基还指出,部分数据在暗网中售卖。不过,马印航空表示,数据的泄露与亚马逊云端运算服务的安全架构无关,泄露的信息包括护照信息、住址和电话号码等,但付款信息并未遭到牵连。

安华金和专家分析:航空公司储存有大量的个人隐私信息,如护照信息,身份证号等,被“有心之人”拿到,容易被拿去“撞库”。数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统用户操作的监控和审计。同时,内部人员盗窃也是数据泄露的重要原因之一,在信息安全上应实施“责任到人”,加大对审计产品的重视。

2、警方铲除百亿“套路贷”!两大“套路”模式指向大数据泄露

报道时间:2019.9

信息来源:21世纪财经报道

原文链接:

https://m.21jingji.com/article/20190918/020c73d0f4f309aece40b93191862a53.html

9月17日,广东省公安厅发布消息,粤港澳三地警方10-11日开展的一次清查行动期间,广州、深圳、佛山、惠州、东莞等地警方打掉“套路贷”犯罪团伙16个,抓获犯罪嫌疑人140余人,破获刑事案件20余起,查封扣押冻结涉案资产逾9300万元。

根据公安部9月3日发布的数据,全国公安机关共侦办“套路贷”团伙案件1890起,抓获犯罪嫌疑人18651人,破获各类刑事案件18790起,查扣涉案资产161.76亿元。

贷款中介的“助贷”模式,本意是为了提升资金方的获客能力和获客效率,但一些中介却利用大数据泄露的机会违法操作。由于借款人的身份、手机通讯录、通话记录等被套路贷平台获取,“爆通讯录”、电话滋扰等暴力催收流行于各个平台。

警方指出,涉案金融公司非法高利放贷,非法获取个人信息。通过非法手段获取大量公民个人信息,骨干成员曾因非法获取公民信息罪获刑,并通过拨打电话、网站广告等方式招揽客户。

安华金和专家分析:数据持有者应将保护用户数据安全放在更重要的位置上。应从法律角度赋予数据持有者更大的保护义务,促使其采取更加完善有效的安全技术手段和管理措施。应加大数据泄露事件执法力度。执法部门有必要加强网络技侦和取证技术手段,对数据泄露的作案者和责任人依法采取惩处措施。

3、美国外卖服务DoorDash数据泄露,影响490万人

报道时间:2019.9

信息来源:钛媒体

原文链接:https://www.tmtpost.com/nictation/4161303.html

9月27日消息,美国外卖服务DoorDash周四宣布,一项安全漏洞暴露了该公司大约490万客户、商家和送货员的个人数据。

这家总部位于旧金山的公司在一份声明中说,此次泄露的信息可能包括大约10万名送货工人的驾驶执照号码,其他数据可能包括“姓名、电子邮件地址、交货地址、订单历史记录、电话号码”等。

该公司还在声明说,一些消费者支付卡的最后四位数字也可能被暴露出来,但其中没有包含足够的数据来进行欺诈性收费。送货员和商家的银行帐号最后四位数可能已被他人访问。

安华金和专家分析:漏洞是导致数据泄露最重要的原因之一,应及时扫描数据库,通过自动扫描和手动输入发现数据库;经授权扫描、非授权扫描、弱口令、渗透攻击等检测方式发现数据库安全隐患,形成修复建议报告,以尽早发现漏洞避免数据被窃。

4、Facebook证实4.19亿用户的电话信息被泄露

报道时间:2019.9

信息来源:凤凰网科技

原文链接:https://tech.ifeng.com/c/7pihaqVA72X

据《卫报》报道,当地时间9月4日Facebook证实,超过4.19亿的Facebook用户ID和电话号码被存储在一个在线服务器上,而该数据库却没有密码,导致任何人都可以访问。其中包含1.33亿美国Facebook用户、1800万英国用户以及超过5000万越南用户的信息,而且一些数据还包含用户的姓名、性别和国家/地区的位置等。Facebook发言人表示,目前数据库已被删除,没有证据表明Facebook账户遭到入侵。

安华金和专家分析:数据库暴露在互联网是数据泄露的很大一部分原因,而且影响范围极广,尤其是 Facebook这种用户量极大的公司,一旦重要数据泄露后果将不堪设想。作为公司要加强数据库安全管理,及时发现这种未受保护数据库,可以和安全公司合作配置安全管理工具,定期对数据库安全状况评测,清除潜在的安全隐患。

 

【十月】

1、Adobe漏洞泄露了750万Creative Cloud用户数据

报道时间:2019.10

信息来源:FreeBuf

原文链接:https://www.freebuf.com/news/218107.html

美国计算机软件公司Adobe在10月初发现了严重的安全漏洞,该漏洞泄露了Creative Cloud服务用户信息记录的数据库。尽管所包含的详细信息不是很敏感,但可以针对数据泄露的用户精心设计一场网络钓鱼活动。

Adobe Creative Cloud或Adobe CC是一项订阅服务,大约有1500万的订阅户,主要提供的服务是可以访问公司开发的全套流行创意软件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,这些软件可在台式机和移动设备使用。

本月初,安全研究员Bob Diachenko与网络安全公司Comparitech合作,发现了一个Adobe Creative Cloud订阅服务的Elasticsearch数据库,无需任何密码或身份验证都可以访问该数据库,极具威胁性。

此次无意公开的数据库包含近750万Adobe Creative Cloud用户的个人帐户信息,数据库缓存大小接近86GB,目前公司已将这些数据保护起来。

安华金和专家分析:漏洞和网络钓鱼是导致数据泄露的重要原因,即便已将数据保护起来,也要“未雨绸缪”。应启动基于角色的登录认证功能,为admin用户添加密码,以及在数据库中添加新用户(需设置密码)启用有效认证功能,并修改默认密码等。可以运用数据库漏扫技术,通过自动扫描和手动输入发现数据库,经授权扫描、非授权扫描、弱口令、渗透攻击等检测方式发现数据库安全隐患,形成修复建议报告。数据库漏扫是数据库安全评估技术之一,能够找出数据库自身的安全漏洞和使用中的安全隐患。

2、俄罗斯联邦储蓄银行6000万张信用卡信息泄露

报道时间:2019.10

信息来源:ZDNet

原文链接:

https://www.zdnet.com/article/russias-sberbank-investigates-credit-card-data-leak/

10月初有媒体报道,俄罗斯联邦储蓄银行正在针对“信用卡数据的潜在泄露问题”开展内部调查,并表示可能有至少200个客户的帐户受到影响,而雇员的“犯罪行为”被认为是造成该事件的主要诱因。

但是,《生意人报》认为:与多达6000万张信用卡持有人相关的信息正在黑市上出售,所谓“200个帐户”仅是供潜在买家试用的“样本”。如果上述对泄露范围的判断准确的话,那将是对国有银行的一次重大攻击。目前,俄罗斯联邦储蓄银行有大约1800万活跃信用卡用户。

安华金和专家分析:因内部人员盗窃数据而导致损失的风险也不容小觑。由于数据黑产的发展,内外勾结盗窃用户数据谋取暴利的行为正在迅速蔓延。未采取有效的数据访问权限管理,身份认证管理、数据利用控制等措施是大多数企业数据内部人员数据盗窃成功的主要原因。

对员工批量下载数据的异常行为发出警告和风险预防,针对内部人员数据访问需要设置严格的数据管控,并对数据进行脱敏处理,才能有效确保企业数据的安全。

3、俄罗斯互联网服务提供商 Beeline 870万客户数据泄露

报道时间:2019.10

信息来源:ZDNet

原文链接:

https://www.zdnet.com/article/data-breach-at-russian-isp-impacts-8-7-million-customers/

据俄罗斯媒体北京时间10月7日报道称,俄罗斯互联网服务提供商Beeline的870万客户数据正在网上出售和共享。数据包含个人详细信息,例如姓名、地址、手机号码和家庭电话号码。据悉,这一漏洞发生于2017年,尽管从未公开有黑客入侵行为,但已找到了当时的责任人。事后该公司表示,此番泄露的数据绝大部分来自已不再是Beeline客户的用户。

安华金和专家分析:企业数据安全管理面临更高的要求,必须建立严格的安全能力体系,不仅需要确保对用户数据进行加密处理,更要据的访问权限进行精准控制,即使不再是客户也要储存保护好其数据。

 

【十一月】

1、FB再曝隐私漏洞:100位软件开发者违规访问用户数据

报道时间:2019.11

信息来源:新浪科技

原文链接:https://tech.sina.com.cn/i/2019-11-06/doc-iicezzrr7511182.shtml

北京时间11月6日早间消息,Facebook周二发布消息称,100位软件开发者可能已经通过不当手段访问用户数据,数据包括用户姓名、个人相片,受影响的用户来自Facebook网站的特殊团体。

2018年4月Facebook已经做出调整,预防类似事件发生,但最近公司发现仍然有一些App可以获取此类用户的数据。Facebook已经关闭访问权限,并与100位开发者合作伙伴接触。Facebook声称在过去60天里至少有11位开发者合作伙伴访问此类数据。

安华金和专家分析:数据库安全审计系统主要用于监视并记录对数据库服务器的各类操作行为,通过对网络数据的分析,实时地、智能地解析对数据库服务器的各种操作,并记入审计数据库中以便日后进行查询、分析、过滤,实现对目标数据库系统的用户操作的监控和审计。可以和网络安全公司合作。对员工异常的访问行为发出警告和风险预防,针对内部人员数据访问需要设置严格的数据管控和权限设置,并对数据进行脱敏处理,才能有效确保企业数据的安全。

2、FB再曝隐私漏洞:100位软件开发者违规访问用户数据

报道时间:2019.11

信息来源:FreeBuf

原文链接:https://www.freebuf.com/news/221626.html

11月初,一名黑客入侵了英国在线音乐流媒体服务Mixcloud,窃取了超过2100万个用户账户。代号为“A_W_S”黑客与部分外媒联系透露了该数据泄露的消息,并提供了部分数据样本,包含用户名、电子邮件、Hash密码、用户国籍信息、注册日期、最后登陆日期以及IP地址等。

在11月30日,Mixcloud官方发布安全公告回应了这次数据泄露的消息,表示正在积极调查这件事情。此外,Mixcloud补充说明:“大多数Mixcloud用户通过Facebook身份验证进行了注册,在这种情况下,我们不存储密码。”

安华金和专家分析:Mixcloud公司积极调查不拖延,以及不储存密码的行为还是值得国内公司学习。被盗窃的信息很有可能被用去“撞库”,建议Mixcloud用户及时更改账户信息。建议使用数据库防火墙系统对外部黑客攻击进行防御,同时使用数据库保险箱对敏感信息按列加密存储,这样即使黑客盗窃了数据,也不能使用。

3、美国短信服务商TrueDialog泄露近十亿条敏感信息

报道时间:2019.11

信息来源:FreeBuf

原文链接:https://www.freebuf.com/column/221700.html

在Noam Rotem和Ran Locar的领导下,vpnMentor的研究小组发现了一个属于美国通讯公司TrueDialog的不安全的数据库。TrueDialog为美国各大企业提供短信解决方案,而该数据库与他们业务的各个方面都有联系,里面包含了大量敏感数据,包括数千万条短信。而除了短信外,安全团队还发现了数以百万的帐户用户名和密码、TrueDialog用户及其客户的PII数据等等。

这个TrueDialog数据库由Microsoft Azure托管的,在美国的Oracle Marketing Cloud上运行。上一次查看数据库时,它包含604GB的数据,近10亿条包含敏感数据的记录。这些数据和TrueDialog业务模型的许多方面都相关联。该公司本身,它的客户群,以及客户的客户的数据都泄露了,这可能会引发潜在的钓鱼攻击。

安华金和专家分析:存放用户敏感数据的数据库在网上长期开放,数据完全不加密,这是公司安全管理上极大问题。帐户密码不仅不受保护,而且很多都是明文。这意味着攻击者可以登录大量公司帐户,更改密码,造成难以想象的损失。未加密消息可以让企业间谍轻易就获得竞争对手的机密信息。这些信息可能包括营销活动、新产品的推出日期、新产品设计或规格等等。企业发现问题后应当加强安全意识,杜绝类似安全问题发生。

 

【十二】

1、Elasticsearch服务器泄露12亿个人数据,明晃晃地挂在暗网上

报道时间:2019.12

信息来源:雷锋网

原文链接:https://www.leiphone.com/news/201912/m4nT35S6zEJ7Mptv.html

SecurityDiscovery 网站的网络威胁情报总监鲍勃·迪亚琴科( Bob Diachenko )称发现了一个巨大的 ElasticSearch 数据库,包含超过27亿个电邮地址,其中有10个的密码都是简单的明文。大多数被盗的邮件域名都来自中国的邮件提供商,比如腾讯、新浪、搜狐和网易。当然,雅虎 gmail 和一些俄罗斯邮件域名也受了影响。这些被盗的电邮及密码也与 2017年那次大型的被盗事件有关,当时有黑客直接将它们放在暗网上售卖。

该 ElasticSearch 服务器属于美国的一个托管服务中心,后者在 Diachenko 发布数据库存储安全报告后于12月9日被关闭。但即使如此,它已经开放了至少一周,并且允许任何人在无密码的情况下进行访问。

Diachenko 称,单就数字而言,这可能是我所看到的记录数据最庞大的一次(他自 2018 年以来发掘了多次数据泄露事件,其中包括2.75亿个印度公民信息的数据库)。

更让人无语的是,此后不到两周时间,Elasticsearch 服务器新一轮的数据泄露事件便再度发生,这次研究人员在不安全的云存储桶中总共发现了27亿个电子邮件地址,10亿个电子邮件账户密码以及一个装载了近80万份出生证明副本的应用程序。

研究人员称,过去一年里,一些企业在无意识间令其Amazon Web服务S3和基于云计算的ElasticSearch存储桶暴露出来。它们没有任何适当的安全措施,也没有被试图锁定的迹象。

安华金和专家分析:数据安全已经到了非管不可的程度,大规模数据泄露如果得不到有效制止,不止损害公民利益,而且会动摇社会根基,第三方服务机构由于掌握大量的信息,因此也成为数据窃取的主要目标。如果没有建立足够的数据安全意识并持续优化改进,这样的事情还会再发生或正发生。应该在网络安全上多加投入,应用一系列的数据库安全技术,主要包括:数据库漏扫、数据库加密、数据库防火墙数据脱敏数据库安全审计系统

2、加拿大医疗实验室LifeLabs被黑客攻击 现决定支付赎金换回用户数据

报道时间:2019.12

信息来源:cnBeta

原文链接:https://www.cnbeta.com/articles/tech/922931.htm

LifeLabs是一家位于加拿大、业内领先的医疗诊断和测试服务提供商。该公司宣布向黑客支付赎金,以赎回上月安全泄露事件中被窃取的数据和资料。目前尚不清楚该公司为恢复这些数据支付了多少费用。外媒ZDNet通过电话联系LifeLabs发言人时,表示不会立即对此事发表评论。LifeLabs此前表示本次泄露事件覆盖加拿大将近半数人口,超过1500万人的资料可能已经泄露。

安华金和专家分析:数据安全事件造成了大量用户数据丢失,即使支付赎金拿回数据,用户的隐私已经遭到泄露。如果不能从此次事件中吸取教训,及时改进数据库系统安全状况的话,后续很可能还会造成更大的损失。公司应当加大网络安全上投入,配置数据库加密、数据库漏扫等安全产品加固数据库,防止黑客再次侵入数据库。

 

【现状趋势与总结建议】

1、2019年度全球数据安全概况

对于安全领域,2019 年是不平静的一年。主流媒体将 Facebook 漏洞和勒索软件攻击作为头条新闻报道,而安全专家在幕后努力抵御不断涌现的漏洞、爬虫程序和其他威胁。

尽管不断开展用户培训和实施端点防御,网络钓鱼仍然有效。据相关报告显示,所有数据泄露事件中的32%以及网络间谍事件中的78%都涉及某种形式的网络钓鱼。如今,犯罪分子使用在暗网上出售的网络钓鱼工具来轻易地冒充知名品牌进行数据盗窃。移动设备和社交媒体则助长了攻击更快速地传播。有时,网络钓鱼站点甚至通过隐藏在合法的网站和服务器上来逃避检测。

从2018年1月到2019年6月,针对科技和媒体公司的平均每日Web攻击量几乎翻了一番。在同一时期,35%的撞库攻击针对的是这些垂直行业。视频媒体行业比任何其他垂直行业都吸引了更多的撞库攻击。此外,流媒体公司面临的独特安全挑战,包括安全人才短缺。

如今,对金融服务机构的攻击似乎在数量和复杂程度上都呈现攀升趋势。这种针对金融服务行业日益膨胀的高级网络攻击犯罪行为包括:从最容易遭受撞库攻击的身份验证机制,到使用被盗身份获取不义之财。有利可图的网络钓鱼变体以及犯罪分子常常通过发起“佯攻”来掩护其真实目标。事实证明,犯罪分子在金融服务领域如果攻击得手,随后相关手段往往会转移到其他行业继续作案。

犯罪分子总是会追求金钱。如今,在虚拟游戏世界中,真正的金钱也会遭到偷窃。针对游戏行业发起的撞库攻击有日益普及上升的趋势。大多数成功的账户接管具有以下特征:一个密码在多个网站重复使用;与朋友共享密码;密码容易被猜到。在17 个月的时间里,相关人员统计了120亿次攻击,发现SQL注入和LFI两种攻击方式占所有Web应用程序攻击的近90%。

一项 API 流量研究表明,API 现在占所有点击量的83%,而HTML流量在总流量中的占比则下降到了17%。DNS流量研究显示,IPv6流量可能被低估;许多支持IPv6的系统仍然倾向于IPv4。而对凭证滥用和滥用零售商库存的僵尸网络的研究表明,这是一个日益严重的问题,需要得到关注。

根据漏洞情报公司Risk Based Security的报告信息显示,与去年相比,今年上半年数据泄露的数量急剧增加。2019年前六个月的安全事件与去年同期相比增长了54%,而数据泄露的数量增长了52%。2019年上半年数据泄露量约为41.9亿条,2018年同期约为27.4亿条。

根据报告,今年上半年发生的8起数据泄露事件占32亿条数据,占总数的78.6%。其中6起由于错误配置引发,分别为:Verifications.io(9.82亿条记录)、First American Financial(8.85亿条记录)、Cultura Colectiva(5.4亿条),印度(2.75亿条)、中国(2.02亿条)和Justdial(1亿)。2起由于黑客攻击引起分别为:Dubsmash(1.61亿条)和Canva(1.39亿条)。

被泄露数据类型主要为邮件和密码,分别占被泄露数据集的70%和65%。11%的数据泄露中涉及地址、信用卡和社会安全号码,10%的数据泄露中涉及账号。

2、国内数据安全现状及未来趋势

“十三五”时期,我国将大力实施网络强国战略,要求网络与信息安全有足够的保障手段和能力,通过切实推进自主可控和国产化替代,政策化培养和市场化发展双向结合,信息安全市场国产化脚步逐步加快。

云安全

据显示,2018年中国云安全市场规模达37.76亿元,增长45%。随着信息安全越来越受到重视,云安全市场将进一步扩大。预计2019年,中国云安全市场规模将达56.1亿元,增长近五成。到2021年,预计我国云安全市场规模将超100亿元。

数据来源:中商产业研究院整理

工业互联网安全

由于工业互联网推动企业信息科技(IT)和操作技术(OT)融合,因此工业互联网安全是工业生产安全和网络空间安全相融合的领域,包含了工业数字化、网络化、智能化运行过程中的各个要素和环节的安全,主要体现为工业控制系统安全、工业网络安全、工业大数据安全、工业云安全、工业电子商务安全、工业APP安全等。

据数据显示,2018年中国工业互联网安全市场规模在95亿元左右,同比增长近三成。随着对工业互联网安全的重视,未来市场规模将扩大,预计2019年将近125亿元。到2021年,中国工业互联网规模或将达到230亿元,涨幅超35%。

数据来源:中商产业研究院整理

3、网络安全行业创新领域介绍

自主可控技术发展保卫网络空间

“十三五”时期,信息安全市场的自主可控和国产化替代趋势非常明确。在技术方面,网络安全产品为了完成自主可控,必须在以下关键组成部分实现国产化替代,包括:芯片、操作系统、数据库和中间件。

从芯片角度分析,国内的龙芯、申威、飞腾和兆芯,分别使用MIPS、Alpha、ARM和X86架构,不论是自主研发指令集和微结构,或是购买外厂商指令集授权配合自主研发的微结构并开放源码检查,都可以满足现阶段安全可控的要求。

从国产操作系统方面分析,中标麒麟、普华等国产操作系统,可以满足自主可控需求,也已经形成面向桌面操作系统、服务器操作系统、安全操作系统等多类型产品,能支持X86、龙芯、申威、飞腾等CPU平台。

综合以上情况分析,对于自主可控技术的关键组成部分,业界已经基本具备了国产化替代国外产品的能力,应用条件已经相对成熟。可以预见的是,自主可控产品将在这样良好的条件下大力发展,真正做到保卫国家网络空间。

云情报、机器学习等人工智能预测技术成为安全防护的重点

传统的安全架构中,较多依赖特征匹配的模式。在这种模式中,防护设备需要先将某个攻击事件写入特征库,然后才能防御这个攻击,而且安全设备的特征库,数量是非常有限的,所以最大的问题在于滞后性和局限性,防护方永远落后于攻击方,对0day等未知威胁无能为力。如今,网络安全界的潮流是转后手为先手,让安全变得更主动、更前置,主要的技术手段包括云威胁情报和机器学习预测技术。

自适应安全架构促使智能安全落地

自适应安全理论体系打破了传统安全的理念,在安全架构中增加了诸多环节,指明了不同环节之间的融合关系,这促使了安全产品不仅要不断推出新功能,还要将不同的功能进行互相关联和顺序编排,从而推进了智能化技术在安全产品上落地。在未来,自适应安全将会纳入更多环节,安全产品的特性也将会越来越多,智能化发展趋势已成必然。

云安全催生虚拟化安全新架构

云安全技术的发展,不仅更好地解决了云内安全问题,也让以NFV(网络功能虚拟化)的生态得到了良好的发展。目前,以安全能力虚拟化+安全能力调度为技术架构的众多一体机产品,例如等级保护一体机、网点出口一体机、数据中心安全防护一体机,已经实现了对嵌入式网络通信平台的部分替代。

未来,网络安全技术的划分会更加精细,安全能力将会越来越多,尤其是在私有云等环境下尤为明显,虚拟化安全新架构将会有更广阔的应用前景。

4、数据安全主要政策出台及制定情况

对于网络空间安全的重视正在不断升级。自2017年《网络安全法》颁布以来,信息安全的立法进程越来越紧凑,今天我们重点关注大数据安全领域国家或者地方纷纷出台的一系列的政策、法律法规。

(1)《贵阳市大数据安全管理条例》

全国首部大数据安全地方法规,明确措施防范数据泄露。

作为全国首部大数据安全管理的地方法规,《贵阳市大数据安全管理条例》(以下简称《条例》)即将于今年10月1日正式施行。该《条例》分别对大数据安全定义、防风险安全保障措施、监测预警与应急处置、投诉举报等方面做出规定。

本法规的颁布对大数据安全使用提出了要求:安全责任单位应当建立大数据安全审计制度,记录并保存数据分类、采集、清洗、查询和销毁等操作过程,定期进行安全审计分析,详细记录数据全生命周期活动,防范数据伪造、泄露或者被窃取、篡改、非法使用等风险,以保障数据安全。

除此之外,在大数据安全立法领域,站在国家层面,覆盖各个方面、细粒度更高的若干标准制定项目已经蔚为有序,这些政策法规将助力大数据安全建设,从而为建设网络安全强国贡献力量。

(2)《信息安全技术 个人信息安全规范》

《信息安全技术 个人信息安全规范》明确定义了个人敏感信息。

其中,全国信息安全标准化技术委员会2017年12月29日正式发布的规范《信息安全技术 个人信息安全规范》(标准号:GBT 35273-2017)已于2018年5月1日正式实施。本标准针对个人信息面临的安全问题,规范个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为,旨在遏制个人信息非法收集、滥用、泄露等乱象,最大程度地保障个人的合法权益和社会公共利益。对标准中的具体事项,法律法规另有规定的,需遵照其规定执行。

本规范针对个人信息和个人敏感信息加以定义,其中个人敏感信息 personal sensitive information指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。

(3)《信息安全技术 大数据服务安全能力要求》

《信息安全技术 大数据服务安全能力要求》考察大数据服务安全能力。

《信息安全技术 大数据服务安全能力要求》(标准号:GB/T 35274-2017)于2017年12月29日发布,2018年7月1日实施,本标准规定了大数据服务提供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力。

本标准适用于对政府部门和企事业单位建设大数据服务安全能力,也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行审查和评估。

(4)《信息安全技术 大数据安全管理指南》

2017年5月24日,全国信息安全标准化技术委员会秘书处发布了国家标准《信息安全技术 大数据安全管理指南》征求意见稿,公开征求意见。该征求意见稿规定:大数据安全管理原则;大数据安全管理基本概念;制定大数据安全目标、战略和策略;明确大数据安全管理角色与责任;管理大数据安全风险;管理大数据平台运行安全。

同时,征求意见稿附录部分还就电信行业数据分类分级、国家基础数据、生命科学大数据风险分析以及大数据安全风险给出了示例和说明。

(5)《信息安全技术 个人信息安全影响评估指南》

2018年6月13日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 个人信息安全影响评估指南》征求意见稿征求意见的通知。标准规定了个人信息安全影响评估的基本概念、框架、方法和流程,并提出了在特定场景下进行评估的具体方法。

适用于各类组织自行开展个人信息安全影响评估工作。同时,为国家主管部门、第三方测评机构等开展个人信息安全监管、检查、评估等工作提供指导和依据。

(6)《信息安全技术 个人信息去标识化指南》

2017年9月,国标《信息安全技术个人信息去标识化指南》征求意见稿在全国信息安全标准化技术委员会官网上发布。

该标准在内容上汲取了当前国内个人信息处理机构、安全测评机构和研究机构的最新成果,并借鉴了国外个人信息去标识化的最新研究理论,提炼了当前业内通行的最佳实践。通过研究个人信息去标识化的目标、原则、技术、模型、过程和组织措施,提出能科学有效地抵御安全风险、符合信息化发展需要的个人信息去标识化指南,从而在保障个人信息安全的前提下,推动数据的开放共享,充分发挥大数据的价值。

(7)《信息安全技术 数据安全能力成熟度模型》

2017年中旬,全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》。“大数据安全能力成熟度模型“这项国家标准的研究课题于2016年6月立项,2018年送审稿修订工作完成启动。

《信息安全技术 数据安全能力成熟度模型》DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,促进大数据参与方的数据安全能力评估与提升,促进大数据在组织间的交换、共享与流转,发挥大数据的价值,促进我国大数据产业的健康发展。同时,也可以有效地支撑《中华人民共和国网络安全法》、国务院《促进大数据发展行动纲要》、国家十三五规划纲要等国家政策和法规的有效落地。

(8)《信息安全技术 大数据交易服务安全要求》

习总书记在2017年12月8日强调,要制定数据资源确权、开放、流通、交易相关制度,完善数据产权保护制度。我国加快了制定数据交易等制度的步伐,尤其是在安全领域。国家标准化管理委员会在2018年1月9日下达制定国家标准计划《信息安全技术 大数据交易服务安全要求》的任务,计划号:20173591-T-469。

该标准即将成为我国首个大数据交易安全国家标准,有助于理清数据交易安全界限,促进数据交易行为合法合规。此标准的出台,势必会推动我国数据交易机构的安全建设,促进数据交易行为合法合规,使全国数据要素有序流通,充分释放数据红利,助力“数字中国”建设。

(9)《信息安全技术 数据出境安全评估指南》

2017年,全国信安标委秘书处发布《信息安全技术 数据出境安全评估指南》、《信息安全技术 网络产品和服务安全通用要求》等六项国家标准,完成征询意见反馈。

该指南规定了数据出境安全评估流程、评估要点、评估方法等内容,适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。一旦发现存在的安全问题和风险,及时采取措施,防止个人信息未经用户同意向境外泄露,损害个人信息主体合法利益;防止国家重要数据未经安全评估和相应主管部门批准存储在境外,给国家安全造成不利影响。据悉,这是“我国的数据出境安全管理办法之中非常重要的文件”。

(10)全国人大常委会正式通过《密码法》

2019年10月26日,第十三届全国人大常委会第十四次会议正式通过《密码法》,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

《密码法》共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施;第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施;第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度;第四章法律责任部分,规定了违反本法相关规定应当承担的相应法律后果;第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜及本法的施行日期。

(11)网络安全等级保护制度2.0系列标准正式发布

2019年5月13日,《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布,并将于2019年12月1日正式实施。

解读:

原来的等级保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

(12)十部门联合发布《加强工业互联网安全工作的指导意见》

2019年8月28日,工信部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局十部门联合发布《加强工业互联网安全工作的指导意见》。

(13)国资委发布《中央企业负责人经营业绩考核办法》,网络安全纳入考核指标

2019年3月7日,国务院国有资产监督管理委员会官网上发布新版《中央企业负责人经营业绩考核办法》,自2019年4月1日起施行。《办法》将网络安全纳入考核指标,相关条款主要体现在第34条和第48条。

(14)公安部发布《公安机关办理刑事案件电子数据取证规则》

2019年1月2日,公安部发布《公安机关办理刑事案件电子数据取证规则》,自2019年2月1日起施行。

(15)贵州省出台《贵州省大数据安全保障条例》

2019年8月1日,贵州省通过《贵州省大数据安全保障条例》,对大数据安全责任、监督管理、支持与保障、法律责任等进行了明确。《条例》于2019年10月1日起施行。

(16)国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》

2019年5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称“征求意见稿”),意见反馈截止时间为2019年6月28日。

(17)国家互联网信息办公室正式发布《儿童个人信息网络保护规定》

2019年8月23日,《儿童个人信息网络保护规定》正式出台,并将于2019年10月1日起施行。

(18)工信部发布《工业互联网网络建设及推广指南》

2019年1月18日,工信部发布《工业互联网网络建设及推广指南》,明确提出将以构筑支撑工业全要素、全产业链、全价值链互联互通的网络基础设施为目标,着力打造工业互联网标杆网络、创新网络应用,规范发展秩序,加快培育新技术、新产品、新模式、新业态。到2020年,形成相对完善的工业互联网网络顶层设计。

工信部提出,到2020年,初步建成工业互联网基础设施和技术产业体系,包括建设满足试验和商用需求的工业互联网企业外网标杆网络,建设一批工业互联网企业内网标杆网络,建成一批关键技术和重点行业的工业互联网网络实验环境,建设20个以上网络技术创新和行业应用测试床,形成先进、系统的工业互联网网络技术体系和标准体系等。

工信部特别提出,建立工业互联网网络发展监测评估机制,加强网络资源管理和安全保障,提升安全防护能力。

(19)全国信息安全标准化技术委员会发布27项国家标准

2018年12月28日,全国信息安全标准化技术委员会(“信安标委”)归口的27项国家标准正式发布,自2019年7月1日起施行。这27项国家标准涉及数字签名、网络安全等级保护、公民网络电子身份标识、物联网、病毒防治、网络攻击、密码等多项内容。

5、安华金和专家解读

(1)数据安全事件的变化和危害

随着各种规模的企业对数据的依赖性越来越强,数据泄露已引起广泛关注。敏感的业务数据存储在本地计算机,企业数据库或者是云服务器上,非法访问的难度也各有不同。

当公司开始以数字化的方式存储其受保护的数据时,数据泄露就没有停止过。实际上,只要个人和公司保持记录并存储私人信息,就会存在数据泄露。随着数据安全事件的增多,公众对数据安全的认识开始提高,各个国家也制定了一系列法律法规,这些法规能够对敏感信息提供必要的保护措施,但却并非在所有行业中都存在并被有效执行,也因而无法阻止数据泄露的发生。

有关数据泄露的大多数信息都集中在2005年至今的这段时间,很大程度上是由于技术的进步和电子数据在世界范围内的扩散,使得数据泄露成为企业和消费者的一大困扰。如今,数据泄露动辄影响成千上万(甚至以百万计)的用户群体,更可怕的是这种量级的数据泄露可能仅发生于对一家公司的某一次攻击之中。

在这些数据中,泄露发生最多的就是身份信息,包括:姓名、地址、身份识别号码等等。特别是航空、酒店等服务行业,因其留存顾客的身份证号、护照号等个人识别信息,可被用于进行不法交易,因而成为黑客攻击的重点目标;其次,是用户账号数据。在互联网时代,人们为使用各种互联网服务而注册了大量的账号,这些账号所涉及的用户信息既可能是真实信息,也可能是虚构信息。获得这些账号不仅意味着获得了对应用户的访问权限,更能进行“撞库”,继而导致用户的其他网站或应用程序账号被盗,影响波及甚广;再者是机密数据和敏感数据。这里指政府部门或企业掌握的不适宜公开传播的内部信息,包括国家秘密、商业秘密和内部文档等。这些数据的泄露轻则影响机构的声誉,重则直接造成经济损失甚至影响国家安全。

从数据泄露的来源来分析,大部分被泄露数据来自于互联网服务公司,涉及社交网站、在线招聘网站、数字营销公司、约会网站、电商网站等;位居第二的是公共服务机构,包括医疗机构、银行、天然气公司、电信运营商等。公共服务机构由于掌握大量居民的信息,因此也成为数据窃取的主要目标;此外,政府机构的数据泄露也较为严重。

(2)数据安全防护的观念、方法及措施

数据安全防护是通过采用一组控件,应用程序和技术来保护网络上的文件,数据库和帐户的过程。这些控件,应用程序和技术可以识别不同数据集的相对重要性、敏感性及法规遵从性要求,然后应用适当的保护措施来保护这些数据集资源。

数据安全性的核心要素是机密性,完整性和可用性。这是一种安全模型和指南,可帮助组织保护其敏感数据免受未经授权的访问导致的数据泄露威胁。

尽管数据安全防护不是万能药,但是采取多方位的措施确实可以大大减少安全事件的发生,从而降低企业和用户的损失。我们可以采取以下措施加强数据安全防护:

加强数据安全防护意识

最普遍、也是最具破坏性的错误往往都是人为造成的。例如,一个包含客户个人信息的U盘或笔记本电脑的丢失或被盗会对企业声誉造成恶劣的影响,还会带来高昂的罚款。因此,开展员工安全意识培训就是一项帮助员工意识到数据资产价值以及掌握安全处理数据能力的有效手段。

用户权限最小化原则

90%的漏洞攻击都需要所利用的账号具备一定的权限。所以请用户配置数据库帐号时,只给出能满足应用系统使用最小权限的账号,因为任何额外的权限都可能是潜在的攻击点。大部分大型数据泄露事件都是由内部员工造成的,因此严格控制数据访问权限和数据获取权限更显重要,也就是遵循所谓的最小权限原则。

开展数据风险评估

定期进行风险评估,发现组织内部的潜在风险。评估范围应包括方方面面,从数据泄露风险到物理威胁(如停电)。这项工作能够帮用户发现目前数据安全系统中的脆弱点,并从每一次的评估工作中,不断优化组织的数据保护模式。

定期安装数据库厂商提供的漏洞补丁

根据以往经验,可以形容为95%以上的数据库存在被黑客入侵的可能。然而,黑客使用的漏洞有时却并非0day一类,而恰恰是数据库厂商已发布过修复补丁的漏洞。因此,即便有时因应用系统等原因无法及时打补丁,也请通过虚拟补丁等技术暂时或永久加固数据库。

数据安全无小事!

2020年,安华金和愿与您一同推动数据安全建设,让数据使用自由而安全。

(完)