2019年全球數(shù)據(jù)安全事件盤點及行業(yè)分析報告
責(zé)編:gltian |2020-01-07 11:28:25在全球范圍內(nèi),重大數(shù)據(jù)泄露事件的發(fā)生向來是備受關(guān)注的焦點新聞。然而令人遺憾的是,這類“頂流”新聞的數(shù)量正在連年增長,并在2019年“再創(chuàng)新高”…
從理論角度來看,無論安全專家采取何種防御措施,攻擊者都可以繞過;無論組織大小,都無一幸免的會成為數(shù)據(jù)泄露的受害者。不管哪個組織,存儲著什么類型的數(shù)據(jù),規(guī)模有多大,似乎總有一雙“眼睛”在注視著它們,并試圖進行盜取或破壞行為。
醫(yī)療信息、賬戶憑證、公司電子郵件、企業(yè)內(nèi)部敏感數(shù)據(jù)等等等等,每時每刻都在面對威脅或發(fā)生泄露。有統(tǒng)計顯示,2016年全球共發(fā)生數(shù)據(jù)泄露事件1673起,造成7.07億條數(shù)據(jù)泄露;而僅僅在兩年后,這一數(shù)字就猛增至4600起和35億條。
根據(jù)IBM最新的數(shù)據(jù)泄露年度成本研究,通過對包括法律、監(jiān)管和技術(shù)活動、品牌損失、客戶和員工生產(chǎn)力損失等數(shù)百個成本因素的考量,數(shù)據(jù)泄露的平均成本現(xiàn)已高達392萬美元,而這些費用在過去五年里增加了12%。
安華金和作為專業(yè)的數(shù)據(jù)安全產(chǎn)品與解決方案提供商,公司旗下數(shù)據(jù)庫攻防實驗室的數(shù)據(jù)安全專家們對過去一年發(fā)生在全球范圍內(nèi)的代表性數(shù)據(jù)安全事件進行梳理分析,并圍繞數(shù)據(jù)安全行業(yè)現(xiàn)狀、發(fā)展趨勢、政策法規(guī)等方面給出概括總結(jié)與相關(guān)建議。下面,就讓我們一同回顧,2019年數(shù)據(jù)安全領(lǐng)域發(fā)生過的那些“麻煩事”吧:
【一月】
1、蘋果iOS 12.1重大漏洞被曝光:FaceTime通話可被竊聽
報道時間:2019.1
信息來源:雷鋒網(wǎng)
原文鏈接:https://www.leiphone.com/news/201901/ihGJPmLLwuiWsyAb.html
向來以注重用戶隱私安全為“標簽”的蘋果公司出了狀況:在其運行iOS 12.1及更新版本iOS操作系統(tǒng)的設(shè)備上,其預(yù)裝的FaceTime應(yīng)用被曝存在重大安全漏洞——在對方接聽或者拒絕接聽前,用戶就能聽到對方的談話聲音。
美國科技媒體The Verge進行了實機測試:首先,他們用一部iPhone X中的FaceTime向另一部iPhone XR撥打遠程電話。結(jié)果確實如上述所說,在尚未同意接聽電話的情況下,從iPhone X中傳來了XR一端環(huán)境中的嘈雜聲,其中測試人員談話的內(nèi)容也清晰可辨。
目前,幾乎所有的iPhone設(shè)備上都會預(yù)裝FaceTime軟件,這將意味著幾乎所有符合條件的iOS用戶都會面臨相當大的隱私問題。除此之外,也有媒體在實測中發(fā)現(xiàn),當用戶按下鎖屏的電源按鈕后,視頻也可能被直接傳送到對方的手機設(shè)備上。
對此蘋果方面稱,如果用戶對于FaceTime的服務(wù)產(chǎn)生了質(zhì)疑,完全可以通過設(shè)置頁面禁用這一功能,而這個問題將在“本周晚些時候”的軟件更新中得到解決。
安華金和專家分析:這些私人聊天記錄及視頻屬于敏感數(shù)據(jù)。很顯然,這個漏洞造成了相當大的隱私問題,“有心之人”可以通過這個途徑監(jiān)聽任何IOS用戶。也就是說,如果你的iPhone收到一個FaceTime請求,在接聽前另一端的人就可能正在監(jiān)聽。“本周晚些時候”這種拖延的做法對客戶來說是非常不負責(zé)任的,問題需要盡早得到解決。建議用戶在“問題真正得到解決”之前,暫時禁用iPhone和iPad上的FaceTime功能。
2、菲律賓金融服務(wù)公司數(shù)據(jù)泄露,影響90萬客戶
報道時間:2019.1
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/810333.htm
菲律賓金融服務(wù)提供商Cebuana Lhuillier表示,大約有90萬名客戶數(shù)據(jù)在未經(jīng)授權(quán)的情況下遭到黑客竊取。該公司已向有關(guān)部門報警并介入這一事件的調(diào)查。此次泄密事件發(fā)生時,正值菲律賓調(diào)查人員針對菲外交部長指控黑客入侵該國護照數(shù)據(jù)庫展開調(diào)查之際。上周,菲外交部長指控稱,一家私人承包公司從外交部的護照數(shù)據(jù)庫中竊取了文件和數(shù)據(jù)。
Cebuana Lhuillier表示,黑客此次針對該公司市場營銷部門電子郵件服務(wù)器發(fā)起的攻擊,致部分客戶的生日、地址和收入來源等信息外泄。
安華金和專家分析:金融公司數(shù)據(jù)庫中存儲了大量的個人隱私信息,如地址、收入來源等,可能被用于電話詐騙、網(wǎng)絡(luò)釣魚,造成更為嚴重的人身及財產(chǎn)損害。如果該公司此前就與網(wǎng)絡(luò)安全公司合作,應(yīng)用如數(shù)據(jù)庫透明加密技術(shù)等防護手段,那么即使數(shù)據(jù)被盜走了,犯罪分子也無法獲取真實數(shù)據(jù),從而保障了數(shù)據(jù)和相關(guān)方面的安全。
3、Voipo數(shù)據(jù)泄露:價值數(shù)十億美元的客戶資料被曝光
報道時間:2019.1
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/809159.htm
研究人員發(fā)現(xiàn),語音服務(wù)提供商Voipo發(fā)生嚴重數(shù)據(jù)泄露事件,價值數(shù)十億美元的客戶資料被曝光,泄露數(shù)據(jù)包括700萬通話、600萬短信記錄和Voipo訪問E911服務(wù)提供商的憑證等。據(jù)悉,此次泄露事件源于Voipo后端ElasticSearch數(shù)據(jù)庫無密碼保護,因此,所有人均可查詢雙向發(fā)送的實時呼叫日志和文本消息流。事件發(fā)生后,Voipo數(shù)據(jù)庫已脫機。
安華金和專家分析: 這起事件是由于公開的公司服務(wù)器導(dǎo)致的,遇到該數(shù)據(jù)庫的任何用戶均可查看服務(wù)器上的實時信息,而數(shù)據(jù)庫中的數(shù)據(jù)也未采用任何加密措施。公司嚴重缺乏數(shù)據(jù)安全防護意識,密碼保護是數(shù)據(jù)庫最基本的安全配置,除此之外還應(yīng)對數(shù)據(jù)庫賬號權(quán)限、審計日志網(wǎng)絡(luò)安全配置等各方面的安全性進行加強,以防止用戶敏感數(shù)據(jù)的泄露。
【二月】
1、全部數(shù)據(jù)被清除,美國電郵商 VFEmail宣布倒閉
報道時間:2019.2
信息來源:IT之家
原文鏈接:https://www.ithome.com/0/409/230.htm
2月14日消息,以“注重隱私”為賣點的美國郵件服務(wù)提供商 VFEmail 遭毀滅性打擊,其主系統(tǒng)和備份系統(tǒng)上的所有數(shù)據(jù)均被銷毀——黑客直接將該企業(yè)積累了近20年的數(shù)據(jù)以及備份全部刪除,VFEmail 被迫宣布倒閉。
在被黑客刪除所有數(shù)據(jù)之后,VFEmail 技術(shù)團隊于第一時間對黑客的IP進行了追蹤,最終定位到攻擊者最終活躍位置IP為94.155.49.9,位于保加利亞。但根據(jù)猜測該位置很大概率是黑客使用的偽裝地址,應(yīng)該是使用虛擬機和多種訪問方式來進行攻擊的。此外,由于黑客對 VFEmail 所有的磁盤,包括郵箱主機、虛擬機和SQL服務(wù)器集群等進行了格式化處理,即便追蹤到黑客真實位置也無力回天。
安華金和專家分析:企業(yè)內(nèi)部能力不足不容忽視,具備足夠的的技術(shù)能力必不可少,例如正確配置服務(wù)器、采取必要的數(shù)據(jù)加密措施等,避免給黑客留下可乘之機。此外,安全不是簡單的邊界和外網(wǎng)安全,應(yīng)適當運用安全工具對數(shù)據(jù)庫做定期掃描,不過只依賴于數(shù)據(jù)庫掃描類工具的定期巡檢也是遠遠不夠的。掃描類產(chǎn)品能發(fā)現(xiàn)的基本屬于已經(jīng)出現(xiàn)的安全威脅,對未知安全威脅的探查能力可能不足。想要對未知的安全威脅做防護則需要數(shù)據(jù)庫防火墻等更多產(chǎn)品和技術(shù)支撐。
2、270萬電話記錄被未加密存儲
報道時間:2019.2
信息來源:PortSwigger
原文鏈接:https://portswigger.net/daily-swig/healthcare-hotline-millions-of-medical-advice-calls-exposed-in-sweden
瑞典國家衛(wèi)生服務(wù)熱線記錄的呼叫已存儲在未加密的系統(tǒng)中,任何與互聯(lián)網(wǎng)連接的人都可以公開訪問該系統(tǒng)。據(jù)當?shù)貓蟮溃烙嬘?70萬個電話被未受保護的NAS(網(wǎng)絡(luò)連接存儲)系統(tǒng)打開,并且無需密碼或任何身份驗證即可訪問。相關(guān)消息稱,有57000個瑞典電話號碼出現(xiàn)在與音頻文件關(guān)聯(lián)的數(shù)據(jù)庫中。Outpost24的首席安全官Martin Jartelius說:“這可能是現(xiàn)代瑞典最嚴重的隱私泄露事件,該設(shè)備是NAS設(shè)備,在軟件上已經(jīng)過時了。”
安華金和專家分析:傳統(tǒng)的TCP/IP協(xié)議不可避免的給NAS帶來一些“先天”的缺點。NAS只適用于較小的網(wǎng)絡(luò)或局域網(wǎng)中,受限于企業(yè)網(wǎng)絡(luò)的帶寬,很可能會出現(xiàn)當多臺客戶端訪問NAS文件系統(tǒng)時,NAS的性能大大下降,最終不能滿足用戶需求的情況。企業(yè)對于基礎(chǔ)設(shè)備的升級不容忽視,相關(guān)工作刻不容緩。
3、Verifications.io數(shù)據(jù)庫泄露8億條記錄
報道時間:2019.2
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/825487.htm
2月25日,安全研究人員披露了電子郵件驗證服務(wù)公司Verifications.io的一個可被公開訪問的 MongoDB 數(shù)據(jù)庫(被暴露在互聯(lián)網(wǎng)上)。該數(shù)據(jù)庫大小為 150GB,其中包含超過 8.08 億個電子郵件、生日、電話、地址、員工信息、IP地址、業(yè)務(wù)信息以及其它純文本記錄,其余是涉及個人信息的數(shù)據(jù)緩存。據(jù)報道,這家公司的經(jīng)營地址可能在愛沙尼亞,事件發(fā)生后, Verification.io的域名已不再運營。
安華金和專家分析:上述安全事件是數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)上。Verifications.io數(shù)據(jù)庫包含了大量的電子郵件信息以及用戶個人信息,黑客如果獲取到如此龐大的敏感數(shù)據(jù),可以方便地進行網(wǎng)站釣魚,用戶可能面臨更大的損失。用戶對于此類郵件要提高警惕,掌握此類用戶數(shù)據(jù)的公司也要提高數(shù)據(jù)安全防護意識,杜絕此類安全事件再次發(fā)生。
【三月】
1、英特爾CPU再現(xiàn)高危漏洞 得到官方證實可泄露私密數(shù)據(jù)
報道時間:2019.3
信息來源:鳳凰網(wǎng)科技
原文鏈接:https://tech.ifeng.com/c/7koSmvDAxRg
北京時間3月6日消息,美國伍斯特理工學(xué)院研究人員在英特爾處理器中發(fā)現(xiàn)另外一個被稱作Spoiler的高危漏洞,與之前被發(fā)現(xiàn)的Spectre相似,Spoiler會泄露用戶的私密數(shù)據(jù)。雖然Spoiler也依賴于預(yù)測執(zhí)行技術(shù),現(xiàn)有封殺Spectre漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說,Spoiler的存在都不是個好消息。
研究論文明確指出,Spoiler不是Spectre攻擊。Spoiler的根本原因是英特爾內(nèi)存子系統(tǒng)實現(xiàn)中地址預(yù)測技術(shù)的一處缺陷,現(xiàn)有的Spectre補丁對Spoiler無效。但與Spectre一樣,Spoiler可能被黑客惡意利用,以從內(nèi)存中竊取密碼、安全密鑰或其他關(guān)鍵數(shù)據(jù)。
英特爾對此發(fā)表聲明稱,“英特爾已獲悉相關(guān)研究結(jié)果,我們預(yù)計軟件補丁能封堵這一漏洞。
安華金和專家分析:近幾年硬件的安全漏洞越來越多,這些漏洞并不容易修復(fù),而且硬件漏洞帶來的影響更大,廠商在不斷提高產(chǎn)品性能的同時,也需要在安全性上多加考慮,才能避免這種事情不斷發(fā)生。
2、FEMA暴露了230萬災(zāi)難受害者的個人信息
報道時間:2019.3
信息來源:CBS NEWS
原文鏈接:
https://www.cbsnews.com/news/fema-data-breach-exposed-personal-information-of-2-3-million-disaster-victims/
美國國土安全部監(jiān)察長辦公室周五發(fā)布的一份報告中說,F(xiàn)EMA錯誤地暴露了230萬災(zāi)難受害者的個人信息,包括地址和銀行帳戶信息。報告稱,發(fā)生該違規(guī)行為是因為FEMA不能確保私人承包商僅收到其履行公務(wù)所需的信息。受影響的受害者包括哈維、艾爾瑪和瑪麗亞颶風(fēng)以及2017年加州野火的幸存者,他們或?qū)⒚媾R身份盜用和欺詐等風(fēng)險。
安華金和專家分析:首先,上述事件:“發(fā)生該違規(guī)行為是因為FEMA不能確保私人承包商僅收到其履行公務(wù)所需的信息“反映出內(nèi)部安全管理的完善不容忽視,部分機構(gòu)或企業(yè)甚至大型互聯(lián)網(wǎng)企業(yè)內(nèi)部,安全管理制度松懈或得不到有效執(zhí)行,造成數(shù)據(jù)主動泄露。數(shù)據(jù)持有者應(yīng)將保護用戶數(shù)據(jù)安全放在更重要的位置上。其次,政府行業(yè)一直都是數(shù)據(jù)泄露的重災(zāi)區(qū),政府擁有身份證號等多種隱私數(shù)據(jù),更有可能擁有私密項目的數(shù)據(jù),這些數(shù)據(jù)一旦泄露后果不堪設(shè)想。對更多缺乏保護的政府部門來說,他們需要對自己的數(shù)據(jù)進行跟蹤,記錄,對未知的安全威脅進行探查,確保丟失的數(shù)據(jù)也不能被人利用,為此可以和安全公司合作,運用漏掃、審計、加密等一系列技術(shù)。最后,在事件發(fā)生后應(yīng)及時通知受影響用戶小心防范。
【四月】
1、研究人員發(fā)現(xiàn)中國企業(yè)簡歷信息泄露:涉5.9億份簡歷
報道時間:2019.4
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-04-08/doc-ihvhiqax0769134.shtml
北京時間4月8日上午消息,據(jù)美國科技媒體ZDNet報道,有研究人員發(fā)現(xiàn)中國企業(yè)今年前3個月出現(xiàn)數(shù)起簡歷信息泄露事故,涉及5.9億份簡歷。大多數(shù)簡歷之所以泄露,主要是因為MongoDB和ElasticSearch服務(wù)器安全措施不到位,不需要密碼就能在網(wǎng)上看到信息,或者是因為防火墻出現(xiàn)錯誤導(dǎo)致。
在過去幾個月,尤其是過去幾周,ZDNet收到一些服務(wù)器泄露信息的相關(guān)消息,這些服務(wù)器屬于中國HR企業(yè)。發(fā)現(xiàn)信息泄露的安全研究者叫山亞·簡恩(Sanyam Jain)。單是在過去一個月,簡恩就發(fā)現(xiàn)并匯報了7宗泄露事件,其中已經(jīng)有4起泄露事故得到修復(fù)。
安華金和專家分析:具備足夠的技術(shù)能力必不可少,例如正確配置服務(wù)器、采取必要的數(shù)據(jù)加密措施等,避免給黑客留下可乘之機:
1、啟動基于角色的登錄認證功能,為admin用戶添加密碼,并在數(shù)據(jù)庫中添加新用戶(需設(shè)置密碼)啟用有效認證功能,修改默認密碼;
2、修改默認的MongoDB數(shù)據(jù)庫端口號(默認端口號為:TCP 27017)為其他端口;
3、使用防火墻對訪問源IP進行控制,如果僅對內(nèi)網(wǎng)服務(wù)器提供服務(wù),建議禁止將數(shù)據(jù)庫服務(wù)發(fā)布到互聯(lián)網(wǎng)上;
4、使用bind_ip選項對登入ip做限制;
5、開啟日志審計功能。
2、兩家第三方公司收集5.4億條Facebook相關(guān)記錄
報道時間:2019.4
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/over-540-million-facebook-records-found-on-exposed-aws-servers/
數(shù)據(jù)泄露獵人發(fā)現(xiàn)了兩臺亞馬遜云服務(wù)器,存儲著由兩家第三方公司收集的超過5.4億條與Facebook有關(guān)的記錄,受影響的用戶數(shù)量在數(shù)百萬至數(shù)千萬之間。
第一臺服務(wù)器包含大部分數(shù)據(jù),屬于一家名為Cultura Colectiva的在線媒體平臺。該AWS服務(wù)器容量為146GB,存儲了5.4億條記錄,詳細記錄了用戶的帳戶名、Facebook ID、評論、喜歡以及用于分析社交媒體供稿和用戶交互的其他數(shù)據(jù)。
第二臺AWS服務(wù)器存儲了“ At the Pool” Facebook游戲記錄的數(shù)據(jù)。其中包括諸如Facebook用戶ID、Facebook朋友、喜歡、照片、組、簽到以及用戶首選項(如電影,音樂,書籍,興趣等)之類的詳細信息,還有22,000個密碼。
安華金和專家分析:兩家第三方公司存儲著大量的個人隱私信息,這些個人信息泄露會被“有心之人”利用去嘗試其他網(wǎng)站的用戶賬戶,這就是所謂的“撞庫”。我們習(xí)慣于在不同的網(wǎng)站使用相同的賬號密碼,如果其中一個網(wǎng)站的數(shù)據(jù)庫泄露,那就意味著與之用戶名密碼相同的網(wǎng)站會發(fā)生連鎖反應(yīng),應(yīng)盡快更改與之相同的、其他網(wǎng)站的賬號密碼,尤其是金融或購物類網(wǎng)站,以免造成更大損失。
3、豐田汽車服務(wù)器再遭黑客入侵 310萬名用戶信息存憂
報道時間:2019.4
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-04-01/doc-ihsxncvh7398707.shtml
北京時間4月1日晚間消息,據(jù)美國科技媒體ZDNet報道,豐田汽車今日公布了第二起數(shù)據(jù)泄露事件,這也是該公司在過去五周內(nèi)承認的第二起網(wǎng)絡(luò)安全事件。豐田汽車表示,黑客入侵了其IT系統(tǒng),并訪問了幾家銷售子公司的數(shù)據(jù)。該公司表示,黑客訪問的服務(wù)器存儲了多達310萬名客戶的銷售信息。
安華金和專家分析:IT系統(tǒng)被黑客入侵這是安全防范不足的表現(xiàn),豐田公司不止一次發(fā)生這種安全事件說明該公司整個IT系統(tǒng)存在漏洞和缺陷,給了黑客可乘之機。公司應(yīng)當定期對系統(tǒng)安全進行評估,發(fā)現(xiàn)問題及時修正。可以與安全公司合作,應(yīng)用數(shù)據(jù)庫漏掃和防火墻類產(chǎn)品,幫助用戶及時發(fā)現(xiàn)安全漏洞并升級、打補丁,防止黑客入侵服務(wù)器。
【五月】
1、澳大利亞科技獨角獸Canva疑遭受大規(guī)模數(shù)據(jù)泄露
報道時間:2019.5
信息來源:NOSEC
原文鏈接:https://nosec.org/home/detail/2679.html
Canva,一家總部位于悉尼的著名平面設(shè)計公司,疑似出現(xiàn)大規(guī)模用戶數(shù)據(jù)泄露。根據(jù)某個黑客的說法,他從Canva非法竊取了大約1.39億用戶的數(shù)據(jù),被盜的數(shù)據(jù)包括客戶用戶名、真實姓名、電子郵件地址以及所在的城市和國家/地區(qū)信息等詳細信息。這名網(wǎng)絡(luò)稱呼為GnosticPlayers的黑客,是一個臭名昭著的數(shù)據(jù)竊取者——自今年2月以來,這名黑客已在暗網(wǎng)上出售了9.32億用戶的數(shù)據(jù),全球44家公司都被他偷走過數(shù)據(jù)。
“我下載了截止到5月17日的所有數(shù)據(jù)”,該黑客表示:“隨后,他們發(fā)現(xiàn)了我的存在,并關(guān)閉了數(shù)據(jù)庫服務(wù)器”。包括這次黑客行動,GnosticPlayers現(xiàn)在已經(jīng)竊取了超過10億用戶的登錄憑證,這同時也是這位黑客在之前的采訪中告訴ZDNet的“目標”。現(xiàn)在,他的手中有來自45家公司的數(shù)量達十多億的登錄憑證。
安華金和專家分析:要依靠有實力的信息安全公司,應(yīng)用數(shù)據(jù)庫加密和數(shù)據(jù)庫防火墻雙層技術(shù),實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計;對數(shù)據(jù)庫中的敏感數(shù)據(jù)做加密存儲、訪問控制增強、應(yīng)用訪問安全、安全審計以及三權(quán)分立等,在防御外部黑客攻擊方面進行持續(xù)投入,避免由于批量信息泄露對公司及其客戶造成重大損失。
2、優(yōu)衣庫日本網(wǎng)站逾46萬名顧客信息遭泄露
報道時間:2019.5
信息來源:新京報網(wǎng)
原文鏈接:http://www.bjnews.com.cn/feature/2019/05/14/578836.html
2019年5月13日,優(yōu)衣庫母公司日本迅銷(Fast Retailing)發(fā)布公告稱,4月23日至5月10日期間,其日本在線購物網(wǎng)站遭到黑客攻擊,黑客在“未經(jīng)授權(quán)”的情況下進行了46.11萬次登錄,這意味著超過46萬名顧客的信息可能遭到了泄露。
日本迅銷表示,這些賬戶包含的信息包括客戶姓名、地址、電話號碼、電子郵件、生日、收件地址以及部分信用卡信息,并承認雖然信用卡密碼“不存在泄露的可能性”,但黑客可能已經(jīng)“瀏覽過部分信用卡的信息”。目前,該公司已向受影響的賬戶單獨發(fā)送了電子郵件,要求他們重置賬號密碼。
安華金和專家分析:及時發(fā)郵件盡力降低損失的做法值得學(xué)習(xí),但更應(yīng)該在信息安全方面增加投入,與實力強的信息安全公司合作,應(yīng)用數(shù)據(jù)庫安全技術(shù),如防火墻、TDE等,防止類似的事情再發(fā)生。
【六月】
1、美國醫(yī)療收集機構(gòu)(AMCA)因數(shù)據(jù)泄露申請破產(chǎn)保護
報道時間:2019.6
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/medical-debt-collector-amca-files-for-bankruptcy-protection-after-data-breach/
美國醫(yī)療收集機構(gòu)(AMCA)在經(jīng)歷災(zāi)難性的數(shù)據(jù)泄露事件后,于近日申請破產(chǎn)保護。
AMCA去年被黑客入侵(2018年8月1日到2019年3月30日),導(dǎo)致約2000萬美國公民的醫(yī)療數(shù)據(jù)泄露。黑客洗劫了AMCA的內(nèi)部系統(tǒng)以竊取用戶數(shù)據(jù),隨后在暗網(wǎng)進行出售。被盜數(shù)據(jù)包括用戶姓名、社會安全號碼、地址、出生日期和支付卡信息等,并導(dǎo)致包括Quest Diagnostics、LabCorp、BioReference Laboratories、Carecentrix和Sunrise Laboratories等企業(yè)客戶的信息被盜。
安華金和專家分析:對于企業(yè),在支付卡這種信息上應(yīng)著重保護,進行多層加密等;對于個人,“撞庫”是數(shù)據(jù)盜竊常見的途徑,所以在不同的網(wǎng)站應(yīng)盡量設(shè)置不同的密碼,尤其是金融類、購物類涉及錢財?shù)木W(wǎng)站,盡量避免某一網(wǎng)站信息被竊,其余網(wǎng)站也受損失的情況發(fā)生。
2、Quest Diagnostics 1190萬患者信息泄露
報道時間:2019.6
信息來源:安全內(nèi)參
原文鏈接:https://www.secrss.com/articles/11156
6月3日,美國Quest Diagnostics公司證實了一起數(shù)據(jù)泄露事件,導(dǎo)致1190萬名患者信息受到曝光,包括財務(wù)資料、社會保險號碼和醫(yī)療信息等。Quest Diagnostics是一家實驗室測試提供商,提供診斷測試、信息和服務(wù),患者和醫(yī)生可以利用這些信息做出更好的醫(yī)療決策。
此次泄露主要是由于Quest將賬單服務(wù)外包給Optum360公司,Optum360公司又將此服務(wù)委托至美國醫(yī)療托收機構(gòu)(AMCA)來處理,而AMCA的系統(tǒng)遭到了未經(jīng)授權(quán)的訪問,由于該系統(tǒng)包含AMCA患者個人信息,導(dǎo)致本次數(shù)據(jù)泄露事件發(fā)生。
安華金和專家分析: 數(shù)據(jù)泄露往往是由于公司內(nèi)部原因造成,隨著企業(yè)業(yè)務(wù)復(fù)雜度不斷增加,研發(fā)部門架構(gòu)也越來越復(fù)雜,中間可能會夾雜不同的供應(yīng)商和外包公司,對于這些不同成員的權(quán)限控制至關(guān)重要。此外,涉及人員調(diào)換、離場時,需要做好用戶賬號和權(quán)限的清理。企業(yè)內(nèi)部還要加強安全管理工具的配置,企業(yè)成員的所有操作都應(yīng)有詳細的日志記錄,防止此類事件再次上演。
【七月】
1、Capital One銀行數(shù)據(jù)泄露事件分析
報道時間:2019.7
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/column/210411.html
7月,一起和云有關(guān)的大型數(shù)據(jù)泄露事件成了頭條新聞。美國的Capital One銀行由于“服務(wù)器配置錯誤”,被某個黑客竊取了上億張信用卡數(shù)據(jù)以及十多萬社保號碼。
讓黑客有可乘之機的是一個常見的云安全問題:云上基礎(chǔ)設(shè)施資源的錯誤配置使得未經(jīng)權(quán)限驗證的用戶非法提升自己的權(quán)限,從而接觸到敏感文檔。在過去的2-3年里,這種問題所導(dǎo)致的安全事件也頻頻見報,例如,近2億份選民記錄泄露,五角大樓Tb級機密文件泄露,5億份Facebook個人資料泄露。
云中的安全管理一直都非常具有挑戰(zhàn)性。正如我們在過去幾年中所看到的那樣,一條策略的缺陷,就有可能導(dǎo)致上億條數(shù)據(jù)的泄露。
安華金和專家分析:一些可能形成安全風(fēng)險的配置項配置錯誤會導(dǎo)致非法提權(quán)發(fā)生。云服務(wù)日益發(fā)展的今天,云安全問題已經(jīng)不容忽視。另外,企業(yè)足夠的技術(shù)能力必不可少,例如正確配置服務(wù)器、采取必要的數(shù)據(jù)加密措施等,避免給黑客留下可乘之機。
2、約會應(yīng)用3fun被爆安全漏洞,全球150萬用戶隱私信息或遭泄露
報道時間:2019.7
信息來源:IT之家
原文鏈接:https://www.ithome.com/0/438/478.htm
7月1日,Pen Test Partner安全研究人員發(fā)現(xiàn),集體約會應(yīng)用程序3fun存在一個巨大漏洞——任何人都可以找到該應(yīng)用程序150萬用戶的個人信息、聊天數(shù)據(jù)、私人照片和實時位置數(shù)據(jù)。
究其原因,是3fun將用戶的位置數(shù)據(jù)存儲在了應(yīng)用程序中,而不是安全地保存在服務(wù)器上。這意味著對研究人員來說,在客戶端公開數(shù)據(jù)是一項微不足道的任務(wù),即使用戶對他們的位置數(shù)據(jù)設(shè)置了權(quán)限。這次泄露意味著Pen Test Partners可以發(fā)現(xiàn)全球3fun用戶的位置。此外,無論用戶的出生日期、性取向,甚至照片是否設(shè)置為隱私,它都可以查看到。
安華金和專家分析:內(nèi)部安全管理不完善以及能力不足不容忽視。同時,具備足夠的技術(shù)能力必不可少,例如正確配置服務(wù)器、采取必要的數(shù)據(jù)加密措施等。數(shù)據(jù)持有者應(yīng)將保護用戶數(shù)據(jù)安全放在更重要的位置上。
3、英航、萬豪因數(shù)據(jù)泄露領(lǐng)巨額罰單
報道時間:2019.7
信息來源:鈦媒體
原文鏈接:https://www.tmtpost.com/nictation/4057426.html
7月9日和10日,英國信息專員辦公室(ICO)接連開出兩張巨額罰單,累計罰金超3.5億美金!處罰對象分別是國際航空集團旗下英國航空公司以及國際知名連鎖酒店萬豪國際集團。
2018年9月,英國航空公司向信息監(jiān)管局通報了一起始于當年6月的數(shù)據(jù)泄露事件,該事件導(dǎo)致約50萬名英航乘客的個人基本信息和付款記錄等數(shù)據(jù)被黑客竊取。其中,至少有7.7萬張支付卡持有者的姓名、賬單地址、電子郵箱地址、信用卡支付信息(包括卡號、有效期和信用卡驗證碼)可能遭到泄露,成千上萬的乘客被迫緊急取消掉了他們的信用卡。對此英航方面宣稱:是黑客對其官方網(wǎng)站進行了“復(fù)雜、惡意的犯罪攻擊”。針對此次事件,英國信息專員辦公室向英國航空公司開出了高達2.3億美元的罰單。
2018年11月,萬豪國際集團公開披露一起數(shù)據(jù)泄露事件,該事件導(dǎo)致3.83億酒店客戶信息被黑客竊取。萬豪國際集團在2016年9月收購了喜達屋連鎖酒店,可經(jīng)調(diào)查顯示,自2014年7月以來,黑客就一直駐留在喜達屋的IT網(wǎng)絡(luò)當中,并從其客戶預(yù)訂數(shù)據(jù)庫內(nèi)竊取到了詳盡的客戶信息。針對此次事件,英國信息專員辦公室向萬豪國際集團開出了1.23億美元的罰單。
安華金和專家分析:
從英航事件來看,其實現(xiàn)在有許多途徑可以將惡意代碼注入到合法頁面。比如當開發(fā)人員錯誤輸入JavaScript庫的域名,“有心之人”只需注冊域名并在其中放置惡意軟件,等到該公司購買自己的域來托管第三方代碼又忘記更新域名時,網(wǎng)絡(luò)攻擊者便有機可乘。
從萬豪酒店事件來看,歸根結(jié)底可能是2014年喜達屋未完全清理IT系統(tǒng)木馬后門導(dǎo)致。安全不是簡單的邊界和外網(wǎng)安全,內(nèi)網(wǎng)安全尤其是數(shù)據(jù)庫安全同樣重要。如果使用適當?shù)陌踩ぞ邔?shù)據(jù)庫定期掃描,應(yīng)該早就能發(fā)現(xiàn)黑客在預(yù)訂數(shù)據(jù)庫中殘留的木馬、后門,也就不會發(fā)生現(xiàn)在的數(shù)據(jù)泄露事件。
最后,任何在上述酒店居住過的顧客都應(yīng)該對銀行賬單保持密切關(guān)注,特別是有可疑的費用產(chǎn)生時應(yīng)特別注意,受到影響的顧客要注意對身份信息保護和信用卡監(jiān)控。
【八月】
1、全球 7.37 億醫(yī)療數(shù)據(jù)泄露,涉及 2000 多萬人,波及 52 國
報道時間:2019.8
信息來源:InfoQ
原文鏈接:https://www.infoq.cn/article/8VZ8aVetNvRQ2VCmHl4u
據(jù)外媒 Securityaffairs 報道,德國漏洞分析和管理公司 Greenbone Networks 的專家發(fā)現(xiàn),600 個未受保護的服務(wù)器暴露于互聯(lián)網(wǎng),這些服務(wù)器包含大量醫(yī)療放射圖像。其中,有超過 7.37 億個放射圖像,涉及 2000 多萬人,影響到 52 個國家的患者。
安華金和專家分析:醫(yī)療保健領(lǐng)域的醫(yī)療系統(tǒng)和流程正變得越來越數(shù)字化。像所有其他行業(yè)一樣,醫(yī)療服務(wù)提供者和醫(yī)院也正在使用互聯(lián)網(wǎng)技術(shù)來完善和提高對患者的護理質(zhì)量。PACS服務(wù)器是醫(yī)療領(lǐng)域廣泛使用的圖像存儲系統(tǒng),服務(wù)器中會包含與個人病歷有關(guān)的高度機密數(shù)據(jù),因此應(yīng)嚴格限制訪問,僅對某些專門人員開放訪問。如果這些服務(wù)器沒有進行任何保護措施,那么連普通互聯(lián)網(wǎng)用戶都有可能獲得操作系統(tǒng)賬號。醫(yī)療服務(wù)機構(gòu)應(yīng)當盡快排查自己的服務(wù)器,不要再出現(xiàn)服務(wù)器暴露于互聯(lián)網(wǎng)的情況。
2、數(shù)據(jù)泄露后 Web托管服務(wù)商Hostinger重置1400萬用戶密碼
報道時間:2019.8
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/882515.htm
全球知名網(wǎng)站托管商Hostinger一臺數(shù)據(jù)服務(wù)器遭到“未經(jīng)授權(quán)的第三方”訪問,影響1400萬Hostinger用戶。此次泄露的數(shù)據(jù)庫包括用戶的注冊郵箱、散列密碼、用戶名、真實姓名、家庭住址以及手機號碼等。在訪問的事件之后,Web 主機托管服務(wù)商 Hostinger 決定采取“預(yù)防措施”—— 重置了所有客戶的密碼。
安華金和專家分析: Hostinger公司能夠及時發(fā)現(xiàn)漏洞并要求客戶重置密碼的行為是很好的,但是客戶的安全風(fēng)險依然存在。攻擊者已經(jīng)從數(shù)據(jù)庫中獲取到用戶足夠的信息,可以發(fā)起比較令人信服的網(wǎng)絡(luò)釣魚攻擊,甚至可以偽造與Hostinger公司的安全警報類似的網(wǎng)絡(luò)釣魚攻擊。用戶盡量通過公司域來訪問而不要通過郵件鏈接訪問網(wǎng)站。公司也應(yīng)當及時升級服務(wù)器的安全性。
【九月】
1、馬印航空乘客信息泄露或影響數(shù)百萬人
報道時間:2019.9
信息來源:環(huán)球網(wǎng)
原文鏈接:https://3w.huanqiu.com/a/c36dc8/9CaKrnKmYKh
據(jù)路透社23日報道,馬印航空在一份聲明中表示,兩名曾在該公司印度發(fā)展中心就職,供職于為馬印航空提供電商服務(wù)的GoQuo公司前職員“不恰當?shù)孬@取并盜竊了乘客的個人數(shù)據(jù)”。
當?shù)貢r間18日,馬印航空證實大量乘客信息泄露,受影響乘客人數(shù)或達數(shù)百萬。位于莫斯科的網(wǎng)絡(luò)安全公司卡巴斯基實驗室在一則報告中披露,馬印航空及泰國獅航約3千萬乘客的資料被上傳并存儲在開放的亞馬遜云端運算服務(wù)(AWS)。卡巴斯基還指出,部分數(shù)據(jù)在暗網(wǎng)中售賣。不過,馬印航空表示,數(shù)據(jù)的泄露與亞馬遜云端運算服務(wù)的安全架構(gòu)無關(guān),泄露的信息包括護照信息、住址和電話號碼等,但付款信息并未遭到牽連。
安華金和專家分析:航空公司儲存有大量的個人隱私信息,如護照信息,身份證號等,被“有心之人”拿到,容易被拿去“撞庫”。數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,通過對網(wǎng)絡(luò)數(shù)據(jù)的分析,實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作,并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)用戶操作的監(jiān)控和審計。同時,內(nèi)部人員盜竊也是數(shù)據(jù)泄露的重要原因之一,在信息安全上應(yīng)實施“責(zé)任到人”,加大對審計產(chǎn)品的重視。
2、警方鏟除百億“套路貸”!兩大“套路”模式指向大數(shù)據(jù)泄露
報道時間:2019.9
信息來源:21世紀財經(jīng)報道
原文鏈接:
https://m.21jingji.com/article/20190918/020c73d0f4f309aece40b93191862a53.html
9月17日,廣東省公安廳發(fā)布消息,粵港澳三地警方10-11日開展的一次清查行動期間,廣州、深圳、佛山、惠州、東莞等地警方打掉“套路貸”犯罪團伙16個,抓獲犯罪嫌疑人140余人,破獲刑事案件20余起,查封扣押凍結(jié)涉案資產(chǎn)逾9300萬元。
根據(jù)公安部9月3日發(fā)布的數(shù)據(jù),全國公安機關(guān)共偵辦“套路貸”團伙案件1890起,抓獲犯罪嫌疑人18651人,破獲各類刑事案件18790起,查扣涉案資產(chǎn)161.76億元。
貸款中介的“助貸”模式,本意是為了提升資金方的獲客能力和獲客效率,但一些中介卻利用大數(shù)據(jù)泄露的機會違法操作。由于借款人的身份、手機通訊錄、通話記錄等被套路貸平臺獲取,“爆通訊錄”、電話滋擾等暴力催收流行于各個平臺。
警方指出,涉案金融公司非法高利放貸,非法獲取個人信息。通過非法手段獲取大量公民個人信息,骨干成員曾因非法獲取公民信息罪獲刑,并通過撥打電話、網(wǎng)站廣告等方式招攬客戶。
安華金和專家分析:數(shù)據(jù)持有者應(yīng)將保護用戶數(shù)據(jù)安全放在更重要的位置上。應(yīng)從法律角度賦予數(shù)據(jù)持有者更大的保護義務(wù),促使其采取更加完善有效的安全技術(shù)手段和管理措施。應(yīng)加大數(shù)據(jù)泄露事件執(zhí)法力度。執(zhí)法部門有必要加強網(wǎng)絡(luò)技偵和取證技術(shù)手段,對數(shù)據(jù)泄露的作案者和責(zé)任人依法采取懲處措施。
3、美國外賣服務(wù)DoorDash數(shù)據(jù)泄露,影響490萬人
報道時間:2019.9
信息來源:鈦媒體
原文鏈接:https://www.tmtpost.com/nictation/4161303.html
9月27日消息,美國外賣服務(wù)DoorDash周四宣布,一項安全漏洞暴露了該公司大約490萬客戶、商家和送貨員的個人數(shù)據(jù)。
這家總部位于舊金山的公司在一份聲明中說,此次泄露的信息可能包括大約10萬名送貨工人的駕駛執(zhí)照號碼,其他數(shù)據(jù)可能包括“姓名、電子郵件地址、交貨地址、訂單歷史記錄、電話號碼”等。
該公司還在聲明說,一些消費者支付卡的最后四位數(shù)字也可能被暴露出來,但其中沒有包含足夠的數(shù)據(jù)來進行欺詐性收費。送貨員和商家的銀行帳號最后四位數(shù)可能已被他人訪問。
安華金和專家分析:漏洞是導(dǎo)致數(shù)據(jù)泄露最重要的原因之一,應(yīng)及時掃描數(shù)據(jù)庫,通過自動掃描和手動輸入發(fā)現(xiàn)數(shù)據(jù)庫;經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患,形成修復(fù)建議報告,以盡早發(fā)現(xiàn)漏洞避免數(shù)據(jù)被竊。
4、Facebook證實4.19億用戶的電話信息被泄露
報道時間:2019.9
信息來源:鳳凰網(wǎng)科技
原文鏈接:https://tech.ifeng.com/c/7pihaqVA72X
據(jù)《衛(wèi)報》報道,當?shù)貢r間9月4日Facebook證實,超過4.19億的Facebook用戶ID和電話號碼被存儲在一個在線服務(wù)器上,而該數(shù)據(jù)庫卻沒有密碼,導(dǎo)致任何人都可以訪問。其中包含1.33億美國Facebook用戶、1800萬英國用戶以及超過5000萬越南用戶的信息,而且一些數(shù)據(jù)還包含用戶的姓名、性別和國家/地區(qū)的位置等。Facebook發(fā)言人表示,目前數(shù)據(jù)庫已被刪除,沒有證據(jù)表明Facebook賬戶遭到入侵。
安華金和專家分析:數(shù)據(jù)庫暴露在互聯(lián)網(wǎng)是數(shù)據(jù)泄露的很大一部分原因,而且影響范圍極廣,尤其是 Facebook這種用戶量極大的公司,一旦重要數(shù)據(jù)泄露后果將不堪設(shè)想。作為公司要加強數(shù)據(jù)庫安全管理,及時發(fā)現(xiàn)這種未受保護數(shù)據(jù)庫,可以和安全公司合作配置安全管理工具,定期對數(shù)據(jù)庫安全狀況評測,清除潛在的安全隱患。
【十月】
1、Adobe漏洞泄露了750萬Creative Cloud用戶數(shù)據(jù)
報道時間:2019.10
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/news/218107.html
美國計算機軟件公司Adobe在10月初發(fā)現(xiàn)了嚴重的安全漏洞,該漏洞泄露了Creative Cloud服務(wù)用戶信息記錄的數(shù)據(jù)庫。盡管所包含的詳細信息不是很敏感,但可以針對數(shù)據(jù)泄露的用戶精心設(shè)計一場網(wǎng)絡(luò)釣魚活動。
Adobe Creative Cloud或Adobe CC是一項訂閱服務(wù),大約有1500萬的訂閱戶,主要提供的服務(wù)是可以訪問公司開發(fā)的全套流行創(chuàng)意軟件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,這些軟件可在臺式機和移動設(shè)備使用。
本月初,安全研究員Bob Diachenko與網(wǎng)絡(luò)安全公司Comparitech合作,發(fā)現(xiàn)了一個Adobe Creative Cloud訂閱服務(wù)的Elasticsearch數(shù)據(jù)庫,無需任何密碼或身份驗證都可以訪問該數(shù)據(jù)庫,極具威脅性。
此次無意公開的數(shù)據(jù)庫包含近750萬Adobe Creative Cloud用戶的個人帳戶信息,數(shù)據(jù)庫緩存大小接近86GB,目前公司已將這些數(shù)據(jù)保護起來。
安華金和專家分析:漏洞和網(wǎng)絡(luò)釣魚是導(dǎo)致數(shù)據(jù)泄露的重要原因,即便已將數(shù)據(jù)保護起來,也要“未雨綢繆”。應(yīng)啟動基于角色的登錄認證功能,為admin用戶添加密碼,以及在數(shù)據(jù)庫中添加新用戶(需設(shè)置密碼)啟用有效認證功能,并修改默認密碼等。可以運用數(shù)據(jù)庫漏掃技術(shù),通過自動掃描和手動輸入發(fā)現(xiàn)數(shù)據(jù)庫,經(jīng)授權(quán)掃描、非授權(quán)掃描、弱口令、滲透攻擊等檢測方式發(fā)現(xiàn)數(shù)據(jù)庫安全隱患,形成修復(fù)建議報告。數(shù)據(jù)庫漏掃是數(shù)據(jù)庫安全評估技術(shù)之一,能夠找出數(shù)據(jù)庫自身的安全漏洞和使用中的安全隱患。
2、俄羅斯聯(lián)邦儲蓄銀行6000萬張信用卡信息泄露
報道時間:2019.10
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/russias-sberbank-investigates-credit-card-data-leak/
10月初有媒體報道,俄羅斯聯(lián)邦儲蓄銀行正在針對“信用卡數(shù)據(jù)的潛在泄露問題”開展內(nèi)部調(diào)查,并表示可能有至少200個客戶的帳戶受到影響,而雇員的“犯罪行為”被認為是造成該事件的主要誘因。
但是,《生意人報》認為:與多達6000萬張信用卡持有人相關(guān)的信息正在黑市上出售,所謂“200個帳戶”僅是供潛在買家試用的“樣本”。如果上述對泄露范圍的判斷準確的話,那將是對國有銀行的一次重大攻擊。目前,俄羅斯聯(lián)邦儲蓄銀行有大約1800萬活躍信用卡用戶。
安華金和專家分析:因內(nèi)部人員盜竊數(shù)據(jù)而導(dǎo)致?lián)p失的風(fēng)險也不容小覷。由于數(shù)據(jù)黑產(chǎn)的發(fā)展,內(nèi)外勾結(jié)盜竊用戶數(shù)據(jù)謀取暴利的行為正在迅速蔓延。未采取有效的數(shù)據(jù)訪問權(quán)限管理,身份認證管理、數(shù)據(jù)利用控制等措施是大多數(shù)企業(yè)數(shù)據(jù)內(nèi)部人員數(shù)據(jù)盜竊成功的主要原因。
對員工批量下載數(shù)據(jù)的異常行為發(fā)出警告和風(fēng)險預(yù)防,針對內(nèi)部人員數(shù)據(jù)訪問需要設(shè)置嚴格的數(shù)據(jù)管控,并對數(shù)據(jù)進行脫敏處理,才能有效確保企業(yè)數(shù)據(jù)的安全。
3、俄羅斯互聯(lián)網(wǎng)服務(wù)提供商 Beeline 870萬客戶數(shù)據(jù)泄露
報道時間:2019.10
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/data-breach-at-russian-isp-impacts-8-7-million-customers/
據(jù)俄羅斯媒體北京時間10月7日報道稱,俄羅斯互聯(lián)網(wǎng)服務(wù)提供商Beeline的870萬客戶數(shù)據(jù)正在網(wǎng)上出售和共享。數(shù)據(jù)包含個人詳細信息,例如姓名、地址、手機號碼和家庭電話號碼。據(jù)悉,這一漏洞發(fā)生于2017年,盡管從未公開有黑客入侵行為,但已找到了當時的責(zé)任人。事后該公司表示,此番泄露的數(shù)據(jù)絕大部分來自已不再是Beeline客戶的用戶。
安華金和專家分析:企業(yè)數(shù)據(jù)安全管理面臨更高的要求,必須建立嚴格的安全能力體系,不僅需要確保對用戶數(shù)據(jù)進行加密處理,更要據(jù)的訪問權(quán)限進行精準控制,即使不再是客戶也要儲存保護好其數(shù)據(jù)。
【十一月】
1、FB再曝隱私漏洞:100位軟件開發(fā)者違規(guī)訪問用戶數(shù)據(jù)
報道時間:2019.11
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-11-06/doc-iicezzrr7511182.shtml
北京時間11月6日早間消息,F(xiàn)acebook周二發(fā)布消息稱,100位軟件開發(fā)者可能已經(jīng)通過不當手段訪問用戶數(shù)據(jù),數(shù)據(jù)包括用戶姓名、個人相片,受影響的用戶來自Facebook網(wǎng)站的特殊團體。
2018年4月Facebook已經(jīng)做出調(diào)整,預(yù)防類似事件發(fā)生,但最近公司發(fā)現(xiàn)仍然有一些App可以獲取此類用戶的數(shù)據(jù)。Facebook已經(jīng)關(guān)閉訪問權(quán)限,并與100位開發(fā)者合作伙伴接觸。Facebook聲稱在過去60天里至少有11位開發(fā)者合作伙伴訪問此類數(shù)據(jù)。
安華金和專家分析:數(shù)據(jù)庫安全審計系統(tǒng)主要用于監(jiān)視并記錄對數(shù)據(jù)庫服務(wù)器的各類操作行為,通過對網(wǎng)絡(luò)數(shù)據(jù)的分析,實時地、智能地解析對數(shù)據(jù)庫服務(wù)器的各種操作,并記入審計數(shù)據(jù)庫中以便日后進行查詢、分析、過濾,實現(xiàn)對目標數(shù)據(jù)庫系統(tǒng)的用戶操作的監(jiān)控和審計。可以和網(wǎng)絡(luò)安全公司合作。對員工異常的訪問行為發(fā)出警告和風(fēng)險預(yù)防,針對內(nèi)部人員數(shù)據(jù)訪問需要設(shè)置嚴格的數(shù)據(jù)管控和權(quán)限設(shè)置,并對數(shù)據(jù)進行脫敏處理,才能有效確保企業(yè)數(shù)據(jù)的安全。
2、FB再曝隱私漏洞:100位軟件開發(fā)者違規(guī)訪問用戶數(shù)據(jù)
報道時間:2019.11
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/news/221626.html
11月初,一名黑客入侵了英國在線音樂流媒體服務(wù)Mixcloud,竊取了超過2100萬個用戶賬戶。代號為“A_W_S”黑客與部分外媒聯(lián)系透露了該數(shù)據(jù)泄露的消息,并提供了部分數(shù)據(jù)樣本,包含用戶名、電子郵件、Hash密碼、用戶國籍信息、注冊日期、最后登陸日期以及IP地址等。
在11月30日,Mixcloud官方發(fā)布安全公告回應(yīng)了這次數(shù)據(jù)泄露的消息,表示正在積極調(diào)查這件事情。此外,Mixcloud補充說明:“大多數(shù)Mixcloud用戶通過Facebook身份驗證進行了注冊,在這種情況下,我們不存儲密碼。”
安華金和專家分析:Mixcloud公司積極調(diào)查不拖延,以及不儲存密碼的行為還是值得國內(nèi)公司學(xué)習(xí)。被盜竊的信息很有可能被用去“撞庫”,建議Mixcloud用戶及時更改賬戶信息。建議使用數(shù)據(jù)庫防火墻系統(tǒng)對外部黑客攻擊進行防御,同時使用數(shù)據(jù)庫保險箱對敏感信息按列加密存儲,這樣即使黑客盜竊了數(shù)據(jù),也不能使用。
3、美國短信服務(wù)商TrueDialog泄露近十億條敏感信息
報道時間:2019.11
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/column/221700.html
在Noam Rotem和Ran Locar的領(lǐng)導(dǎo)下,vpnMentor的研究小組發(fā)現(xiàn)了一個屬于美國通訊公司TrueDialog的不安全的數(shù)據(jù)庫。TrueDialog為美國各大企業(yè)提供短信解決方案,而該數(shù)據(jù)庫與他們業(yè)務(wù)的各個方面都有聯(lián)系,里面包含了大量敏感數(shù)據(jù),包括數(shù)千萬條短信。而除了短信外,安全團隊還發(fā)現(xiàn)了數(shù)以百萬的帳戶用戶名和密碼、TrueDialog用戶及其客戶的PII數(shù)據(jù)等等。
這個TrueDialog數(shù)據(jù)庫由Microsoft Azure托管的,在美國的Oracle Marketing Cloud上運行。上一次查看數(shù)據(jù)庫時,它包含604GB的數(shù)據(jù),近10億條包含敏感數(shù)據(jù)的記錄。這些數(shù)據(jù)和TrueDialog業(yè)務(wù)模型的許多方面都相關(guān)聯(lián)。該公司本身,它的客戶群,以及客戶的客戶的數(shù)據(jù)都泄露了,這可能會引發(fā)潛在的釣魚攻擊。
安華金和專家分析:存放用戶敏感數(shù)據(jù)的數(shù)據(jù)庫在網(wǎng)上長期開放,數(shù)據(jù)完全不加密,這是公司安全管理上極大問題。帳戶密碼不僅不受保護,而且很多都是明文。這意味著攻擊者可以登錄大量公司帳戶,更改密碼,造成難以想象的損失。未加密消息可以讓企業(yè)間諜輕易就獲得競爭對手的機密信息。這些信息可能包括營銷活動、新產(chǎn)品的推出日期、新產(chǎn)品設(shè)計或規(guī)格等等。企業(yè)發(fā)現(xiàn)問題后應(yīng)當加強安全意識,杜絕類似安全問題發(fā)生。
【十二】
1、Elasticsearch服務(wù)器泄露12億個人數(shù)據(jù),明晃晃地掛在暗網(wǎng)上
報道時間:2019.12
信息來源:雷鋒網(wǎng)
原文鏈接:https://www.leiphone.com/news/201912/m4nT35S6zEJ7Mptv.html
SecurityDiscovery 網(wǎng)站的網(wǎng)絡(luò)威脅情報總監(jiān)鮑勃·迪亞琴科( Bob Diachenko )稱發(fā)現(xiàn)了一個巨大的 ElasticSearch 數(shù)據(jù)庫,包含超過27億個電郵地址,其中有10個的密碼都是簡單的明文。大多數(shù)被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網(wǎng)易。當然,雅虎 gmail 和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與 2017年那次大型的被盜事件有關(guān),當時有黑客直接將它們放在暗網(wǎng)上售賣。
該 ElasticSearch 服務(wù)器屬于美國的一個托管服務(wù)中心,后者在 Diachenko 發(fā)布數(shù)據(jù)庫存儲安全報告后于12月9日被關(guān)閉。但即使如此,它已經(jīng)開放了至少一周,并且允許任何人在無密碼的情況下進行訪問。
Diachenko 稱,單就數(shù)字而言,這可能是我所看到的記錄數(shù)據(jù)最龐大的一次(他自 2018 年以來發(fā)掘了多次數(shù)據(jù)泄露事件,其中包括2.75億個印度公民信息的數(shù)據(jù)庫)。
更讓人無語的是,此后不到兩周時間,Elasticsearch 服務(wù)器新一輪的數(shù)據(jù)泄露事件便再度發(fā)生,這次研究人員在不安全的云存儲桶中總共發(fā)現(xiàn)了27億個電子郵件地址,10億個電子郵件賬戶密碼以及一個裝載了近80萬份出生證明副本的應(yīng)用程序。
研究人員稱,過去一年里,一些企業(yè)在無意識間令其Amazon Web服務(wù)S3和基于云計算的ElasticSearch存儲桶暴露出來。它們沒有任何適當?shù)陌踩胧矝]有被試圖鎖定的跡象。
安華金和專家分析:數(shù)據(jù)安全已經(jīng)到了非管不可的程度,大規(guī)模數(shù)據(jù)泄露如果得不到有效制止,不止損害公民利益,而且會動搖社會根基,第三方服務(wù)機構(gòu)由于掌握大量的信息,因此也成為數(shù)據(jù)竊取的主要目標。如果沒有建立足夠的數(shù)據(jù)安全意識并持續(xù)優(yōu)化改進,這樣的事情還會再發(fā)生或正發(fā)生。應(yīng)該在網(wǎng)絡(luò)安全上多加投入,應(yīng)用一系列的數(shù)據(jù)庫安全技術(shù),主要包括:數(shù)據(jù)庫漏掃、數(shù)據(jù)庫加密、數(shù)據(jù)庫防火墻、數(shù)據(jù)脫敏、數(shù)據(jù)庫安全審計系統(tǒng)。
2、加拿大醫(yī)療實驗室LifeLabs被黑客攻擊 現(xiàn)決定支付贖金換回用戶數(shù)據(jù)
報道時間:2019.12
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/922931.htm
LifeLabs是一家位于加拿大、業(yè)內(nèi)領(lǐng)先的醫(yī)療診斷和測試服務(wù)提供商。該公司宣布向黑客支付贖金,以贖回上月安全泄露事件中被竊取的數(shù)據(jù)和資料。目前尚不清楚該公司為恢復(fù)這些數(shù)據(jù)支付了多少費用。外媒ZDNet通過電話聯(lián)系LifeLabs發(fā)言人時,表示不會立即對此事發(fā)表評論。LifeLabs此前表示本次泄露事件覆蓋加拿大將近半數(shù)人口,超過1500萬人的資料可能已經(jīng)泄露。
安華金和專家分析:數(shù)據(jù)安全事件造成了大量用戶數(shù)據(jù)丟失,即使支付贖金拿回數(shù)據(jù),用戶的隱私已經(jīng)遭到泄露。如果不能從此次事件中吸取教訓(xùn),及時改進數(shù)據(jù)庫系統(tǒng)安全狀況的話,后續(xù)很可能還會造成更大的損失。公司應(yīng)當加大網(wǎng)絡(luò)安全上投入,配置數(shù)據(jù)庫加密、數(shù)據(jù)庫漏掃等安全產(chǎn)品加固數(shù)據(jù)庫,防止黑客再次侵入數(shù)據(jù)庫。
【現(xiàn)狀趨勢與總結(jié)建議】
1、2019年度全球數(shù)據(jù)安全概況
對于安全領(lǐng)域,2019 年是不平靜的一年。主流媒體將 Facebook 漏洞和勒索軟件攻擊作為頭條新聞報道,而安全專家在幕后努力抵御不斷涌現(xiàn)的漏洞、爬蟲程序和其他威脅。
盡管不斷開展用戶培訓(xùn)和實施端點防御,網(wǎng)絡(luò)釣魚仍然有效。據(jù)相關(guān)報告顯示,所有數(shù)據(jù)泄露事件中的32%以及網(wǎng)絡(luò)間諜事件中的78%都涉及某種形式的網(wǎng)絡(luò)釣魚。如今,犯罪分子使用在暗網(wǎng)上出售的網(wǎng)絡(luò)釣魚工具來輕易地冒充知名品牌進行數(shù)據(jù)盜竊。移動設(shè)備和社交媒體則助長了攻擊更快速地傳播。有時,網(wǎng)絡(luò)釣魚站點甚至通過隱藏在合法的網(wǎng)站和服務(wù)器上來逃避檢測。
從2018年1月到2019年6月,針對科技和媒體公司的平均每日Web攻擊量幾乎翻了一番。在同一時期,35%的撞庫攻擊針對的是這些垂直行業(yè)。視頻媒體行業(yè)比任何其他垂直行業(yè)都吸引了更多的撞庫攻擊。此外,流媒體公司面臨的獨特安全挑戰(zhàn),包括安全人才短缺。
如今,對金融服務(wù)機構(gòu)的攻擊似乎在數(shù)量和復(fù)雜程度上都呈現(xiàn)攀升趨勢。這種針對金融服務(wù)行業(yè)日益膨脹的高級網(wǎng)絡(luò)攻擊犯罪行為包括:從最容易遭受撞庫攻擊的身份驗證機制,到使用被盜身份獲取不義之財。有利可圖的網(wǎng)絡(luò)釣魚變體以及犯罪分子常常通過發(fā)起“佯攻”來掩護其真實目標。事實證明,犯罪分子在金融服務(wù)領(lǐng)域如果攻擊得手,隨后相關(guān)手段往往會轉(zhuǎn)移到其他行業(yè)繼續(xù)作案。
犯罪分子總是會追求金錢。如今,在虛擬游戲世界中,真正的金錢也會遭到偷竊。針對游戲行業(yè)發(fā)起的撞庫攻擊有日益普及上升的趨勢。大多數(shù)成功的賬戶接管具有以下特征:一個密碼在多個網(wǎng)站重復(fù)使用;與朋友共享密碼;密碼容易被猜到。在17 個月的時間里,相關(guān)人員統(tǒng)計了120億次攻擊,發(fā)現(xiàn)SQL注入和LFI兩種攻擊方式占所有Web應(yīng)用程序攻擊的近90%。
一項 API 流量研究表明,API 現(xiàn)在占所有點擊量的83%,而HTML流量在總流量中的占比則下降到了17%。DNS流量研究顯示,IPv6流量可能被低估;許多支持IPv6的系統(tǒng)仍然傾向于IPv4。而對憑證濫用和濫用零售商庫存的僵尸網(wǎng)絡(luò)的研究表明,這是一個日益嚴重的問題,需要得到關(guān)注。
根據(jù)漏洞情報公司Risk Based Security的報告信息顯示,與去年相比,今年上半年數(shù)據(jù)泄露的數(shù)量急劇增加。2019年前六個月的安全事件與去年同期相比增長了54%,而數(shù)據(jù)泄露的數(shù)量增長了52%。2019年上半年數(shù)據(jù)泄露量約為41.9億條,2018年同期約為27.4億條。
根據(jù)報告,今年上半年發(fā)生的8起數(shù)據(jù)泄露事件占32億條數(shù)據(jù),占總數(shù)的78.6%。其中6起由于錯誤配置引發(fā),分別為:Verifications.io(9.82億條記錄)、First American Financial(8.85億條記錄)、Cultura Colectiva(5.4億條),印度(2.75億條)、中國(2.02億條)和Justdial(1億)。2起由于黑客攻擊引起分別為:Dubsmash(1.61億條)和Canva(1.39億條)。
被泄露數(shù)據(jù)類型主要為郵件和密碼,分別占被泄露數(shù)據(jù)集的70%和65%。11%的數(shù)據(jù)泄露中涉及地址、信用卡和社會安全號碼,10%的數(shù)據(jù)泄露中涉及賬號。
2、國內(nèi)數(shù)據(jù)安全現(xiàn)狀及未來趨勢
“十三五”時期,我國將大力實施網(wǎng)絡(luò)強國戰(zhàn)略,要求網(wǎng)絡(luò)與信息安全有足夠的保障手段和能力,通過切實推進自主可控和國產(chǎn)化替代,政策化培養(yǎng)和市場化發(fā)展雙向結(jié)合,信息安全市場國產(chǎn)化腳步逐步加快。
云安全
據(jù)顯示,2018年中國云安全市場規(guī)模達37.76億元,增長45%。隨著信息安全越來越受到重視,云安全市場將進一步擴大。預(yù)計2019年,中國云安全市場規(guī)模將達56.1億元,增長近五成。到2021年,預(yù)計我國云安全市場規(guī)模將超100億元。
數(shù)據(jù)來源:中商產(chǎn)業(yè)研究院整理
工業(yè)互聯(lián)網(wǎng)安全
由于工業(yè)互聯(lián)網(wǎng)推動企業(yè)信息科技(IT)和操作技術(shù)(OT)融合,因此工業(yè)互聯(lián)網(wǎng)安全是工業(yè)生產(chǎn)安全和網(wǎng)絡(luò)空間安全相融合的領(lǐng)域,包含了工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化運行過程中的各個要素和環(huán)節(jié)的安全,主要體現(xiàn)為工業(yè)控制系統(tǒng)安全、工業(yè)網(wǎng)絡(luò)安全、工業(yè)大數(shù)據(jù)安全、工業(yè)云安全、工業(yè)電子商務(wù)安全、工業(yè)APP安全等。
據(jù)數(shù)據(jù)顯示,2018年中國工業(yè)互聯(lián)網(wǎng)安全市場規(guī)模在95億元左右,同比增長近三成。隨著對工業(yè)互聯(lián)網(wǎng)安全的重視,未來市場規(guī)模將擴大,預(yù)計2019年將近125億元。到2021年,中國工業(yè)互聯(lián)網(wǎng)規(guī)模或?qū)⑦_到230億元,漲幅超35%。
數(shù)據(jù)來源:中商產(chǎn)業(yè)研究院整理
3、網(wǎng)絡(luò)安全行業(yè)創(chuàng)新領(lǐng)域介紹
自主可控技術(shù)發(fā)展保衛(wèi)網(wǎng)絡(luò)空間
“十三五”時期,信息安全市場的自主可控和國產(chǎn)化替代趨勢非常明確。在技術(shù)方面,網(wǎng)絡(luò)安全產(chǎn)品為了完成自主可控,必須在以下關(guān)鍵組成部分實現(xiàn)國產(chǎn)化替代,包括:芯片、操作系統(tǒng)、數(shù)據(jù)庫和中間件。
從芯片角度分析,國內(nèi)的龍芯、申威、飛騰和兆芯,分別使用MIPS、Alpha、ARM和X86架構(gòu),不論是自主研發(fā)指令集和微結(jié)構(gòu),或是購買外廠商指令集授權(quán)配合自主研發(fā)的微結(jié)構(gòu)并開放源碼檢查,都可以滿足現(xiàn)階段安全可控的要求。
從國產(chǎn)操作系統(tǒng)方面分析,中標麒麟、普華等國產(chǎn)操作系統(tǒng),可以滿足自主可控需求,也已經(jīng)形成面向桌面操作系統(tǒng)、服務(wù)器操作系統(tǒng)、安全操作系統(tǒng)等多類型產(chǎn)品,能支持X86、龍芯、申威、飛騰等CPU平臺。
綜合以上情況分析,對于自主可控技術(shù)的關(guān)鍵組成部分,業(yè)界已經(jīng)基本具備了國產(chǎn)化替代國外產(chǎn)品的能力,應(yīng)用條件已經(jīng)相對成熟。可以預(yù)見的是,自主可控產(chǎn)品將在這樣良好的條件下大力發(fā)展,真正做到保衛(wèi)國家網(wǎng)絡(luò)空間。
云情報、機器學(xué)習(xí)等人工智能預(yù)測技術(shù)成為安全防護的重點
傳統(tǒng)的安全架構(gòu)中,較多依賴特征匹配的模式。在這種模式中,防護設(shè)備需要先將某個攻擊事件寫入特征庫,然后才能防御這個攻擊,而且安全設(shè)備的特征庫,數(shù)量是非常有限的,所以最大的問題在于滯后性和局限性,防護方永遠落后于攻擊方,對0day等未知威脅無能為力。如今,網(wǎng)絡(luò)安全界的潮流是轉(zhuǎn)后手為先手,讓安全變得更主動、更前置,主要的技術(shù)手段包括云威脅情報和機器學(xué)習(xí)預(yù)測技術(shù)。
自適應(yīng)安全架構(gòu)促使智能安全落地
自適應(yīng)安全理論體系打破了傳統(tǒng)安全的理念,在安全架構(gòu)中增加了諸多環(huán)節(jié),指明了不同環(huán)節(jié)之間的融合關(guān)系,這促使了安全產(chǎn)品不僅要不斷推出新功能,還要將不同的功能進行互相關(guān)聯(lián)和順序編排,從而推進了智能化技術(shù)在安全產(chǎn)品上落地。在未來,自適應(yīng)安全將會納入更多環(huán)節(jié),安全產(chǎn)品的特性也將會越來越多,智能化發(fā)展趨勢已成必然。
云安全催生虛擬化安全新架構(gòu)
云安全技術(shù)的發(fā)展,不僅更好地解決了云內(nèi)安全問題,也讓以NFV(網(wǎng)絡(luò)功能虛擬化)的生態(tài)得到了良好的發(fā)展。目前,以安全能力虛擬化+安全能力調(diào)度為技術(shù)架構(gòu)的眾多一體機產(chǎn)品,例如等級保護一體機、網(wǎng)點出口一體機、數(shù)據(jù)中心安全防護一體機,已經(jīng)實現(xiàn)了對嵌入式網(wǎng)絡(luò)通信平臺的部分替代。
未來,網(wǎng)絡(luò)安全技術(shù)的劃分會更加精細,安全能力將會越來越多,尤其是在私有云等環(huán)境下尤為明顯,虛擬化安全新架構(gòu)將會有更廣闊的應(yīng)用前景。
4、數(shù)據(jù)安全主要政策出臺及制定情況
對于網(wǎng)絡(luò)空間安全的重視正在不斷升級。自2017年《網(wǎng)絡(luò)安全法》頒布以來,信息安全的立法進程越來越緊湊,今天我們重點關(guān)注大數(shù)據(jù)安全領(lǐng)域國家或者地方紛紛出臺的一系列的政策、法律法規(guī)。
(1)《貴陽市大數(shù)據(jù)安全管理條例》
全國首部大數(shù)據(jù)安全地方法規(guī),明確措施防范數(shù)據(jù)泄露。
作為全國首部大數(shù)據(jù)安全管理的地方法規(guī),《貴陽市大數(shù)據(jù)安全管理條例》(以下簡稱《條例》)即將于今年10月1日正式施行。該《條例》分別對大數(shù)據(jù)安全定義、防風(fēng)險安全保障措施、監(jiān)測預(yù)警與應(yīng)急處置、投訴舉報等方面做出規(guī)定。
本法規(guī)的頒布對大數(shù)據(jù)安全使用提出了要求:安全責(zé)任單位應(yīng)當建立大數(shù)據(jù)安全審計制度,記錄并保存數(shù)據(jù)分類、采集、清洗、查詢和銷毀等操作過程,定期進行安全審計分析,詳細記錄數(shù)據(jù)全生命周期活動,防范數(shù)據(jù)偽造、泄露或者被竊取、篡改、非法使用等風(fēng)險,以保障數(shù)據(jù)安全。
除此之外,在大數(shù)據(jù)安全立法領(lǐng)域,站在國家層面,覆蓋各個方面、細粒度更高的若干標準制定項目已經(jīng)蔚為有序,這些政策法規(guī)將助力大數(shù)據(jù)安全建設(shè),從而為建設(shè)網(wǎng)絡(luò)安全強國貢獻力量。
(2)《信息安全技術(shù) 個人信息安全規(guī)范》
《信息安全技術(shù) 個人信息安全規(guī)范》明確定義了個人敏感信息。
其中,全國信息安全標準化技術(shù)委員會2017年12月29日正式發(fā)布的規(guī)范《信息安全技術(shù) 個人信息安全規(guī)范》(標準號:GBT 35273-2017)已于2018年5月1日正式實施。本標準針對個人信息面臨的安全問題,規(guī)范個人信息控制者在收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等信息處理環(huán)節(jié)中的相關(guān)行為,旨在遏制個人信息非法收集、濫用、泄露等亂象,最大程度地保障個人的合法權(quán)益和社會公共利益。對標準中的具體事項,法律法規(guī)另有規(guī)定的,需遵照其規(guī)定執(zhí)行。
本規(guī)范針對個人信息和個人敏感信息加以定義,其中個人敏感信息 personal sensitive information指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全,極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童的個人信息等。
(3)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》
《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》考察大數(shù)據(jù)服務(wù)安全能力。
《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(標準號:GB/T 35274-2017)于2017年12月29日發(fā)布,2018年7月1日實施,本標準規(guī)定了大數(shù)據(jù)服務(wù)提供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力。
本標準適用于對政府部門和企事業(yè)單位建設(shè)大數(shù)據(jù)服務(wù)安全能力,也適用于第三方機構(gòu)對大數(shù)據(jù)服務(wù)提供者的大數(shù)據(jù)服務(wù)安全能力進行審查和評估。
(4)《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》
2017年5月24日,全國信息安全標準化技術(shù)委員會秘書處發(fā)布了國家標準《信息安全技術(shù) 大數(shù)據(jù)安全管理指南》征求意見稿,公開征求意見。該征求意見稿規(guī)定:大數(shù)據(jù)安全管理原則;大數(shù)據(jù)安全管理基本概念;制定大數(shù)據(jù)安全目標、戰(zhàn)略和策略;明確大數(shù)據(jù)安全管理角色與責(zé)任;管理大數(shù)據(jù)安全風(fēng)險;管理大數(shù)據(jù)平臺運行安全。
同時,征求意見稿附錄部分還就電信行業(yè)數(shù)據(jù)分類分級、國家基礎(chǔ)數(shù)據(jù)、生命科學(xué)大數(shù)據(jù)風(fēng)險分析以及大數(shù)據(jù)安全風(fēng)險給出了示例和說明。
(5)《信息安全技術(shù) 個人信息安全影響評估指南》
2018年6月13日,全國信息安全標準化技術(shù)委員會發(fā)布國家標準《信息安全技術(shù) 個人信息安全影響評估指南》征求意見稿征求意見的通知。標準規(guī)定了個人信息安全影響評估的基本概念、框架、方法和流程,并提出了在特定場景下進行評估的具體方法。
適用于各類組織自行開展個人信息安全影響評估工作。同時,為國家主管部門、第三方測評機構(gòu)等開展個人信息安全監(jiān)管、檢查、評估等工作提供指導(dǎo)和依據(jù)。
(6)《信息安全技術(shù) 個人信息去標識化指南》
2017年9月,國標《信息安全技術(shù)個人信息去標識化指南》征求意見稿在全國信息安全標準化技術(shù)委員會官網(wǎng)上發(fā)布。
該標準在內(nèi)容上汲取了當前國內(nèi)個人信息處理機構(gòu)、安全測評機構(gòu)和研究機構(gòu)的最新成果,并借鑒了國外個人信息去標識化的最新研究理論,提煉了當前業(yè)內(nèi)通行的最佳實踐。通過研究個人信息去標識化的目標、原則、技術(shù)、模型、過程和組織措施,提出能科學(xué)有效地抵御安全風(fēng)險、符合信息化發(fā)展需要的個人信息去標識化指南,從而在保障個人信息安全的前提下,推動數(shù)據(jù)的開放共享,充分發(fā)揮大數(shù)據(jù)的價值。
(7)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》
2017年中旬,全國信息安全標準化技術(shù)委員會等部門協(xié)同各方著手制定了一套用于組織機構(gòu)數(shù)據(jù)安全能力的評估標準——《大數(shù)據(jù)安全能力成熟度模型》。“大數(shù)據(jù)安全能力成熟度模型“這項國家標準的研究課題于2016年6月立項,2018年送審稿修訂工作完成啟動。
《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》DSMM旨在幫助各行業(yè)、組織機構(gòu)基于統(tǒng)一標準來評估其數(shù)據(jù)安全能力,發(fā)現(xiàn)數(shù)據(jù)安全能力短板,查漏補缺,促進大數(shù)據(jù)參與方的數(shù)據(jù)安全能力評估與提升,促進大數(shù)據(jù)在組織間的交換、共享與流轉(zhuǎn),發(fā)揮大數(shù)據(jù)的價值,促進我國大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。同時,也可以有效地支撐《中華人民共和國網(wǎng)絡(luò)安全法》、國務(wù)院《促進大數(shù)據(jù)發(fā)展行動綱要》、國家十三五規(guī)劃綱要等國家政策和法規(guī)的有效落地。
(8)《信息安全技術(shù) 大數(shù)據(jù)交易服務(wù)安全要求》
習(xí)總書記在2017年12月8日強調(diào),要制定數(shù)據(jù)資源確權(quán)、開放、流通、交易相關(guān)制度,完善數(shù)據(jù)產(chǎn)權(quán)保護制度。我國加快了制定數(shù)據(jù)交易等制度的步伐,尤其是在安全領(lǐng)域。國家標準化管理委員會在2018年1月9日下達制定國家標準計劃《信息安全技術(shù) 大數(shù)據(jù)交易服務(wù)安全要求》的任務(wù),計劃號:20173591-T-469。
該標準即將成為我國首個大數(shù)據(jù)交易安全國家標準,有助于理清數(shù)據(jù)交易安全界限,促進數(shù)據(jù)交易行為合法合規(guī)。此標準的出臺,勢必會推動我國數(shù)據(jù)交易機構(gòu)的安全建設(shè),促進數(shù)據(jù)交易行為合法合規(guī),使全國數(shù)據(jù)要素有序流通,充分釋放數(shù)據(jù)紅利,助力“數(shù)字中國”建設(shè)。
(9)《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》
2017年,全國信安標委秘書處發(fā)布《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南》、《信息安全技術(shù) 網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全通用要求》等六項國家標準,完成征詢意見反饋。
該指南規(guī)定了數(shù)據(jù)出境安全評估流程、評估要點、評估方法等內(nèi)容,適用于網(wǎng)絡(luò)運營者開展的個人信息和重要數(shù)據(jù)出境安全自評估,以及國家網(wǎng)信部門、行業(yè)主管部門組織開展的個人信息和重要數(shù)據(jù)出境安全評估。一旦發(fā)現(xiàn)存在的安全問題和風(fēng)險,及時采取措施,防止個人信息未經(jīng)用戶同意向境外泄露,損害個人信息主體合法利益;防止國家重要數(shù)據(jù)未經(jīng)安全評估和相應(yīng)主管部門批準存儲在境外,給國家安全造成不利影響。據(jù)悉,這是“我國的數(shù)據(jù)出境安全管理辦法之中非常重要的文件”。
(10)全國人大常委會正式通過《密碼法》
2019年10月26日,第十三屆全國人大常委會第十四次會議正式通過《密碼法》,旨在規(guī)范密碼應(yīng)用和管理,促進密碼事業(yè)發(fā)展,保障網(wǎng)絡(luò)與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權(quán)益。
《密碼法》共五章四十四條,重點規(guī)范了以下內(nèi)容:第一章總則部分,規(guī)定了本法的立法目的、密碼工作的基本原則、領(lǐng)導(dǎo)和管理體制,以及密碼發(fā)展促進和保障措施;第二章核心密碼、普通密碼部分,規(guī)定了核心密碼、普通密碼使用要求、安全管理制度以及國家加強核心密碼、普通密碼工作的一系列特殊保障制度和措施;第三章商用密碼部分,規(guī)定了商用密碼標準化制度、檢測認證制度、市場準入管理制度、使用要求、進出口管理制度、電子政務(wù)電子認證服務(wù)管理制度以及商用密碼事中事后監(jiān)管制度;第四章法律責(zé)任部分,規(guī)定了違反本法相關(guān)規(guī)定應(yīng)當承擔(dān)的相應(yīng)法律后果;第五章附則部分,規(guī)定了國家密碼管理部門的規(guī)章制定權(quán),解放軍和武警部隊密碼立法事宜及本法的施行日期。
(11)網(wǎng)絡(luò)安全等級保護制度2.0系列標準正式發(fā)布
2019年5月13日,《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》三項國家標準正式發(fā)布,并將于2019年12月1日正式實施。
解讀:
原來的等級保護對象主要包括各類重要信息系統(tǒng)和政府網(wǎng)站,保護方法主要是對系統(tǒng)進行定級備案、等級測評、建設(shè)整改、監(jiān)督檢查等。在此基礎(chǔ)上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術(shù)標準。等保2.0將網(wǎng)絡(luò)基礎(chǔ)設(shè)施、重要信息系統(tǒng)、大型互聯(lián)網(wǎng)站、大數(shù)據(jù)中心、云計算平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、公眾服務(wù)平臺等全部納入等級保護對象,并將風(fēng)險評估、安全監(jiān)測、通報預(yù)警、案事件調(diào)查、數(shù)據(jù)防護、災(zāi)難備份、應(yīng)急處置、自主可控、供應(yīng)鏈安全、效果評價、綜治考核、安全員培訓(xùn)等工作措施全部納入等級保護制度。
(12)十部門聯(lián)合發(fā)布《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》
2019年8月28日,工信部、教育部、人力資源和社會保障部、生態(tài)環(huán)境部、國家衛(wèi)生健康委員會、應(yīng)急管理部、國務(wù)院國有資產(chǎn)監(jiān)督管理委員會、國家市場監(jiān)督管理總局、國家能源局、國家國防科技工業(yè)局十部門聯(lián)合發(fā)布《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》。
(13)國資委發(fā)布《中央企業(yè)負責(zé)人經(jīng)營業(yè)績考核辦法》,網(wǎng)絡(luò)安全納入考核指標
2019年3月7日,國務(wù)院國有資產(chǎn)監(jiān)督管理委員會官網(wǎng)上發(fā)布新版《中央企業(yè)負責(zé)人經(jīng)營業(yè)績考核辦法》,自2019年4月1日起施行。《辦法》將網(wǎng)絡(luò)安全納入考核指標,相關(guān)條款主要體現(xiàn)在第34條和第48條。
(14)公安部發(fā)布《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》
2019年1月2日,公安部發(fā)布《公安機關(guān)辦理刑事案件電子數(shù)據(jù)取證規(guī)則》,自2019年2月1日起施行。
(15)貴州省出臺《貴州省大數(shù)據(jù)安全保障條例》
2019年8月1日,貴州省通過《貴州省大數(shù)據(jù)安全保障條例》,對大數(shù)據(jù)安全責(zé)任、監(jiān)督管理、支持與保障、法律責(zé)任等進行了明確。《條例》于2019年10月1日起施行。
(16)國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》
2019年5月28日,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》(以下簡稱“征求意見稿”),意見反饋截止時間為2019年6月28日。
(17)國家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》
2019年8月23日,《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》正式出臺,并將于2019年10月1日起施行。
(18)工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)及推廣指南》
2019年1月18日,工信部發(fā)布《工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)建設(shè)及推廣指南》,明確提出將以構(gòu)筑支撐工業(yè)全要素、全產(chǎn)業(yè)鏈、全價值鏈互聯(lián)互通的網(wǎng)絡(luò)基礎(chǔ)設(shè)施為目標,著力打造工業(yè)互聯(lián)網(wǎng)標桿網(wǎng)絡(luò)、創(chuàng)新網(wǎng)絡(luò)應(yīng)用,規(guī)范發(fā)展秩序,加快培育新技術(shù)、新產(chǎn)品、新模式、新業(yè)態(tài)。到2020年,形成相對完善的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)頂層設(shè)計。
工信部提出,到2020年,初步建成工業(yè)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施和技術(shù)產(chǎn)業(yè)體系,包括建設(shè)滿足試驗和商用需求的工業(yè)互聯(lián)網(wǎng)企業(yè)外網(wǎng)標桿網(wǎng)絡(luò),建設(shè)一批工業(yè)互聯(lián)網(wǎng)企業(yè)內(nèi)網(wǎng)標桿網(wǎng)絡(luò),建成一批關(guān)鍵技術(shù)和重點行業(yè)的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)實驗環(huán)境,建設(shè)20個以上網(wǎng)絡(luò)技術(shù)創(chuàng)新和行業(yè)應(yīng)用測試床,形成先進、系統(tǒng)的工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)技術(shù)體系和標準體系等。
工信部特別提出,建立工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)發(fā)展監(jiān)測評估機制,加強網(wǎng)絡(luò)資源管理和安全保障,提升安全防護能力。
(19)全國信息安全標準化技術(shù)委員會發(fā)布27項國家標準
2018年12月28日,全國信息安全標準化技術(shù)委員會(“信安標委”)歸口的27項國家標準正式發(fā)布,自2019年7月1日起施行。這27項國家標準涉及數(shù)字簽名、網(wǎng)絡(luò)安全等級保護、公民網(wǎng)絡(luò)電子身份標識、物聯(lián)網(wǎng)、病毒防治、網(wǎng)絡(luò)攻擊、密碼等多項內(nèi)容。
5、安華金和專家解讀
(1)數(shù)據(jù)安全事件的變化和危害
隨著各種規(guī)模的企業(yè)對數(shù)據(jù)的依賴性越來越強,數(shù)據(jù)泄露已引起廣泛關(guān)注。敏感的業(yè)務(wù)數(shù)據(jù)存儲在本地計算機,企業(yè)數(shù)據(jù)庫或者是云服務(wù)器上,非法訪問的難度也各有不同。
當公司開始以數(shù)字化的方式存儲其受保護的數(shù)據(jù)時,數(shù)據(jù)泄露就沒有停止過。實際上,只要個人和公司保持記錄并存儲私人信息,就會存在數(shù)據(jù)泄露。隨著數(shù)據(jù)安全事件的增多,公眾對數(shù)據(jù)安全的認識開始提高,各個國家也制定了一系列法律法規(guī),這些法規(guī)能夠?qū)γ舾行畔⑻峁┍匾谋Wo措施,但卻并非在所有行業(yè)中都存在并被有效執(zhí)行,也因而無法阻止數(shù)據(jù)泄露的發(fā)生。
有關(guān)數(shù)據(jù)泄露的大多數(shù)信息都集中在2005年至今的這段時間,很大程度上是由于技術(shù)的進步和電子數(shù)據(jù)在世界范圍內(nèi)的擴散,使得數(shù)據(jù)泄露成為企業(yè)和消費者的一大困擾。如今,數(shù)據(jù)泄露動輒影響成千上萬(甚至以百萬計)的用戶群體,更可怕的是這種量級的數(shù)據(jù)泄露可能僅發(fā)生于對一家公司的某一次攻擊之中。
在這些數(shù)據(jù)中,泄露發(fā)生最多的就是身份信息,包括:姓名、地址、身份識別號碼等等。特別是航空、酒店等服務(wù)行業(yè),因其留存顧客的身份證號、護照號等個人識別信息,可被用于進行不法交易,因而成為黑客攻擊的重點目標;其次,是用戶賬號數(shù)據(jù)。在互聯(lián)網(wǎng)時代,人們?yōu)槭褂酶鞣N互聯(lián)網(wǎng)服務(wù)而注冊了大量的賬號,這些賬號所涉及的用戶信息既可能是真實信息,也可能是虛構(gòu)信息。獲得這些賬號不僅意味著獲得了對應(yīng)用戶的訪問權(quán)限,更能進行“撞庫”,繼而導(dǎo)致用戶的其他網(wǎng)站或應(yīng)用程序賬號被盜,影響波及甚廣;再者是機密數(shù)據(jù)和敏感數(shù)據(jù)。這里指政府部門或企業(yè)掌握的不適宜公開傳播的內(nèi)部信息,包括國家秘密、商業(yè)秘密和內(nèi)部文檔等。這些數(shù)據(jù)的泄露輕則影響機構(gòu)的聲譽,重則直接造成經(jīng)濟損失甚至影響國家安全。
從數(shù)據(jù)泄露的來源來分析,大部分被泄露數(shù)據(jù)來自于互聯(lián)網(wǎng)服務(wù)公司,涉及社交網(wǎng)站、在線招聘網(wǎng)站、數(shù)字營銷公司、約會網(wǎng)站、電商網(wǎng)站等;位居第二的是公共服務(wù)機構(gòu),包括醫(yī)療機構(gòu)、銀行、天然氣公司、電信運營商等。公共服務(wù)機構(gòu)由于掌握大量居民的信息,因此也成為數(shù)據(jù)竊取的主要目標;此外,政府機構(gòu)的數(shù)據(jù)泄露也較為嚴重。
(2)數(shù)據(jù)安全防護的觀念、方法及措施
數(shù)據(jù)安全防護是通過采用一組控件,應(yīng)用程序和技術(shù)來保護網(wǎng)絡(luò)上的文件,數(shù)據(jù)庫和帳戶的過程。這些控件,應(yīng)用程序和技術(shù)可以識別不同數(shù)據(jù)集的相對重要性、敏感性及法規(guī)遵從性要求,然后應(yīng)用適當?shù)谋Wo措施來保護這些數(shù)據(jù)集資源。
數(shù)據(jù)安全性的核心要素是機密性,完整性和可用性。這是一種安全模型和指南,可幫助組織保護其敏感數(shù)據(jù)免受未經(jīng)授權(quán)的訪問導(dǎo)致的數(shù)據(jù)泄露威脅。
盡管數(shù)據(jù)安全防護不是萬能藥,但是采取多方位的措施確實可以大大減少安全事件的發(fā)生,從而降低企業(yè)和用戶的損失。我們可以采取以下措施加強數(shù)據(jù)安全防護:
加強數(shù)據(jù)安全防護意識
最普遍、也是最具破壞性的錯誤往往都是人為造成的。例如,一個包含客戶個人信息的U盤或筆記本電腦的丟失或被盜會對企業(yè)聲譽造成惡劣的影響,還會帶來高昂的罰款。因此,開展員工安全意識培訓(xùn)就是一項幫助員工意識到數(shù)據(jù)資產(chǎn)價值以及掌握安全處理數(shù)據(jù)能力的有效手段。
用戶權(quán)限最小化原則
90%的漏洞攻擊都需要所利用的賬號具備一定的權(quán)限。所以請用戶配置數(shù)據(jù)庫帳號時,只給出能滿足應(yīng)用系統(tǒng)使用最小權(quán)限的賬號,因為任何額外的權(quán)限都可能是潛在的攻擊點。大部分大型數(shù)據(jù)泄露事件都是由內(nèi)部員工造成的,因此嚴格控制數(shù)據(jù)訪問權(quán)限和數(shù)據(jù)獲取權(quán)限更顯重要,也就是遵循所謂的最小權(quán)限原則。
開展數(shù)據(jù)風(fēng)險評估
定期進行風(fēng)險評估,發(fā)現(xiàn)組織內(nèi)部的潛在風(fēng)險。評估范圍應(yīng)包括方方面面,從數(shù)據(jù)泄露風(fēng)險到物理威脅(如停電)。這項工作能夠幫用戶發(fā)現(xiàn)目前數(shù)據(jù)安全系統(tǒng)中的脆弱點,并從每一次的評估工作中,不斷優(yōu)化組織的數(shù)據(jù)保護模式。
定期安裝數(shù)據(jù)庫廠商提供的漏洞補丁
根據(jù)以往經(jīng)驗,可以形容為95%以上的數(shù)據(jù)庫存在被黑客入侵的可能。然而,黑客使用的漏洞有時卻并非0day一類,而恰恰是數(shù)據(jù)庫廠商已發(fā)布過修復(fù)補丁的漏洞。因此,即便有時因應(yīng)用系統(tǒng)等原因無法及時打補丁,也請通過虛擬補丁等技術(shù)暫時或永久加固數(shù)據(jù)庫。
轉(zhuǎn)載自安全客:https://www.anquanke.com/post/id/196567
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧