2019年全球數據安全事件盤點及行業分析報告
責編:gltian |2020-01-07 11:28:25在全球范圍內,重大數據泄露事件的發生向來是備受關注的焦點新聞。然而令人遺憾的是,這類“頂流”新聞的數量正在連年增長,并在2019年“再創新高”…
從理論角度來看,無論安全專家采取何種防御措施,攻擊者都可以繞過;無論組織大小,都無一幸免的會成為數據泄露的受害者。不管哪個組織,存儲著什么類型的數據,規模有多大,似乎總有一雙“眼睛”在注視著它們,并試圖進行盜取或破壞行為。
醫療信息、賬戶憑證、公司電子郵件、企業內部敏感數據等等等等,每時每刻都在面對威脅或發生泄露。有統計顯示,2016年全球共發生數據泄露事件1673起,造成7.07億條數據泄露;而僅僅在兩年后,這一數字就猛增至4600起和35億條。
根據IBM最新的數據泄露年度成本研究,通過對包括法律、監管和技術活動、品牌損失、客戶和員工生產力損失等數百個成本因素的考量,數據泄露的平均成本現已高達392萬美元,而這些費用在過去五年里增加了12%。
安華金和作為專業的數據安全產品與解決方案提供商,公司旗下數據庫攻防實驗室的數據安全專家們對過去一年發生在全球范圍內的代表性數據安全事件進行梳理分析,并圍繞數據安全行業現狀、發展趨勢、政策法規等方面給出概括總結與相關建議。下面,就讓我們一同回顧,2019年數據安全領域發生過的那些“麻煩事”吧:
【一月】
1、蘋果iOS 12.1重大漏洞被曝光:FaceTime通話可被竊聽
報道時間:2019.1
信息來源:雷鋒網
原文鏈接:https://www.leiphone.com/news/201901/ihGJPmLLwuiWsyAb.html
向來以注重用戶隱私安全為“標簽”的蘋果公司出了狀況:在其運行iOS 12.1及更新版本iOS操作系統的設備上,其預裝的FaceTime應用被曝存在重大安全漏洞——在對方接聽或者拒絕接聽前,用戶就能聽到對方的談話聲音。
美國科技媒體The Verge進行了實機測試:首先,他們用一部iPhone X中的FaceTime向另一部iPhone XR撥打遠程電話。結果確實如上述所說,在尚未同意接聽電話的情況下,從iPhone X中傳來了XR一端環境中的嘈雜聲,其中測試人員談話的內容也清晰可辨。
目前,幾乎所有的iPhone設備上都會預裝FaceTime軟件,這將意味著幾乎所有符合條件的iOS用戶都會面臨相當大的隱私問題。除此之外,也有媒體在實測中發現,當用戶按下鎖屏的電源按鈕后,視頻也可能被直接傳送到對方的手機設備上。
對此蘋果方面稱,如果用戶對于FaceTime的服務產生了質疑,完全可以通過設置頁面禁用這一功能,而這個問題將在“本周晚些時候”的軟件更新中得到解決。
安華金和專家分析:這些私人聊天記錄及視頻屬于敏感數據。很顯然,這個漏洞造成了相當大的隱私問題,“有心之人”可以通過這個途徑監聽任何IOS用戶。也就是說,如果你的iPhone收到一個FaceTime請求,在接聽前另一端的人就可能正在監聽。“本周晚些時候”這種拖延的做法對客戶來說是非常不負責任的,問題需要盡早得到解決。建議用戶在“問題真正得到解決”之前,暫時禁用iPhone和iPad上的FaceTime功能。
2、菲律賓金融服務公司數據泄露,影響90萬客戶
報道時間:2019.1
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/810333.htm
菲律賓金融服務提供商Cebuana Lhuillier表示,大約有90萬名客戶數據在未經授權的情況下遭到黑客竊取。該公司已向有關部門報警并介入這一事件的調查。此次泄密事件發生時,正值菲律賓調查人員針對菲外交部長指控黑客入侵該國護照數據庫展開調查之際。上周,菲外交部長指控稱,一家私人承包公司從外交部的護照數據庫中竊取了文件和數據。
Cebuana Lhuillier表示,黑客此次針對該公司市場營銷部門電子郵件服務器發起的攻擊,致部分客戶的生日、地址和收入來源等信息外泄。
安華金和專家分析:金融公司數據庫中存儲了大量的個人隱私信息,如地址、收入來源等,可能被用于電話詐騙、網絡釣魚,造成更為嚴重的人身及財產損害。如果該公司此前就與網絡安全公司合作,應用如數據庫透明加密技術等防護手段,那么即使數據被盜走了,犯罪分子也無法獲取真實數據,從而保障了數據和相關方面的安全。
3、Voipo數據泄露:價值數十億美元的客戶資料被曝光
報道時間:2019.1
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/809159.htm
研究人員發現,語音服務提供商Voipo發生嚴重數據泄露事件,價值數十億美元的客戶資料被曝光,泄露數據包括700萬通話、600萬短信記錄和Voipo訪問E911服務提供商的憑證等。據悉,此次泄露事件源于Voipo后端ElasticSearch數據庫無密碼保護,因此,所有人均可查詢雙向發送的實時呼叫日志和文本消息流。事件發生后,Voipo數據庫已脫機。
安華金和專家分析: 這起事件是由于公開的公司服務器導致的,遇到該數據庫的任何用戶均可查看服務器上的實時信息,而數據庫中的數據也未采用任何加密措施。公司嚴重缺乏數據安全防護意識,密碼保護是數據庫最基本的安全配置,除此之外還應對數據庫賬號權限、審計日志網絡安全配置等各方面的安全性進行加強,以防止用戶敏感數據的泄露。
【二月】
1、全部數據被清除,美國電郵商 VFEmail宣布倒閉
報道時間:2019.2
信息來源:IT之家
原文鏈接:https://www.ithome.com/0/409/230.htm
2月14日消息,以“注重隱私”為賣點的美國郵件服務提供商 VFEmail 遭毀滅性打擊,其主系統和備份系統上的所有數據均被銷毀——黑客直接將該企業積累了近20年的數據以及備份全部刪除,VFEmail 被迫宣布倒閉。
在被黑客刪除所有數據之后,VFEmail 技術團隊于第一時間對黑客的IP進行了追蹤,最終定位到攻擊者最終活躍位置IP為94.155.49.9,位于保加利亞。但根據猜測該位置很大概率是黑客使用的偽裝地址,應該是使用虛擬機和多種訪問方式來進行攻擊的。此外,由于黑客對 VFEmail 所有的磁盤,包括郵箱主機、虛擬機和SQL服務器集群等進行了格式化處理,即便追蹤到黑客真實位置也無力回天。
安華金和專家分析:企業內部能力不足不容忽視,具備足夠的的技術能力必不可少,例如正確配置服務器、采取必要的數據加密措施等,避免給黑客留下可乘之機。此外,安全不是簡單的邊界和外網安全,應適當運用安全工具對數據庫做定期掃描,不過只依賴于數據庫掃描類工具的定期巡檢也是遠遠不夠的。掃描類產品能發現的基本屬于已經出現的安全威脅,對未知安全威脅的探查能力可能不足。想要對未知的安全威脅做防護則需要數據庫防火墻等更多產品和技術支撐。
2、270萬電話記錄被未加密存儲
報道時間:2019.2
信息來源:PortSwigger
原文鏈接:https://portswigger.net/daily-swig/healthcare-hotline-millions-of-medical-advice-calls-exposed-in-sweden
瑞典國家衛生服務熱線記錄的呼叫已存儲在未加密的系統中,任何與互聯網連接的人都可以公開訪問該系統。據當地報道,估計有270萬個電話被未受保護的NAS(網絡連接存儲)系統打開,并且無需密碼或任何身份驗證即可訪問。相關消息稱,有57000個瑞典電話號碼出現在與音頻文件關聯的數據庫中。Outpost24的首席安全官Martin Jartelius說:“這可能是現代瑞典最嚴重的隱私泄露事件,該設備是NAS設備,在軟件上已經過時了。”
安華金和專家分析:傳統的TCP/IP協議不可避免的給NAS帶來一些“先天”的缺點。NAS只適用于較小的網絡或局域網中,受限于企業網絡的帶寬,很可能會出現當多臺客戶端訪問NAS文件系統時,NAS的性能大大下降,最終不能滿足用戶需求的情況。企業對于基礎設備的升級不容忽視,相關工作刻不容緩。
3、Verifications.io數據庫泄露8億條記錄
報道時間:2019.2
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/825487.htm
2月25日,安全研究人員披露了電子郵件驗證服務公司Verifications.io的一個可被公開訪問的 MongoDB 數據庫(被暴露在互聯網上)。該數據庫大小為 150GB,其中包含超過 8.08 億個電子郵件、生日、電話、地址、員工信息、IP地址、業務信息以及其它純文本記錄,其余是涉及個人信息的數據緩存。據報道,這家公司的經營地址可能在愛沙尼亞,事件發生后, Verification.io的域名已不再運營。
安華金和專家分析:上述安全事件是數據庫暴露在互聯網上。Verifications.io數據庫包含了大量的電子郵件信息以及用戶個人信息,黑客如果獲取到如此龐大的敏感數據,可以方便地進行網站釣魚,用戶可能面臨更大的損失。用戶對于此類郵件要提高警惕,掌握此類用戶數據的公司也要提高數據安全防護意識,杜絕此類安全事件再次發生。
【三月】
1、英特爾CPU再現高危漏洞 得到官方證實可泄露私密數據
報道時間:2019.3
信息來源:鳳凰網科技
原文鏈接:https://tech.ifeng.com/c/7koSmvDAxRg
北京時間3月6日消息,美國伍斯特理工學院研究人員在英特爾處理器中發現另外一個被稱作Spoiler的高危漏洞,與之前被發現的Spectre相似,Spoiler會泄露用戶的私密數據。雖然Spoiler也依賴于預測執行技術,現有封殺Spectre漏洞的解決方案對它卻無能為力。無論是對英特爾還是其客戶來說,Spoiler的存在都不是個好消息。
研究論文明確指出,Spoiler不是Spectre攻擊。Spoiler的根本原因是英特爾內存子系統實現中地址預測技術的一處缺陷,現有的Spectre補丁對Spoiler無效。但與Spectre一樣,Spoiler可能被黑客惡意利用,以從內存中竊取密碼、安全密鑰或其他關鍵數據。
英特爾對此發表聲明稱,“英特爾已獲悉相關研究結果,我們預計軟件補丁能封堵這一漏洞。
安華金和專家分析:近幾年硬件的安全漏洞越來越多,這些漏洞并不容易修復,而且硬件漏洞帶來的影響更大,廠商在不斷提高產品性能的同時,也需要在安全性上多加考慮,才能避免這種事情不斷發生。
2、FEMA暴露了230萬災難受害者的個人信息
報道時間:2019.3
信息來源:CBS NEWS
原文鏈接:
https://www.cbsnews.com/news/fema-data-breach-exposed-personal-information-of-2-3-million-disaster-victims/
美國國土安全部監察長辦公室周五發布的一份報告中說,FEMA錯誤地暴露了230萬災難受害者的個人信息,包括地址和銀行帳戶信息。報告稱,發生該違規行為是因為FEMA不能確保私人承包商僅收到其履行公務所需的信息。受影響的受害者包括哈維、艾爾瑪和瑪麗亞颶風以及2017年加州野火的幸存者,他們或將面臨身份盜用和欺詐等風險。
安華金和專家分析:首先,上述事件:“發生該違規行為是因為FEMA不能確保私人承包商僅收到其履行公務所需的信息“反映出內部安全管理的完善不容忽視,部分機構或企業甚至大型互聯網企業內部,安全管理制度松懈或得不到有效執行,造成數據主動泄露。數據持有者應將保護用戶數據安全放在更重要的位置上。其次,政府行業一直都是數據泄露的重災區,政府擁有身份證號等多種隱私數據,更有可能擁有私密項目的數據,這些數據一旦泄露后果不堪設想。對更多缺乏保護的政府部門來說,他們需要對自己的數據進行跟蹤,記錄,對未知的安全威脅進行探查,確保丟失的數據也不能被人利用,為此可以和安全公司合作,運用漏掃、審計、加密等一系列技術。最后,在事件發生后應及時通知受影響用戶小心防范。
【四月】
1、研究人員發現中國企業簡歷信息泄露:涉5.9億份簡歷
報道時間:2019.4
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-04-08/doc-ihvhiqax0769134.shtml
北京時間4月8日上午消息,據美國科技媒體ZDNet報道,有研究人員發現中國企業今年前3個月出現數起簡歷信息泄露事故,涉及5.9億份簡歷。大多數簡歷之所以泄露,主要是因為MongoDB和ElasticSearch服務器安全措施不到位,不需要密碼就能在網上看到信息,或者是因為防火墻出現錯誤導致。
在過去幾個月,尤其是過去幾周,ZDNet收到一些服務器泄露信息的相關消息,這些服務器屬于中國HR企業。發現信息泄露的安全研究者叫山亞·簡恩(Sanyam Jain)。單是在過去一個月,簡恩就發現并匯報了7宗泄露事件,其中已經有4起泄露事故得到修復。
安華金和專家分析:具備足夠的技術能力必不可少,例如正確配置服務器、采取必要的數據加密措施等,避免給黑客留下可乘之機:
1、啟動基于角色的登錄認證功能,為admin用戶添加密碼,并在數據庫中添加新用戶(需設置密碼)啟用有效認證功能,修改默認密碼;
2、修改默認的MongoDB數據庫端口號(默認端口號為:TCP 27017)為其他端口;
3、使用防火墻對訪問源IP進行控制,如果僅對內網服務器提供服務,建議禁止將數據庫服務發布到互聯網上;
4、使用bind_ip選項對登入ip做限制;
5、開啟日志審計功能。
2、兩家第三方公司收集5.4億條Facebook相關記錄
報道時間:2019.4
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/over-540-million-facebook-records-found-on-exposed-aws-servers/
數據泄露獵人發現了兩臺亞馬遜云服務器,存儲著由兩家第三方公司收集的超過5.4億條與Facebook有關的記錄,受影響的用戶數量在數百萬至數千萬之間。
第一臺服務器包含大部分數據,屬于一家名為Cultura Colectiva的在線媒體平臺。該AWS服務器容量為146GB,存儲了5.4億條記錄,詳細記錄了用戶的帳戶名、Facebook ID、評論、喜歡以及用于分析社交媒體供稿和用戶交互的其他數據。
第二臺AWS服務器存儲了“ At the Pool” Facebook游戲記錄的數據。其中包括諸如Facebook用戶ID、Facebook朋友、喜歡、照片、組、簽到以及用戶首選項(如電影,音樂,書籍,興趣等)之類的詳細信息,還有22,000個密碼。
安華金和專家分析:兩家第三方公司存儲著大量的個人隱私信息,這些個人信息泄露會被“有心之人”利用去嘗試其他網站的用戶賬戶,這就是所謂的“撞庫”。我們習慣于在不同的網站使用相同的賬號密碼,如果其中一個網站的數據庫泄露,那就意味著與之用戶名密碼相同的網站會發生連鎖反應,應盡快更改與之相同的、其他網站的賬號密碼,尤其是金融或購物類網站,以免造成更大損失。
3、豐田汽車服務器再遭黑客入侵 310萬名用戶信息存憂
報道時間:2019.4
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-04-01/doc-ihsxncvh7398707.shtml
北京時間4月1日晚間消息,據美國科技媒體ZDNet報道,豐田汽車今日公布了第二起數據泄露事件,這也是該公司在過去五周內承認的第二起網絡安全事件。豐田汽車表示,黑客入侵了其IT系統,并訪問了幾家銷售子公司的數據。該公司表示,黑客訪問的服務器存儲了多達310萬名客戶的銷售信息。
安華金和專家分析:IT系統被黑客入侵這是安全防范不足的表現,豐田公司不止一次發生這種安全事件說明該公司整個IT系統存在漏洞和缺陷,給了黑客可乘之機。公司應當定期對系統安全進行評估,發現問題及時修正。可以與安全公司合作,應用數據庫漏掃和防火墻類產品,幫助用戶及時發現安全漏洞并升級、打補丁,防止黑客入侵服務器。
【五月】
1、澳大利亞科技獨角獸Canva疑遭受大規模數據泄露
報道時間:2019.5
信息來源:NOSEC
原文鏈接:https://nosec.org/home/detail/2679.html
Canva,一家總部位于悉尼的著名平面設計公司,疑似出現大規模用戶數據泄露。根據某個黑客的說法,他從Canva非法竊取了大約1.39億用戶的數據,被盜的數據包括客戶用戶名、真實姓名、電子郵件地址以及所在的城市和國家/地區信息等詳細信息。這名網絡稱呼為GnosticPlayers的黑客,是一個臭名昭著的數據竊取者——自今年2月以來,這名黑客已在暗網上出售了9.32億用戶的數據,全球44家公司都被他偷走過數據。
“我下載了截止到5月17日的所有數據”,該黑客表示:“隨后,他們發現了我的存在,并關閉了數據庫服務器”。包括這次黑客行動,GnosticPlayers現在已經竊取了超過10億用戶的登錄憑證,這同時也是這位黑客在之前的采訪中告訴ZDNet的“目標”。現在,他的手中有來自45家公司的數量達十多億的登錄憑證。
安華金和專家分析:要依靠有實力的信息安全公司,應用數據庫加密和數據庫防火墻雙層技術,實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計;對數據庫中的敏感數據做加密存儲、訪問控制增強、應用訪問安全、安全審計以及三權分立等,在防御外部黑客攻擊方面進行持續投入,避免由于批量信息泄露對公司及其客戶造成重大損失。
2、優衣庫日本網站逾46萬名顧客信息遭泄露
報道時間:2019.5
信息來源:新京報網
原文鏈接:http://www.bjnews.com.cn/feature/2019/05/14/578836.html
2019年5月13日,優衣庫母公司日本迅銷(Fast Retailing)發布公告稱,4月23日至5月10日期間,其日本在線購物網站遭到黑客攻擊,黑客在“未經授權”的情況下進行了46.11萬次登錄,這意味著超過46萬名顧客的信息可能遭到了泄露。
日本迅銷表示,這些賬戶包含的信息包括客戶姓名、地址、電話號碼、電子郵件、生日、收件地址以及部分信用卡信息,并承認雖然信用卡密碼“不存在泄露的可能性”,但黑客可能已經“瀏覽過部分信用卡的信息”。目前,該公司已向受影響的賬戶單獨發送了電子郵件,要求他們重置賬號密碼。
安華金和專家分析:及時發郵件盡力降低損失的做法值得學習,但更應該在信息安全方面增加投入,與實力強的信息安全公司合作,應用數據庫安全技術,如防火墻、TDE等,防止類似的事情再發生。
【六月】
1、美國醫療收集機構(AMCA)因數據泄露申請破產保護
報道時間:2019.6
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/medical-debt-collector-amca-files-for-bankruptcy-protection-after-data-breach/
美國醫療收集機構(AMCA)在經歷災難性的數據泄露事件后,于近日申請破產保護。
AMCA去年被黑客入侵(2018年8月1日到2019年3月30日),導致約2000萬美國公民的醫療數據泄露。黑客洗劫了AMCA的內部系統以竊取用戶數據,隨后在暗網進行出售。被盜數據包括用戶姓名、社會安全號碼、地址、出生日期和支付卡信息等,并導致包括Quest Diagnostics、LabCorp、BioReference Laboratories、Carecentrix和Sunrise Laboratories等企業客戶的信息被盜。
安華金和專家分析:對于企業,在支付卡這種信息上應著重保護,進行多層加密等;對于個人,“撞庫”是數據盜竊常見的途徑,所以在不同的網站應盡量設置不同的密碼,尤其是金融類、購物類涉及錢財的網站,盡量避免某一網站信息被竊,其余網站也受損失的情況發生。
2、Quest Diagnostics 1190萬患者信息泄露
報道時間:2019.6
信息來源:安全內參
原文鏈接:https://www.secrss.com/articles/11156
6月3日,美國Quest Diagnostics公司證實了一起數據泄露事件,導致1190萬名患者信息受到曝光,包括財務資料、社會保險號碼和醫療信息等。Quest Diagnostics是一家實驗室測試提供商,提供診斷測試、信息和服務,患者和醫生可以利用這些信息做出更好的醫療決策。
此次泄露主要是由于Quest將賬單服務外包給Optum360公司,Optum360公司又將此服務委托至美國醫療托收機構(AMCA)來處理,而AMCA的系統遭到了未經授權的訪問,由于該系統包含AMCA患者個人信息,導致本次數據泄露事件發生。
安華金和專家分析: 數據泄露往往是由于公司內部原因造成,隨著企業業務復雜度不斷增加,研發部門架構也越來越復雜,中間可能會夾雜不同的供應商和外包公司,對于這些不同成員的權限控制至關重要。此外,涉及人員調換、離場時,需要做好用戶賬號和權限的清理。企業內部還要加強安全管理工具的配置,企業成員的所有操作都應有詳細的日志記錄,防止此類事件再次上演。
【七月】
1、Capital One銀行數據泄露事件分析
報道時間:2019.7
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/column/210411.html
7月,一起和云有關的大型數據泄露事件成了頭條新聞。美國的Capital One銀行由于“服務器配置錯誤”,被某個黑客竊取了上億張信用卡數據以及十多萬社保號碼。
讓黑客有可乘之機的是一個常見的云安全問題:云上基礎設施資源的錯誤配置使得未經權限驗證的用戶非法提升自己的權限,從而接觸到敏感文檔。在過去的2-3年里,這種問題所導致的安全事件也頻頻見報,例如,近2億份選民記錄泄露,五角大樓Tb級機密文件泄露,5億份Facebook個人資料泄露。
云中的安全管理一直都非常具有挑戰性。正如我們在過去幾年中所看到的那樣,一條策略的缺陷,就有可能導致上億條數據的泄露。
安華金和專家分析:一些可能形成安全風險的配置項配置錯誤會導致非法提權發生。云服務日益發展的今天,云安全問題已經不容忽視。另外,企業足夠的技術能力必不可少,例如正確配置服務器、采取必要的數據加密措施等,避免給黑客留下可乘之機。
2、約會應用3fun被爆安全漏洞,全球150萬用戶隱私信息或遭泄露
報道時間:2019.7
信息來源:IT之家
原文鏈接:https://www.ithome.com/0/438/478.htm
7月1日,Pen Test Partner安全研究人員發現,集體約會應用程序3fun存在一個巨大漏洞——任何人都可以找到該應用程序150萬用戶的個人信息、聊天數據、私人照片和實時位置數據。
究其原因,是3fun將用戶的位置數據存儲在了應用程序中,而不是安全地保存在服務器上。這意味著對研究人員來說,在客戶端公開數據是一項微不足道的任務,即使用戶對他們的位置數據設置了權限。這次泄露意味著Pen Test Partners可以發現全球3fun用戶的位置。此外,無論用戶的出生日期、性取向,甚至照片是否設置為隱私,它都可以查看到。
安華金和專家分析:內部安全管理不完善以及能力不足不容忽視。同時,具備足夠的技術能力必不可少,例如正確配置服務器、采取必要的數據加密措施等。數據持有者應將保護用戶數據安全放在更重要的位置上。
3、英航、萬豪因數據泄露領巨額罰單
報道時間:2019.7
信息來源:鈦媒體
原文鏈接:https://www.tmtpost.com/nictation/4057426.html
7月9日和10日,英國信息專員辦公室(ICO)接連開出兩張巨額罰單,累計罰金超3.5億美金!處罰對象分別是國際航空集團旗下英國航空公司以及國際知名連鎖酒店萬豪國際集團。
2018年9月,英國航空公司向信息監管局通報了一起始于當年6月的數據泄露事件,該事件導致約50萬名英航乘客的個人基本信息和付款記錄等數據被黑客竊取。其中,至少有7.7萬張支付卡持有者的姓名、賬單地址、電子郵箱地址、信用卡支付信息(包括卡號、有效期和信用卡驗證碼)可能遭到泄露,成千上萬的乘客被迫緊急取消掉了他們的信用卡。對此英航方面宣稱:是黑客對其官方網站進行了“復雜、惡意的犯罪攻擊”。針對此次事件,英國信息專員辦公室向英國航空公司開出了高達2.3億美元的罰單。
2018年11月,萬豪國際集團公開披露一起數據泄露事件,該事件導致3.83億酒店客戶信息被黑客竊取。萬豪國際集團在2016年9月收購了喜達屋連鎖酒店,可經調查顯示,自2014年7月以來,黑客就一直駐留在喜達屋的IT網絡當中,并從其客戶預訂數據庫內竊取到了詳盡的客戶信息。針對此次事件,英國信息專員辦公室向萬豪國際集團開出了1.23億美元的罰單。
安華金和專家分析:
從英航事件來看,其實現在有許多途徑可以將惡意代碼注入到合法頁面。比如當開發人員錯誤輸入JavaScript庫的域名,“有心之人”只需注冊域名并在其中放置惡意軟件,等到該公司購買自己的域來托管第三方代碼又忘記更新域名時,網絡攻擊者便有機可乘。
從萬豪酒店事件來看,歸根結底可能是2014年喜達屋未完全清理IT系統木馬后門導致。安全不是簡單的邊界和外網安全,內網安全尤其是數據庫安全同樣重要。如果使用適當的安全工具對數據庫定期掃描,應該早就能發現黑客在預訂數據庫中殘留的木馬、后門,也就不會發生現在的數據泄露事件。
最后,任何在上述酒店居住過的顧客都應該對銀行賬單保持密切關注,特別是有可疑的費用產生時應特別注意,受到影響的顧客要注意對身份信息保護和信用卡監控。
【八月】
1、全球 7.37 億醫療數據泄露,涉及 2000 多萬人,波及 52 國
報道時間:2019.8
信息來源:InfoQ
原文鏈接:https://www.infoq.cn/article/8VZ8aVetNvRQ2VCmHl4u
據外媒 Securityaffairs 報道,德國漏洞分析和管理公司 Greenbone Networks 的專家發現,600 個未受保護的服務器暴露于互聯網,這些服務器包含大量醫療放射圖像。其中,有超過 7.37 億個放射圖像,涉及 2000 多萬人,影響到 52 個國家的患者。
安華金和專家分析:醫療保健領域的醫療系統和流程正變得越來越數字化。像所有其他行業一樣,醫療服務提供者和醫院也正在使用互聯網技術來完善和提高對患者的護理質量。PACS服務器是醫療領域廣泛使用的圖像存儲系統,服務器中會包含與個人病歷有關的高度機密數據,因此應嚴格限制訪問,僅對某些專門人員開放訪問。如果這些服務器沒有進行任何保護措施,那么連普通互聯網用戶都有可能獲得操作系統賬號。醫療服務機構應當盡快排查自己的服務器,不要再出現服務器暴露于互聯網的情況。
2、數據泄露后 Web托管服務商Hostinger重置1400萬用戶密碼
報道時間:2019.8
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/882515.htm
全球知名網站托管商Hostinger一臺數據服務器遭到“未經授權的第三方”訪問,影響1400萬Hostinger用戶。此次泄露的數據庫包括用戶的注冊郵箱、散列密碼、用戶名、真實姓名、家庭住址以及手機號碼等。在訪問的事件之后,Web 主機托管服務商 Hostinger 決定采取“預防措施”—— 重置了所有客戶的密碼。
安華金和專家分析: Hostinger公司能夠及時發現漏洞并要求客戶重置密碼的行為是很好的,但是客戶的安全風險依然存在。攻擊者已經從數據庫中獲取到用戶足夠的信息,可以發起比較令人信服的網絡釣魚攻擊,甚至可以偽造與Hostinger公司的安全警報類似的網絡釣魚攻擊。用戶盡量通過公司域來訪問而不要通過郵件鏈接訪問網站。公司也應當及時升級服務器的安全性。
【九月】
1、馬印航空乘客信息泄露或影響數百萬人
報道時間:2019.9
信息來源:環球網
原文鏈接:https://3w.huanqiu.com/a/c36dc8/9CaKrnKmYKh
據路透社23日報道,馬印航空在一份聲明中表示,兩名曾在該公司印度發展中心就職,供職于為馬印航空提供電商服務的GoQuo公司前職員“不恰當地獲取并盜竊了乘客的個人數據”。
當地時間18日,馬印航空證實大量乘客信息泄露,受影響乘客人數或達數百萬。位于莫斯科的網絡安全公司卡巴斯基實驗室在一則報告中披露,馬印航空及泰國獅航約3千萬乘客的資料被上傳并存儲在開放的亞馬遜云端運算服務(AWS)。卡巴斯基還指出,部分數據在暗網中售賣。不過,馬印航空表示,數據的泄露與亞馬遜云端運算服務的安全架構無關,泄露的信息包括護照信息、住址和電話號碼等,但付款信息并未遭到牽連。
安華金和專家分析:航空公司儲存有大量的個人隱私信息,如護照信息,身份證號等,被“有心之人”拿到,容易被拿去“撞庫”。數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為,通過對網絡數據的分析,實時地、智能地解析對數據庫服務器的各種操作,并記入審計數據庫中以便日后進行查詢、分析、過濾,實現對目標數據庫系統用戶操作的監控和審計。同時,內部人員盜竊也是數據泄露的重要原因之一,在信息安全上應實施“責任到人”,加大對審計產品的重視。
2、警方鏟除百億“套路貸”!兩大“套路”模式指向大數據泄露
報道時間:2019.9
信息來源:21世紀財經報道
原文鏈接:
https://m.21jingji.com/article/20190918/020c73d0f4f309aece40b93191862a53.html
9月17日,廣東省公安廳發布消息,粵港澳三地警方10-11日開展的一次清查行動期間,廣州、深圳、佛山、惠州、東莞等地警方打掉“套路貸”犯罪團伙16個,抓獲犯罪嫌疑人140余人,破獲刑事案件20余起,查封扣押凍結涉案資產逾9300萬元。
根據公安部9月3日發布的數據,全國公安機關共偵辦“套路貸”團伙案件1890起,抓獲犯罪嫌疑人18651人,破獲各類刑事案件18790起,查扣涉案資產161.76億元。
貸款中介的“助貸”模式,本意是為了提升資金方的獲客能力和獲客效率,但一些中介卻利用大數據泄露的機會違法操作。由于借款人的身份、手機通訊錄、通話記錄等被套路貸平臺獲取,“爆通訊錄”、電話滋擾等暴力催收流行于各個平臺。
警方指出,涉案金融公司非法高利放貸,非法獲取個人信息。通過非法手段獲取大量公民個人信息,骨干成員曾因非法獲取公民信息罪獲刑,并通過撥打電話、網站廣告等方式招攬客戶。
安華金和專家分析:數據持有者應將保護用戶數據安全放在更重要的位置上。應從法律角度賦予數據持有者更大的保護義務,促使其采取更加完善有效的安全技術手段和管理措施。應加大數據泄露事件執法力度。執法部門有必要加強網絡技偵和取證技術手段,對數據泄露的作案者和責任人依法采取懲處措施。
3、美國外賣服務DoorDash數據泄露,影響490萬人
報道時間:2019.9
信息來源:鈦媒體
原文鏈接:https://www.tmtpost.com/nictation/4161303.html
9月27日消息,美國外賣服務DoorDash周四宣布,一項安全漏洞暴露了該公司大約490萬客戶、商家和送貨員的個人數據。
這家總部位于舊金山的公司在一份聲明中說,此次泄露的信息可能包括大約10萬名送貨工人的駕駛執照號碼,其他數據可能包括“姓名、電子郵件地址、交貨地址、訂單歷史記錄、電話號碼”等。
該公司還在聲明說,一些消費者支付卡的最后四位數字也可能被暴露出來,但其中沒有包含足夠的數據來進行欺詐性收費。送貨員和商家的銀行帳號最后四位數可能已被他人訪問。
安華金和專家分析:漏洞是導致數據泄露最重要的原因之一,應及時掃描數據庫,通過自動掃描和手動輸入發現數據庫;經授權掃描、非授權掃描、弱口令、滲透攻擊等檢測方式發現數據庫安全隱患,形成修復建議報告,以盡早發現漏洞避免數據被竊。
4、Facebook證實4.19億用戶的電話信息被泄露
報道時間:2019.9
信息來源:鳳凰網科技
原文鏈接:https://tech.ifeng.com/c/7pihaqVA72X
據《衛報》報道,當地時間9月4日Facebook證實,超過4.19億的Facebook用戶ID和電話號碼被存儲在一個在線服務器上,而該數據庫卻沒有密碼,導致任何人都可以訪問。其中包含1.33億美國Facebook用戶、1800萬英國用戶以及超過5000萬越南用戶的信息,而且一些數據還包含用戶的姓名、性別和國家/地區的位置等。Facebook發言人表示,目前數據庫已被刪除,沒有證據表明Facebook賬戶遭到入侵。
安華金和專家分析:數據庫暴露在互聯網是數據泄露的很大一部分原因,而且影響范圍極廣,尤其是 Facebook這種用戶量極大的公司,一旦重要數據泄露后果將不堪設想。作為公司要加強數據庫安全管理,及時發現這種未受保護數據庫,可以和安全公司合作配置安全管理工具,定期對數據庫安全狀況評測,清除潛在的安全隱患。
【十月】
1、Adobe漏洞泄露了750萬Creative Cloud用戶數據
報道時間:2019.10
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/news/218107.html
美國計算機軟件公司Adobe在10月初發現了嚴重的安全漏洞,該漏洞泄露了Creative Cloud服務用戶信息記錄的數據庫。盡管所包含的詳細信息不是很敏感,但可以針對數據泄露的用戶精心設計一場網絡釣魚活動。
Adobe Creative Cloud或Adobe CC是一項訂閱服務,大約有1500萬的訂閱戶,主要提供的服務是可以訪問公司開發的全套流行創意軟件,包括Photoshop,Illustrator,Premiere Pro,InDesign,Lightroom等,這些軟件可在臺式機和移動設備使用。
本月初,安全研究員Bob Diachenko與網絡安全公司Comparitech合作,發現了一個Adobe Creative Cloud訂閱服務的Elasticsearch數據庫,無需任何密碼或身份驗證都可以訪問該數據庫,極具威脅性。
此次無意公開的數據庫包含近750萬Adobe Creative Cloud用戶的個人帳戶信息,數據庫緩存大小接近86GB,目前公司已將這些數據保護起來。
安華金和專家分析:漏洞和網絡釣魚是導致數據泄露的重要原因,即便已將數據保護起來,也要“未雨綢繆”。應啟動基于角色的登錄認證功能,為admin用戶添加密碼,以及在數據庫中添加新用戶(需設置密碼)啟用有效認證功能,并修改默認密碼等。可以運用數據庫漏掃技術,通過自動掃描和手動輸入發現數據庫,經授權掃描、非授權掃描、弱口令、滲透攻擊等檢測方式發現數據庫安全隱患,形成修復建議報告。數據庫漏掃是數據庫安全評估技術之一,能夠找出數據庫自身的安全漏洞和使用中的安全隱患。
2、俄羅斯聯邦儲蓄銀行6000萬張信用卡信息泄露
報道時間:2019.10
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/russias-sberbank-investigates-credit-card-data-leak/
10月初有媒體報道,俄羅斯聯邦儲蓄銀行正在針對“信用卡數據的潛在泄露問題”開展內部調查,并表示可能有至少200個客戶的帳戶受到影響,而雇員的“犯罪行為”被認為是造成該事件的主要誘因。
但是,《生意人報》認為:與多達6000萬張信用卡持有人相關的信息正在黑市上出售,所謂“200個帳戶”僅是供潛在買家試用的“樣本”。如果上述對泄露范圍的判斷準確的話,那將是對國有銀行的一次重大攻擊。目前,俄羅斯聯邦儲蓄銀行有大約1800萬活躍信用卡用戶。
安華金和專家分析:因內部人員盜竊數據而導致損失的風險也不容小覷。由于數據黑產的發展,內外勾結盜竊用戶數據謀取暴利的行為正在迅速蔓延。未采取有效的數據訪問權限管理,身份認證管理、數據利用控制等措施是大多數企業數據內部人員數據盜竊成功的主要原因。
對員工批量下載數據的異常行為發出警告和風險預防,針對內部人員數據訪問需要設置嚴格的數據管控,并對數據進行脫敏處理,才能有效確保企業數據的安全。
3、俄羅斯互聯網服務提供商 Beeline 870萬客戶數據泄露
報道時間:2019.10
信息來源:ZDNet
原文鏈接:
https://www.zdnet.com/article/data-breach-at-russian-isp-impacts-8-7-million-customers/
據俄羅斯媒體北京時間10月7日報道稱,俄羅斯互聯網服務提供商Beeline的870萬客戶數據正在網上出售和共享。數據包含個人詳細信息,例如姓名、地址、手機號碼和家庭電話號碼。據悉,這一漏洞發生于2017年,盡管從未公開有黑客入侵行為,但已找到了當時的責任人。事后該公司表示,此番泄露的數據絕大部分來自已不再是Beeline客戶的用戶。
安華金和專家分析:企業數據安全管理面臨更高的要求,必須建立嚴格的安全能力體系,不僅需要確保對用戶數據進行加密處理,更要據的訪問權限進行精準控制,即使不再是客戶也要儲存保護好其數據。
【十一月】
1、FB再曝隱私漏洞:100位軟件開發者違規訪問用戶數據
報道時間:2019.11
信息來源:新浪科技
原文鏈接:https://tech.sina.com.cn/i/2019-11-06/doc-iicezzrr7511182.shtml
北京時間11月6日早間消息,Facebook周二發布消息稱,100位軟件開發者可能已經通過不當手段訪問用戶數據,數據包括用戶姓名、個人相片,受影響的用戶來自Facebook網站的特殊團體。
2018年4月Facebook已經做出調整,預防類似事件發生,但最近公司發現仍然有一些App可以獲取此類用戶的數據。Facebook已經關閉訪問權限,并與100位開發者合作伙伴接觸。Facebook聲稱在過去60天里至少有11位開發者合作伙伴訪問此類數據。
安華金和專家分析:數據庫安全審計系統主要用于監視并記錄對數據庫服務器的各類操作行為,通過對網絡數據的分析,實時地、智能地解析對數據庫服務器的各種操作,并記入審計數據庫中以便日后進行查詢、分析、過濾,實現對目標數據庫系統的用戶操作的監控和審計。可以和網絡安全公司合作。對員工異常的訪問行為發出警告和風險預防,針對內部人員數據訪問需要設置嚴格的數據管控和權限設置,并對數據進行脫敏處理,才能有效確保企業數據的安全。
2、FB再曝隱私漏洞:100位軟件開發者違規訪問用戶數據
報道時間:2019.11
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/news/221626.html
11月初,一名黑客入侵了英國在線音樂流媒體服務Mixcloud,竊取了超過2100萬個用戶賬戶。代號為“A_W_S”黑客與部分外媒聯系透露了該數據泄露的消息,并提供了部分數據樣本,包含用戶名、電子郵件、Hash密碼、用戶國籍信息、注冊日期、最后登陸日期以及IP地址等。
在11月30日,Mixcloud官方發布安全公告回應了這次數據泄露的消息,表示正在積極調查這件事情。此外,Mixcloud補充說明:“大多數Mixcloud用戶通過Facebook身份驗證進行了注冊,在這種情況下,我們不存儲密碼。”
安華金和專家分析:Mixcloud公司積極調查不拖延,以及不儲存密碼的行為還是值得國內公司學習。被盜竊的信息很有可能被用去“撞庫”,建議Mixcloud用戶及時更改賬戶信息。建議使用數據庫防火墻系統對外部黑客攻擊進行防御,同時使用數據庫保險箱對敏感信息按列加密存儲,這樣即使黑客盜竊了數據,也不能使用。
3、美國短信服務商TrueDialog泄露近十億條敏感信息
報道時間:2019.11
信息來源:FreeBuf
原文鏈接:https://www.freebuf.com/column/221700.html
在Noam Rotem和Ran Locar的領導下,vpnMentor的研究小組發現了一個屬于美國通訊公司TrueDialog的不安全的數據庫。TrueDialog為美國各大企業提供短信解決方案,而該數據庫與他們業務的各個方面都有聯系,里面包含了大量敏感數據,包括數千萬條短信。而除了短信外,安全團隊還發現了數以百萬的帳戶用戶名和密碼、TrueDialog用戶及其客戶的PII數據等等。
這個TrueDialog數據庫由Microsoft Azure托管的,在美國的Oracle Marketing Cloud上運行。上一次查看數據庫時,它包含604GB的數據,近10億條包含敏感數據的記錄。這些數據和TrueDialog業務模型的許多方面都相關聯。該公司本身,它的客戶群,以及客戶的客戶的數據都泄露了,這可能會引發潛在的釣魚攻擊。
安華金和專家分析:存放用戶敏感數據的數據庫在網上長期開放,數據完全不加密,這是公司安全管理上極大問題。帳戶密碼不僅不受保護,而且很多都是明文。這意味著攻擊者可以登錄大量公司帳戶,更改密碼,造成難以想象的損失。未加密消息可以讓企業間諜輕易就獲得競爭對手的機密信息。這些信息可能包括營銷活動、新產品的推出日期、新產品設計或規格等等。企業發現問題后應當加強安全意識,杜絕類似安全問題發生。
【十二】
1、Elasticsearch服務器泄露12億個人數據,明晃晃地掛在暗網上
報道時間:2019.12
信息來源:雷鋒網
原文鏈接:https://www.leiphone.com/news/201912/m4nT35S6zEJ7Mptv.html
SecurityDiscovery 網站的網絡威脅情報總監鮑勃·迪亞琴科( Bob Diachenko )稱發現了一個巨大的 ElasticSearch 數據庫,包含超過27億個電郵地址,其中有10個的密碼都是簡單的明文。大多數被盜的郵件域名都來自中國的郵件提供商,比如騰訊、新浪、搜狐和網易。當然,雅虎 gmail 和一些俄羅斯郵件域名也受了影響。這些被盜的電郵及密碼也與 2017年那次大型的被盜事件有關,當時有黑客直接將它們放在暗網上售賣。
該 ElasticSearch 服務器屬于美國的一個托管服務中心,后者在 Diachenko 發布數據庫存儲安全報告后于12月9日被關閉。但即使如此,它已經開放了至少一周,并且允許任何人在無密碼的情況下進行訪問。
Diachenko 稱,單就數字而言,這可能是我所看到的記錄數據最龐大的一次(他自 2018 年以來發掘了多次數據泄露事件,其中包括2.75億個印度公民信息的數據庫)。
更讓人無語的是,此后不到兩周時間,Elasticsearch 服務器新一輪的數據泄露事件便再度發生,這次研究人員在不安全的云存儲桶中總共發現了27億個電子郵件地址,10億個電子郵件賬戶密碼以及一個裝載了近80萬份出生證明副本的應用程序。
研究人員稱,過去一年里,一些企業在無意識間令其Amazon Web服務S3和基于云計算的ElasticSearch存儲桶暴露出來。它們沒有任何適當的安全措施,也沒有被試圖鎖定的跡象。
安華金和專家分析:數據安全已經到了非管不可的程度,大規模數據泄露如果得不到有效制止,不止損害公民利益,而且會動搖社會根基,第三方服務機構由于掌握大量的信息,因此也成為數據竊取的主要目標。如果沒有建立足夠的數據安全意識并持續優化改進,這樣的事情還會再發生或正發生。應該在網絡安全上多加投入,應用一系列的數據庫安全技術,主要包括:數據庫漏掃、數據庫加密、數據庫防火墻、數據脫敏、數據庫安全審計系統。
2、加拿大醫療實驗室LifeLabs被黑客攻擊 現決定支付贖金換回用戶數據
報道時間:2019.12
信息來源:cnBeta
原文鏈接:https://www.cnbeta.com/articles/tech/922931.htm
LifeLabs是一家位于加拿大、業內領先的醫療診斷和測試服務提供商。該公司宣布向黑客支付贖金,以贖回上月安全泄露事件中被竊取的數據和資料。目前尚不清楚該公司為恢復這些數據支付了多少費用。外媒ZDNet通過電話聯系LifeLabs發言人時,表示不會立即對此事發表評論。LifeLabs此前表示本次泄露事件覆蓋加拿大將近半數人口,超過1500萬人的資料可能已經泄露。
安華金和專家分析:數據安全事件造成了大量用戶數據丟失,即使支付贖金拿回數據,用戶的隱私已經遭到泄露。如果不能從此次事件中吸取教訓,及時改進數據庫系統安全狀況的話,后續很可能還會造成更大的損失。公司應當加大網絡安全上投入,配置數據庫加密、數據庫漏掃等安全產品加固數據庫,防止黑客再次侵入數據庫。
【現狀趨勢與總結建議】
1、2019年度全球數據安全概況
對于安全領域,2019 年是不平靜的一年。主流媒體將 Facebook 漏洞和勒索軟件攻擊作為頭條新聞報道,而安全專家在幕后努力抵御不斷涌現的漏洞、爬蟲程序和其他威脅。
盡管不斷開展用戶培訓和實施端點防御,網絡釣魚仍然有效。據相關報告顯示,所有數據泄露事件中的32%以及網絡間諜事件中的78%都涉及某種形式的網絡釣魚。如今,犯罪分子使用在暗網上出售的網絡釣魚工具來輕易地冒充知名品牌進行數據盜竊。移動設備和社交媒體則助長了攻擊更快速地傳播。有時,網絡釣魚站點甚至通過隱藏在合法的網站和服務器上來逃避檢測。
從2018年1月到2019年6月,針對科技和媒體公司的平均每日Web攻擊量幾乎翻了一番。在同一時期,35%的撞庫攻擊針對的是這些垂直行業。視頻媒體行業比任何其他垂直行業都吸引了更多的撞庫攻擊。此外,流媒體公司面臨的獨特安全挑戰,包括安全人才短缺。
如今,對金融服務機構的攻擊似乎在數量和復雜程度上都呈現攀升趨勢。這種針對金融服務行業日益膨脹的高級網絡攻擊犯罪行為包括:從最容易遭受撞庫攻擊的身份驗證機制,到使用被盜身份獲取不義之財。有利可圖的網絡釣魚變體以及犯罪分子常常通過發起“佯攻”來掩護其真實目標。事實證明,犯罪分子在金融服務領域如果攻擊得手,隨后相關手段往往會轉移到其他行業繼續作案。
犯罪分子總是會追求金錢。如今,在虛擬游戲世界中,真正的金錢也會遭到偷竊。針對游戲行業發起的撞庫攻擊有日益普及上升的趨勢。大多數成功的賬戶接管具有以下特征:一個密碼在多個網站重復使用;與朋友共享密碼;密碼容易被猜到。在17 個月的時間里,相關人員統計了120億次攻擊,發現SQL注入和LFI兩種攻擊方式占所有Web應用程序攻擊的近90%。
一項 API 流量研究表明,API 現在占所有點擊量的83%,而HTML流量在總流量中的占比則下降到了17%。DNS流量研究顯示,IPv6流量可能被低估;許多支持IPv6的系統仍然傾向于IPv4。而對憑證濫用和濫用零售商庫存的僵尸網絡的研究表明,這是一個日益嚴重的問題,需要得到關注。
根據漏洞情報公司Risk Based Security的報告信息顯示,與去年相比,今年上半年數據泄露的數量急劇增加。2019年前六個月的安全事件與去年同期相比增長了54%,而數據泄露的數量增長了52%。2019年上半年數據泄露量約為41.9億條,2018年同期約為27.4億條。
根據報告,今年上半年發生的8起數據泄露事件占32億條數據,占總數的78.6%。其中6起由于錯誤配置引發,分別為:Verifications.io(9.82億條記錄)、First American Financial(8.85億條記錄)、Cultura Colectiva(5.4億條),印度(2.75億條)、中國(2.02億條)和Justdial(1億)。2起由于黑客攻擊引起分別為:Dubsmash(1.61億條)和Canva(1.39億條)。
被泄露數據類型主要為郵件和密碼,分別占被泄露數據集的70%和65%。11%的數據泄露中涉及地址、信用卡和社會安全號碼,10%的數據泄露中涉及賬號。
2、國內數據安全現狀及未來趨勢
“十三五”時期,我國將大力實施網絡強國戰略,要求網絡與信息安全有足夠的保障手段和能力,通過切實推進自主可控和國產化替代,政策化培養和市場化發展雙向結合,信息安全市場國產化腳步逐步加快。
云安全
據顯示,2018年中國云安全市場規模達37.76億元,增長45%。隨著信息安全越來越受到重視,云安全市場將進一步擴大。預計2019年,中國云安全市場規模將達56.1億元,增長近五成。到2021年,預計我國云安全市場規模將超100億元。
數據來源:中商產業研究院整理
工業互聯網安全
由于工業互聯網推動企業信息科技(IT)和操作技術(OT)融合,因此工業互聯網安全是工業生產安全和網絡空間安全相融合的領域,包含了工業數字化、網絡化、智能化運行過程中的各個要素和環節的安全,主要體現為工業控制系統安全、工業網絡安全、工業大數據安全、工業云安全、工業電子商務安全、工業APP安全等。
據數據顯示,2018年中國工業互聯網安全市場規模在95億元左右,同比增長近三成。隨著對工業互聯網安全的重視,未來市場規模將擴大,預計2019年將近125億元。到2021年,中國工業互聯網規模或將達到230億元,漲幅超35%。
數據來源:中商產業研究院整理
3、網絡安全行業創新領域介紹
自主可控技術發展保衛網絡空間
“十三五”時期,信息安全市場的自主可控和國產化替代趨勢非常明確。在技術方面,網絡安全產品為了完成自主可控,必須在以下關鍵組成部分實現國產化替代,包括:芯片、操作系統、數據庫和中間件。
從芯片角度分析,國內的龍芯、申威、飛騰和兆芯,分別使用MIPS、Alpha、ARM和X86架構,不論是自主研發指令集和微結構,或是購買外廠商指令集授權配合自主研發的微結構并開放源碼檢查,都可以滿足現階段安全可控的要求。
從國產操作系統方面分析,中標麒麟、普華等國產操作系統,可以滿足自主可控需求,也已經形成面向桌面操作系統、服務器操作系統、安全操作系統等多類型產品,能支持X86、龍芯、申威、飛騰等CPU平臺。
綜合以上情況分析,對于自主可控技術的關鍵組成部分,業界已經基本具備了國產化替代國外產品的能力,應用條件已經相對成熟。可以預見的是,自主可控產品將在這樣良好的條件下大力發展,真正做到保衛國家網絡空間。
云情報、機器學習等人工智能預測技術成為安全防護的重點
傳統的安全架構中,較多依賴特征匹配的模式。在這種模式中,防護設備需要先將某個攻擊事件寫入特征庫,然后才能防御這個攻擊,而且安全設備的特征庫,數量是非常有限的,所以最大的問題在于滯后性和局限性,防護方永遠落后于攻擊方,對0day等未知威脅無能為力。如今,網絡安全界的潮流是轉后手為先手,讓安全變得更主動、更前置,主要的技術手段包括云威脅情報和機器學習預測技術。
自適應安全架構促使智能安全落地
自適應安全理論體系打破了傳統安全的理念,在安全架構中增加了諸多環節,指明了不同環節之間的融合關系,這促使了安全產品不僅要不斷推出新功能,還要將不同的功能進行互相關聯和順序編排,從而推進了智能化技術在安全產品上落地。在未來,自適應安全將會納入更多環節,安全產品的特性也將會越來越多,智能化發展趨勢已成必然。
云安全催生虛擬化安全新架構
云安全技術的發展,不僅更好地解決了云內安全問題,也讓以NFV(網絡功能虛擬化)的生態得到了良好的發展。目前,以安全能力虛擬化+安全能力調度為技術架構的眾多一體機產品,例如等級保護一體機、網點出口一體機、數據中心安全防護一體機,已經實現了對嵌入式網絡通信平臺的部分替代。
未來,網絡安全技術的劃分會更加精細,安全能力將會越來越多,尤其是在私有云等環境下尤為明顯,虛擬化安全新架構將會有更廣闊的應用前景。
4、數據安全主要政策出臺及制定情況
對于網絡空間安全的重視正在不斷升級。自2017年《網絡安全法》頒布以來,信息安全的立法進程越來越緊湊,今天我們重點關注大數據安全領域國家或者地方紛紛出臺的一系列的政策、法律法規。
(1)《貴陽市大數據安全管理條例》
全國首部大數據安全地方法規,明確措施防范數據泄露。
作為全國首部大數據安全管理的地方法規,《貴陽市大數據安全管理條例》(以下簡稱《條例》)即將于今年10月1日正式施行。該《條例》分別對大數據安全定義、防風險安全保障措施、監測預警與應急處置、投訴舉報等方面做出規定。
本法規的頒布對大數據安全使用提出了要求:安全責任單位應當建立大數據安全審計制度,記錄并保存數據分類、采集、清洗、查詢和銷毀等操作過程,定期進行安全審計分析,詳細記錄數據全生命周期活動,防范數據偽造、泄露或者被竊取、篡改、非法使用等風險,以保障數據安全。
除此之外,在大數據安全立法領域,站在國家層面,覆蓋各個方面、細粒度更高的若干標準制定項目已經蔚為有序,這些政策法規將助力大數據安全建設,從而為建設網絡安全強國貢獻力量。
(2)《信息安全技術 個人信息安全規范》
《信息安全技術 個人信息安全規范》明確定義了個人敏感信息。
其中,全國信息安全標準化技術委員會2017年12月29日正式發布的規范《信息安全技術 個人信息安全規范》(標準號:GBT 35273-2017)已于2018年5月1日正式實施。本標準針對個人信息面臨的安全問題,規范個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為,旨在遏制個人信息非法收集、濫用、泄露等亂象,最大程度地保障個人的合法權益和社會公共利益。對標準中的具體事項,法律法規另有規定的,需遵照其規定執行。
本規范針對個人信息和個人敏感信息加以定義,其中個人敏感信息 personal sensitive information指一旦泄露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。個人敏感信息包括身份證件號碼、個人生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14 歲以下(含)兒童的個人信息等。
(3)《信息安全技術 大數據服務安全能力要求》
《信息安全技術 大數據服務安全能力要求》考察大數據服務安全能力。
《信息安全技術 大數據服務安全能力要求》(標準號:GB/T 35274-2017)于2017年12月29日發布,2018年7月1日實施,本標準規定了大數據服務提供者應具有的組織相關基礎安全能力和數據生命周期相關的數據服務安全能力。
本標準適用于對政府部門和企事業單位建設大數據服務安全能力,也適用于第三方機構對大數據服務提供者的大數據服務安全能力進行審查和評估。
(4)《信息安全技術 大數據安全管理指南》
2017年5月24日,全國信息安全標準化技術委員會秘書處發布了國家標準《信息安全技術 大數據安全管理指南》征求意見稿,公開征求意見。該征求意見稿規定:大數據安全管理原則;大數據安全管理基本概念;制定大數據安全目標、戰略和策略;明確大數據安全管理角色與責任;管理大數據安全風險;管理大數據平臺運行安全。
同時,征求意見稿附錄部分還就電信行業數據分類分級、國家基礎數據、生命科學大數據風險分析以及大數據安全風險給出了示例和說明。
(5)《信息安全技術 個人信息安全影響評估指南》
2018年6月13日,全國信息安全標準化技術委員會發布國家標準《信息安全技術 個人信息安全影響評估指南》征求意見稿征求意見的通知。標準規定了個人信息安全影響評估的基本概念、框架、方法和流程,并提出了在特定場景下進行評估的具體方法。
適用于各類組織自行開展個人信息安全影響評估工作。同時,為國家主管部門、第三方測評機構等開展個人信息安全監管、檢查、評估等工作提供指導和依據。
(6)《信息安全技術 個人信息去標識化指南》
2017年9月,國標《信息安全技術個人信息去標識化指南》征求意見稿在全國信息安全標準化技術委員會官網上發布。
該標準在內容上汲取了當前國內個人信息處理機構、安全測評機構和研究機構的最新成果,并借鑒了國外個人信息去標識化的最新研究理論,提煉了當前業內通行的最佳實踐。通過研究個人信息去標識化的目標、原則、技術、模型、過程和組織措施,提出能科學有效地抵御安全風險、符合信息化發展需要的個人信息去標識化指南,從而在保障個人信息安全的前提下,推動數據的開放共享,充分發揮大數據的價值。
(7)《信息安全技術 數據安全能力成熟度模型》
2017年中旬,全國信息安全標準化技術委員會等部門協同各方著手制定了一套用于組織機構數據安全能力的評估標準——《大數據安全能力成熟度模型》。“大數據安全能力成熟度模型“這項國家標準的研究課題于2016年6月立項,2018年送審稿修訂工作完成啟動。
《信息安全技術 數據安全能力成熟度模型》DSMM旨在幫助各行業、組織機構基于統一標準來評估其數據安全能力,發現數據安全能力短板,查漏補缺,促進大數據參與方的數據安全能力評估與提升,促進大數據在組織間的交換、共享與流轉,發揮大數據的價值,促進我國大數據產業的健康發展。同時,也可以有效地支撐《中華人民共和國網絡安全法》、國務院《促進大數據發展行動綱要》、國家十三五規劃綱要等國家政策和法規的有效落地。
(8)《信息安全技術 大數據交易服務安全要求》
習總書記在2017年12月8日強調,要制定數據資源確權、開放、流通、交易相關制度,完善數據產權保護制度。我國加快了制定數據交易等制度的步伐,尤其是在安全領域。國家標準化管理委員會在2018年1月9日下達制定國家標準計劃《信息安全技術 大數據交易服務安全要求》的任務,計劃號:20173591-T-469。
該標準即將成為我國首個大數據交易安全國家標準,有助于理清數據交易安全界限,促進數據交易行為合法合規。此標準的出臺,勢必會推動我國數據交易機構的安全建設,促進數據交易行為合法合規,使全國數據要素有序流通,充分釋放數據紅利,助力“數字中國”建設。
(9)《信息安全技術 數據出境安全評估指南》
2017年,全國信安標委秘書處發布《信息安全技術 數據出境安全評估指南》、《信息安全技術 網絡產品和服務安全通用要求》等六項國家標準,完成征詢意見反饋。
該指南規定了數據出境安全評估流程、評估要點、評估方法等內容,適用于網絡運營者開展的個人信息和重要數據出境安全自評估,以及國家網信部門、行業主管部門組織開展的個人信息和重要數據出境安全評估。一旦發現存在的安全問題和風險,及時采取措施,防止個人信息未經用戶同意向境外泄露,損害個人信息主體合法利益;防止國家重要數據未經安全評估和相應主管部門批準存儲在境外,給國家安全造成不利影響。據悉,這是“我國的數據出境安全管理辦法之中非常重要的文件”。
(10)全國人大常委會正式通過《密碼法》
2019年10月26日,第十三屆全國人大常委會第十四次會議正式通過《密碼法》,旨在規范密碼應用和管理,促進密碼事業發展,保障網絡與信息安全,維護國家安全和社會公共利益,保護公民、法人和其他組織的合法權益。
《密碼法》共五章四十四條,重點規范了以下內容:第一章總則部分,規定了本法的立法目的、密碼工作的基本原則、領導和管理體制,以及密碼發展促進和保障措施;第二章核心密碼、普通密碼部分,規定了核心密碼、普通密碼使用要求、安全管理制度以及國家加強核心密碼、普通密碼工作的一系列特殊保障制度和措施;第三章商用密碼部分,規定了商用密碼標準化制度、檢測認證制度、市場準入管理制度、使用要求、進出口管理制度、電子政務電子認證服務管理制度以及商用密碼事中事后監管制度;第四章法律責任部分,規定了違反本法相關規定應當承擔的相應法律后果;第五章附則部分,規定了國家密碼管理部門的規章制定權,解放軍和武警部隊密碼立法事宜及本法的施行日期。
(11)網絡安全等級保護制度2.0系列標準正式發布
2019年5月13日,《信息安全技術網絡安全等級保護基本要求》《信息安全技術網絡安全等級保護測評要求》《信息安全技術網絡安全等級保護安全設計技術要求》三項國家標準正式發布,并將于2019年12月1日正式實施。
解讀:
原來的等級保護對象主要包括各類重要信息系統和政府網站,保護方法主要是對系統進行定級備案、等級測評、建設整改、監督檢查等。在此基礎上,等保2.0擴大了保護對象的范圍、豐富了保護方法、增加了技術標準。等保2.0將網絡基礎設施、重要信息系統、大型互聯網站、大數據中心、云計算平臺、物聯網系統、工業控制系統、公眾服務平臺等全部納入等級保護對象,并將風險評估、安全監測、通報預警、案事件調查、數據防護、災難備份、應急處置、自主可控、供應鏈安全、效果評價、綜治考核、安全員培訓等工作措施全部納入等級保護制度。
(12)十部門聯合發布《加強工業互聯網安全工作的指導意見》
2019年8月28日,工信部、教育部、人力資源和社會保障部、生態環境部、國家衛生健康委員會、應急管理部、國務院國有資產監督管理委員會、國家市場監督管理總局、國家能源局、國家國防科技工業局十部門聯合發布《加強工業互聯網安全工作的指導意見》。
(13)國資委發布《中央企業負責人經營業績考核辦法》,網絡安全納入考核指標
2019年3月7日,國務院國有資產監督管理委員會官網上發布新版《中央企業負責人經營業績考核辦法》,自2019年4月1日起施行。《辦法》將網絡安全納入考核指標,相關條款主要體現在第34條和第48條。
(14)公安部發布《公安機關辦理刑事案件電子數據取證規則》
2019年1月2日,公安部發布《公安機關辦理刑事案件電子數據取證規則》,自2019年2月1日起施行。
(15)貴州省出臺《貴州省大數據安全保障條例》
2019年8月1日,貴州省通過《貴州省大數據安全保障條例》,對大數據安全責任、監督管理、支持與保障、法律責任等進行了明確。《條例》于2019年10月1日起施行。
(16)國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》
2019年5月28日,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》(以下簡稱“征求意見稿”),意見反饋截止時間為2019年6月28日。
(17)國家互聯網信息辦公室正式發布《兒童個人信息網絡保護規定》
2019年8月23日,《兒童個人信息網絡保護規定》正式出臺,并將于2019年10月1日起施行。
(18)工信部發布《工業互聯網網絡建設及推廣指南》
2019年1月18日,工信部發布《工業互聯網網絡建設及推廣指南》,明確提出將以構筑支撐工業全要素、全產業鏈、全價值鏈互聯互通的網絡基礎設施為目標,著力打造工業互聯網標桿網絡、創新網絡應用,規范發展秩序,加快培育新技術、新產品、新模式、新業態。到2020年,形成相對完善的工業互聯網網絡頂層設計。
工信部提出,到2020年,初步建成工業互聯網基礎設施和技術產業體系,包括建設滿足試驗和商用需求的工業互聯網企業外網標桿網絡,建設一批工業互聯網企業內網標桿網絡,建成一批關鍵技術和重點行業的工業互聯網網絡實驗環境,建設20個以上網絡技術創新和行業應用測試床,形成先進、系統的工業互聯網網絡技術體系和標準體系等。
工信部特別提出,建立工業互聯網網絡發展監測評估機制,加強網絡資源管理和安全保障,提升安全防護能力。
(19)全國信息安全標準化技術委員會發布27項國家標準
2018年12月28日,全國信息安全標準化技術委員會(“信安標委”)歸口的27項國家標準正式發布,自2019年7月1日起施行。這27項國家標準涉及數字簽名、網絡安全等級保護、公民網絡電子身份標識、物聯網、病毒防治、網絡攻擊、密碼等多項內容。
5、安華金和專家解讀
(1)數據安全事件的變化和危害
隨著各種規模的企業對數據的依賴性越來越強,數據泄露已引起廣泛關注。敏感的業務數據存儲在本地計算機,企業數據庫或者是云服務器上,非法訪問的難度也各有不同。
當公司開始以數字化的方式存儲其受保護的數據時,數據泄露就沒有停止過。實際上,只要個人和公司保持記錄并存儲私人信息,就會存在數據泄露。隨著數據安全事件的增多,公眾對數據安全的認識開始提高,各個國家也制定了一系列法律法規,這些法規能夠對敏感信息提供必要的保護措施,但卻并非在所有行業中都存在并被有效執行,也因而無法阻止數據泄露的發生。
有關數據泄露的大多數信息都集中在2005年至今的這段時間,很大程度上是由于技術的進步和電子數據在世界范圍內的擴散,使得數據泄露成為企業和消費者的一大困擾。如今,數據泄露動輒影響成千上萬(甚至以百萬計)的用戶群體,更可怕的是這種量級的數據泄露可能僅發生于對一家公司的某一次攻擊之中。
在這些數據中,泄露發生最多的就是身份信息,包括:姓名、地址、身份識別號碼等等。特別是航空、酒店等服務行業,因其留存顧客的身份證號、護照號等個人識別信息,可被用于進行不法交易,因而成為黑客攻擊的重點目標;其次,是用戶賬號數據。在互聯網時代,人們為使用各種互聯網服務而注冊了大量的賬號,這些賬號所涉及的用戶信息既可能是真實信息,也可能是虛構信息。獲得這些賬號不僅意味著獲得了對應用戶的訪問權限,更能進行“撞庫”,繼而導致用戶的其他網站或應用程序賬號被盜,影響波及甚廣;再者是機密數據和敏感數據。這里指政府部門或企業掌握的不適宜公開傳播的內部信息,包括國家秘密、商業秘密和內部文檔等。這些數據的泄露輕則影響機構的聲譽,重則直接造成經濟損失甚至影響國家安全。
從數據泄露的來源來分析,大部分被泄露數據來自于互聯網服務公司,涉及社交網站、在線招聘網站、數字營銷公司、約會網站、電商網站等;位居第二的是公共服務機構,包括醫療機構、銀行、天然氣公司、電信運營商等。公共服務機構由于掌握大量居民的信息,因此也成為數據竊取的主要目標;此外,政府機構的數據泄露也較為嚴重。
(2)數據安全防護的觀念、方法及措施
數據安全防護是通過采用一組控件,應用程序和技術來保護網絡上的文件,數據庫和帳戶的過程。這些控件,應用程序和技術可以識別不同數據集的相對重要性、敏感性及法規遵從性要求,然后應用適當的保護措施來保護這些數據集資源。
數據安全性的核心要素是機密性,完整性和可用性。這是一種安全模型和指南,可幫助組織保護其敏感數據免受未經授權的訪問導致的數據泄露威脅。
盡管數據安全防護不是萬能藥,但是采取多方位的措施確實可以大大減少安全事件的發生,從而降低企業和用戶的損失。我們可以采取以下措施加強數據安全防護:
加強數據安全防護意識
最普遍、也是最具破壞性的錯誤往往都是人為造成的。例如,一個包含客戶個人信息的U盤或筆記本電腦的丟失或被盜會對企業聲譽造成惡劣的影響,還會帶來高昂的罰款。因此,開展員工安全意識培訓就是一項幫助員工意識到數據資產價值以及掌握安全處理數據能力的有效手段。
用戶權限最小化原則
90%的漏洞攻擊都需要所利用的賬號具備一定的權限。所以請用戶配置數據庫帳號時,只給出能滿足應用系統使用最小權限的賬號,因為任何額外的權限都可能是潛在的攻擊點。大部分大型數據泄露事件都是由內部員工造成的,因此嚴格控制數據訪問權限和數據獲取權限更顯重要,也就是遵循所謂的最小權限原則。
開展數據風險評估
定期進行風險評估,發現組織內部的潛在風險。評估范圍應包括方方面面,從數據泄露風險到物理威脅(如停電)。這項工作能夠幫用戶發現目前數據安全系統中的脆弱點,并從每一次的評估工作中,不斷優化組織的數據保護模式。
定期安裝數據庫廠商提供的漏洞補丁
根據以往經驗,可以形容為95%以上的數據庫存在被黑客入侵的可能。然而,黑客使用的漏洞有時卻并非0day一類,而恰恰是數據庫廠商已發布過修復補丁的漏洞。因此,即便有時因應用系統等原因無法及時打補丁,也請通過虛擬補丁等技術暫時或永久加固數據庫。
轉載自安全客:https://www.anquanke.com/post/id/196567