中国曾发布的《全球数据安全倡议》中提出:“作为数字技术的关键要素,全球数据爆发增长,海量集聚,成为实现创新发展、重塑人们生活的重要力量,事关各国安全与经济社会发展。”数据的重要性不言而喻。然而,近年来,全球数据被攻击、窃取、劫持等现象又层出不穷,俨然成为安全的“重灾区”,给经济、政治、社会等领域带来巨大风险。
2021年,新冠疫情仍然肆虐全球,全球各行业数字化转型加速,数据的价值在进一步凸显,数据泄露也在持续高频发生,也不断地登上头条新闻,涉及从医疗信息、账户凭证、个人信息、企业电子邮件及企业内部敏感数据等各种信息,涉及的领域包括工业制造、政务、医疗、金融、交通等等,不一而足,面临的形势依然非常严峻。
一 整体态势
根据身份盗窃资源中心(ITRC)的数据,今年迄今为止公开报告的数据泄露数量已经超过2020年的总数,2021年有望创下历史新高。
该非营利组织的2021年第三季度违规量数据为446起事件。尽管这低于第二季度报告的491起违规事件,但今年迄今为止的总数现在为1291起,而2020年为1108起。其中,云的数量有明显的增长,个人信息的占比有所增加,业务信息占比较大。
根据Canalys的最新报告“网络安全的下一步”,2020年数据泄露呈现爆炸式增长,短短12个月内泄露的记录比过去15年的总和还多。勒索软件攻击激增,并且首次夺取生命,报告的勒索软件攻击事件数量与2019年相比增长了60%。
信息化程度越高的行业,数据泄漏事件越多,且泄漏所造成的危害越大。信息化使得现实世界在网络空间中的映射愈加具体,物理空间中受到层层保护的信息在网络空间中却唾手可得,信息化建设和信息安全之间仍存在脱节。
内部人员仍然是数据泄漏的首要因素,其主要目的仍然是获利,这说明组织机构在数据安全教育、风险监控等方面还需要提高。泄漏的数据又对其它的数据形成威胁,这种链式反应加速了数据泄漏,使越来越多的机构和个人遭受损失。
二 呈现特点
1、企业承包商遭受攻击趋势明显
全球企业通过其承包商遭受攻击已经成为一个明显的趋势。企业的业务数据通常分布在多个第三方,包括服务提供商、合作伙伴、供应商和子公司。因此,组织不仅需要考虑影响其IT基础设施的网络安全风险,还需要考虑那些可能来自外部的风险。
根据调查,三分之一 (32%) 的大型组织遭受了涉及与供应商共享数据的攻击。这个数字自2020年的报告以来,没有明显变化(当时是33%)。这种形式的财务影响也与去年相同——即140万美元——但是当时,它在所有形式的攻击造成的平均损失排名中位列第13位。
2、人为疏忽依然是安全的最大威胁
威瑞森发布《2021年数据泄露调查报告》发现,61%的数据泄露与凭证数据有关。与上一年的报告一脉相承,人为疏忽依然是安全的最大威胁。
数据泄露调查报告中的每个行业在安全上都存在自身特有的细微差异。例如,金融和保险行业被盗数据中83%都是个人数据。医疗保健行业深受电子病历或纸质文件误投的困扰。而在公营产业中,社会工程是攻击者的技术之选。
按地区划分,亚太地区的数据泄露通常出于金融动机,由网络钓鱼攻击造成。在欧洲、中东和非洲,Web应用攻击、系统入侵和社会工程攻击是常态。
3、数据泄露成本增幅较大
IBM发布了“2021年数据泄露成本报告”,2020-2021年平均数据泄露总成本将增长10%,这是过去七年来最大的增幅。
107万美元的成本差异,远程工作是导致数据泄露的一个因素。由于新冠疫情,远程工作和数字转换增加了数据泄露的平均总成本。医疗行业的数据泄露成本连续11年保持最高。医疗保健机构连续第11年保持其数据泄露平均成本榜首位置。
数据泄露成本中有38%是业务损失。损失业务占数据泄露成本的份额最大,平均为159万美元。个人识别信息的泄露成本为180美元。客户个人识别信息(PII)是最常见的数据泄露类型,占44%的数据泄露事件。20%的数据泄露最初是由凭据泄露造成的。凭证是最常见的初始攻击媒介,占20%的数据泄露事件。发现到遏制数据泄露平均需要287天。识别和控制的时间越长,违规的成本就越高。
4、泄漏数据记录数量增幅明显
根据Imperva发布的最新报告,自2017年以来,全球网络攻击泄漏数据记录的数量平均每年增长高达224%。仅2021年1月报告的泄露记录(8.78亿)就超过了2017年全年(8.26亿)。
Imperva安全研究员Ofir Shaty表示,在过去四年中,此数字有所增加,与此同时,报告的攻击事件数量也增加了34%,每个事件的平均泄露记录数量增加了131%。
根据身份盗窃资源中心 (ITRC) 的数据,今年迄今为止公开报告的数据泄露数量已经超过 2020 年的总数,2021 年有望创下历史新高。
该非营利组织的第三季度违规量数据为 446 起事件。尽管这低于第二季度报告的 491 起违规事件,但今年迄今为止的总数现在为 1291 起,而 2020 年为 1108 起。到目前为止,与 2020 年全年相比,2021 年数据泄露量增加了 27%。
IBM Security统计分析了全球 500 多家公司和组织的 10 万条记录,于今年8月发布的一份研究报告显示,就攻击的规模而言,有14家公司被确认遭受了重大的数据泄露,涉及1000多万条记录的泄露,造成5200万美元损失,到涉及6500多万条记录的泄露事件,损失4.01亿美元不等。所有的因素,如技术、法律、监管、员工生产力的损失、品牌资产和消费者损失都包括在内。
三 主要挑战
在数据时代,数据是一种“泛在”性的存在,其安全的维护是一个非常复杂的系统,但按照涉及议题的属性,大致可以将当前数据安全面临的主要挑战或问题划分为以下四大类:
1、数据确权难题
有效维护数据安全,首要的问题是对数据进行确权。所谓数据确权,是对数据权内容、权属、权利体系和治理机制等做出明确规范的过程。由于数据问题本身的特殊性,数据确权从不同主体层面均面临不同程度的困难。
2、数据垄断困境
互联网行业以用户量和数据量为导向形成“赢者通吃”的天然垄断局面,绝大部分用户份额控制在一个或几个巨型互联网公司之中。数据垄断会带来系列问题,一是隐私保护问题,用户交付个人信息以换取互联网企业免费服务的同时,所产生的大量行为数据也被互联网企业所搜集。二是加大数据泄露风险,海量数据集中在少部分平台和公司之中,也增大了大规模数据泄露的风险。三是市场垄断问题。企业对于数据的排他性支配是否在事实上导致准入壁垒,进而使得互联网市场趋向垄断,长远看会影响行业整体的良性发展态势。
3、数据泄露危害
所谓数据泄露主要是指受保护的重要、敏感、核心数据丢失、被盗、或其他未经授权的访问或公开。数据泄露侵犯网络用户个人信息和隐私,增大用户被欺诈风险;企业数据泄露造成直接经济损害,同时影响企业可信度;公共数据泄露影响社会治理,违法售卖数据等既是犯罪本身也可能引发其他类型的网络犯罪;核心、机密数据以及大规模数据泄露同样威胁着国家的政权安全和主权安全。
4、数据造假隐患
近年来,数据篡改或造假问题日益引起广泛关注。数据造假已成为社会多领域内的问题,包括环境监测、金融数据造假。例如,在电商平台、视频网站以及社交平台上的公开数据也有相关造假手段;如果基于被篡改的数据与作假的数据,人工智能算法的有效性与学习效果不难想象等等。
四 思维误区
根据IBM与Ponemon Institute基于对全球17个国家500多家真实经历过数据泄露企业进行的分析调研报告指出,2021年遭受数据泄露的企业单次数据泄露事件平均耗费成本为424万美元,这个数字相比2020年增长了10%,成为了历史上数据泄露成本的最高值。
分析报告指出,凭证泄露引发的数据泄露是最常见原因,也是企业被攻击到发现用时最长的威胁,平均需要250天。调查发现,企业面对数据安全方面存在以下几个误区。
1、企业缺乏网络安全要求
调查分析发现,81%的企业认为自身网络安全高于平均水平,但很多企业实际缺乏网络安全基本要求,41%的企业不要求进行复杂密码管理和身份验证。
2、企业存在侥幸心理
一些企业认为只要部署基本防御就没问题,一般不会出现数据泄露问题,即使遭遇勒索攻击只要支付赎金即可的认知误区。事实上,在过去的一年中,有72%的受访企业遭受过勒索软件攻击,其中13%的企业被攻击了6-10次。
3、企业有意识但无行动
还有一个非常重要的问题,一些企业虽然意识到包括勒索软件在内的安全威胁,把邮件攻击列为攻击风险最高的载体,但在实际安全行动上比较非常滞后。
五 整体趋势
1、数据泄漏将会日趋严重
数据泄漏事件的数量以及单次泄漏的数据量都呈逐年增高的趋势,泄漏的数据内容和影响的人数也在不断刷新纪录。在数字经济时代,数据已经成为生产要素。受利益驱动,对数据的争夺将会更加激烈。
2、数据安全挑战不断
线上业务的爆发、或业务上云都使得数据安全风险骤增。虽然数据安全技术在持续进步,但新技术的出现仍会对现有安全体系形成冲击。例如大数据技术、5G、人工智能、云计算和物联网使防护场景更复杂,数据交易使数据的流动更频繁,这都要求数据安全技术和理念不断演进。
3、对数据安全的认识不足
很多起数据泄漏事件是因为员工对数据安全缺乏足够重视。数据安全与网络安全相比,尚未得到完全普及。很多组织机构无法判断数据安全的范围,认为做好网络安全就能拥有数据安全。这导致组织机构的员工从未认真对待过数据安全风险。
4、流动数据发生泄漏的风险增加
数据泄漏在使用交换阶段的占比增加,将会对数据流动产生负面影响。数据作为生产要素,自主有序流动是其本质要求。惟有数据安全先行,数据流通共享才能达到一个全新的高度,数据的价值才能得到充分发挥。没有数据安全,不足以谈数据要素的市场化配置。
5、当前的数据安全缺乏体系化防护
数据发生泄漏的原因多且复杂,有关联的因素包括人员、应用、数据内容和使用方式等方面。企业机构目前仅依赖若干孤立产品进行安全防护,已不能应对当前复杂的应用场景,更谈不上创新性和前瞻性。
六 防护建设
1、以数据为中心的安全防护要素
本文提出的大数据安全防护技术体系,基于威胁情报共享和采用大数据分析技术,实现大数据安全威胁的快速响应,集安全态势感知、监测预警、快速响应和主动防御为一体,基于数据分级分类实施不同的安全防护策略,形成协同安全防护体系。围绕以数据为核心,以安全机制为手段,以涉及数据的承载主体为目标,以数据参与者为关注点,构建大数据安全协同主动防护体系。以数据为中心进行安全防护的要素如图1所示。
图1 以数据为中心的安全防护要素组成
(1)数据是指需要防护的大数据对象,此处指大数据流转的各个阶段包括采集、传输、存储、处理、共享、使用和销毁。
(2)安全策略是指对大数据对象进行安全防护的流程、策略、配置和方法等,如根据数据的不同安全等级和防护需求,实施主动防御、访问控制、授权、隔离、过滤、加密、脱敏等。
(3)安全产品指在对大数据进行安全防护时使用的具体产品,如数据库防火墙、审计、主动防御系统、APT检测、高速密码机、数据脱敏系统、云密码资源池、数据分级分类系统等。
(4)防护主体是指需要防护的承载大数据流转过程的软硬件载体,包括服务器、网络设备、存储设备,大数据平台、应用系统等。(5)参与者是指参与大数据流转过程中的改变大数据状态和流转过程的主体,主要包括大数据提供者、管理者、使用者和大数据平台等。
2、主动防御的大数据协同安全防护体系
在大数据环境下需要构建具有主动防御能力的大数据协同安全防护体系,在总体上达到“协同联动,体系防御”的安全防御效果。大数据协同安全防护体系必须具备威胁的自动发现、策略决策的智能分析、防御策略的全局协同、安全资源的自动控制调度以及安全执行效果的综合评估等特征。
其中威胁的自动发现和防御策略的全局协同是实现具有主动防御能力大数据协同安全防护体系的基础。大数据的安全并不仅仅是大数据平台的安全,大数据的安全应该以数据生命周期为主线,兼顾满足各个参与者的安全诉求。大数据的安全动态协同防护体系架构如图2所示。
图2 主动防御的大数据协同安全防护体系
3、大数据协同安全防护流程
大数据协同安全防护强调的是安全策略全局调配的协同性,安全防护手段的主动性,以威胁的自动发现和风险的智能分析为前提,采用大数据的分析技术通过安全策略的全局自动调配和防护手段的全局联动。具有主动防御能力的大数据协同安全防护流程如图3所示。
图3 大数据协同安全防护流程
七 启示思考
综上所述,数据安全作为一个时代性议题,需要在发展中不断探索。当前国际数据安全维护现状与趋势带来的启示在于以下几点。
一是意识要适当“超前”。中国作为数据大国,考虑到数据战略价值,尤其是未来数字经济发展需要,不仅要考虑数据能够“护得住”,更要考虑数据能够“拿得来”,这就需要在制定国内数据安全维护政策措施时,要考虑是否达到安全与发展的最佳平衡点,是否能够和其他具有数据潜力的国家或地区有效对接,促进数据的流动。
二是策略要足够“丰富”。要深刻认识到数据安全是一个战略问题,更是一个实践问题,不仅要从国家层面制定相应的战略,出台相关法规,完善应有机制,更要在实践中,发挥非国家主体,尤其是行业和企业的作用。一方面要听取他们作为“落地一线”的反馈,不断校准与修正相应政策,提升政策的有效性;另一方面要鼓励他们寻求更加有效的技术或标准解决方案,以最佳实践提升数据安全的话语权和影响力。
三是议程设置要足够“主动”。当前数据规则还在发展初期,正是加紧“塑造”的战略机遇期。不论是在双边、区域还是多边场合,对于数据规则探讨的议程设置都应该更加积极。一方面要在一些既有机制下,就重要议题拿出有影响力的主张或有说服力的案文;另一方面还要主动搭建相关渠道,以开放和促进数据流动的姿态,引导数据安全规则探讨,从而全面提升话语权。
Copyright © 2005-2021 网信安全世界版权所有