閃捷信息重磅發佈《2020年度數據泄漏態勢分析報告》
3月30日,由閃捷信息安全與戰略研究中心編制的《2020年度數據泄漏態勢分析報告》正式發佈。
信息化時代,數據成爲一種生產要素,但數字經濟建設與數據安全之間脫節的現象愈加凸顯。數據泄漏總體呈上升趨勢,雲上數據泄漏、個人信息泄漏、勒索攻擊與數據泄漏融合的現象成爲日益嚴重的安全挑戰,爲機構組織的數據安全防護增加了難度。特別是2020年受新冠疫情影響,很多業務倉促上線,缺乏數據安全防護,而通過疫情熱點進行的網絡釣魚和APT攻擊又更具欺騙性。
本報告通過統計分析2020年國內所發生的數據安全事件,試圖揭示數據泄漏事件與多種因素之間的關聯性。報告結合全球數據泄漏事件的發展趨勢,爲讀者呈現2020年國內數據泄漏的態勢全景,幫助機構組織預判數據安全威脅,爲機構的決策和行業發展提供前瞻性指引。
《2020年度數據泄漏態勢分析報告》重要分析結果包括:
1.數據泄漏事件與疫情的嚴重程度存在一定關聯
疫情期間,線上業務持續增長,線上教育、遠程辦公等場景都增加了數據安全風險;爲疫情防控需要,個人信息在收集、使用、存儲等環節被泄露的情況時有發生。
在已知數據源的數據泄漏事件中,Elasticsearch佔比最高,達到25%。64%的泄漏原因是沒有正確的安全配置,36%的原因是毫無任何防護措施。
3.數據泄漏與數據勒索融合
以獲利爲目的的數據泄漏事件佔所有泄漏事件特徵的80%以上,說明數據泄漏事件仍然是利益驅動,2020年勒索攻擊+數據泄漏事件佔所有數據安全事件的15%,成爲常態化的數據安全事件,勒索團伙將泄漏的數據作爲籌碼,向企業索取高額贖金,未來,勒索攻擊與數據泄漏的區別將變得更加模糊,數據泄漏很可能伴隨着勒索,因此,防勒索方案應該融合數據防泄漏技術。
4.個人信息泄漏尤爲突出
個人信息泄漏佔所有數據泄漏事件的60%。業務信息泄漏在數據泄漏事件中佔比爲37%,在泄漏的個人信息中,姓名出現在45%的個人信息泄漏事件中,其次是電話號碼,佔比爲32%。如果不清楚哪些數據需要保護,就無法正確評估數據風險,會對數據安全缺乏足夠的重視,或是對所有數據都施以最高級別的保護,造成巨大浪費。泄漏的個人信息又會導致更多的數據泄漏,這種鏈式反應能持續產生危害。
互聯網中的大量存儲設備以應用軟件方式來實現協同合作或數據訪問。數據存儲的訪問限制不當,就會導致內部人員因爲合規意識薄弱造成數據泄漏事件。數據使用階段也是數據泄漏的高風險階段,泄漏佔比接近30%,數據在使用階段的泄漏方式包括肩窺、掠讀、拍照、截屏和打印等。
數據安全建議:
1.加強企業雲上數據防護
對上雲的數據進行分類分級,識別出高風險數據,並對雲上環境進行風險評估;對業務進行梳理,明確數據使用的場景,關閉不必要的服務,僅允許可信的訪問請求。
採用必要的技術手段對數據進行防護,對安全策略和安全配置進行驗證,防止安全策略未落地,或者安全配置錯誤。提升員工的數據安全意識,建立合理的操作流程制度。
2.數據防泄漏與數據防勒索並重
數據泄漏與勒索攻擊正在加速融合,攻擊者依靠這一手段不但對數據進行加密,還獲取了敏感信息,勒索的籌碼增多,令受害者更容易就範。因此,防勒索的同時,還應兼顧數據防泄漏,否則無法徹底杜絕被勒索。
3.對數據進行分類分級保護
通過數據分類分級,機構組織能夠正確地評估數據所面臨的風險,能夠根據風險的高低爲不同級別數據制訂有差異化的防護策略,將有限的安全資源發揮最大價值。
數據分類分級工作通常需要注意,數據分類分級的結果是用來指導數據安全保護工作的,應該保證一定的時效性;通過採用先進的內容識別技術,提升分類分級準確性。
4.加強數據安全保護
除了關注數據存儲環節,使用和共享交換環節的數據泄漏風險也同樣驚人,因此建議採取如下三個方面:
安全措施稽覈:主要監測數據是否按照分類分級結果進行了安全防護。
操作行爲監測:通過監測操作行爲的具體信息,識別出高風險點,幫助安全團隊採取措施減少風險。
系統漏洞監測:定期對現有安全防護體系進行驗證,通過漏洞掃描、滲透測試等方式發現防護體系中存在的安全漏洞,及時進行風險評估和處置。
數據安全無處不在,關係到個人、企業組織和國家的利益。數據安全建設刻不容緩。從法律標準的建設、安全意識的提高,到管理流程的實施、技術理念的進步,需要社會各界緊密協作,共同應對。本報告希望能夠爲讀者提供有價值的信息,也歡迎來自讀者建設性的反饋。讓我們一起爲數據安全行業貢獻力量。
《2020年度數據泄漏態勢分析報告》下載方式:可關注“閃捷信息”公衆號,後臺回覆“下載”。
關於閃捷信息:
閃捷信息(Secsmart)是一家專注數據安全的高新技術企業,在業界率先將人工智能、量子加密技術成功應用於數據安全領域,創新性提出“零信任”動態數據安全治理以及“雲管端”立體化數據安全解決方案,產品範圍涉及數據安全治理、數據加密、數據脫敏、數據庫審計、數據庫防火牆、數據防泄漏、大數據安全、雲數據安全等,已廣泛應用於政府、電力、運營商、金融、教育、醫療等行業。