《闪捷信息:2022年度数据泄漏态势分析报告(25页).pdf》由会员分享,可在线阅读,更多相关《闪捷信息:2022年度数据泄漏态势分析报告(25页).pdf(25页珍藏版)》请在三个皮匠报告上搜索。
1、2022年度数据泄漏态势分析报告闪捷信息安全与战略研究中心免责声明 本分析报告中的数据来源于闪捷信息安全研究中心、合作伙伴、互联网。由于样本收集范围所限,未必能够反映事件的全貌,特此说明。闪捷信息根据可获得的数据发布该分析报告,并不保证所有数据的精确和完整,报告中所包含的信息具有一定的概括性,并不能用来解决特定的安全问题。意见和结论只是在报告发布时间得出,后续的变更将不会特别通知。任何人在使用报告中的信息时,责任自负。2022年度数据泄漏态势分析报告Contents目录3.总结185.关于闪捷221.1 背景1.概述03031.2 报告内容说明041.3 数据来源说明054.建议194.1.对
2、数据进行分类分级保护204.2.加强全流程数据安全风险监控204.3.加强企业云上数据防护204.4.建立数据安全运营能力216.附录23附录A:MITRE ATT&CK框架侦察技术列表23附录B:个人信息泄漏严重程度评估表23附录C:参考来源242.数据分析062.1.数据泄漏月份占比072.2.数据安全事件类型占比082.3.数据泄漏事件动机占比092.4.数据泄漏原因占比102.5.数据泄漏的数据源占比112.6.泄漏数据类型占比122.7.数据泄漏人员类型占比132.8.数据泄漏各阶段占比142.9.个人信息泄漏行业占比152.10.个人信息泄漏维度占比162.11.个人信息泄漏严重程
3、度占比172022年度数据泄漏态势分析报告概述032022年伊始,国务院印发 “十四五”数字经济发展规划,对中国数字经济的实施建设做出全面部署。从要素、产业、融合、治理等方面系统布局,为“十四五”时期推动数字经济健康发展提供了重要指引。2022年4月,中央全面深化改革委员会第二十五次会议审议通过了 关于加强数字政府建设的指导意见,强调要以数字化改革助力政府职能转变,在强化系统观念,健全科学规范的数字政府建设制度体系的同时,要依法依规促进数据高效共享和有序开发利用,要始终绷紧数据安全这根弦,加快构建数字政府全方位安全保障体系,全面强化数字政府安全管理责任。2022年6月,中央全面深化改革委员会第
4、二十六次会议审议通过了 关于构建数据基础制度更好发挥数据要素作用的意见。会议强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。要建立数据产权制度,推进公共数据、企业数据、个人数据分类分级确权授权使用,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场。要完善数据要素市场化配置机制,更好发挥政府在数据要素收
5、益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度。要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。要构建政府、企业、社会多方协同治理模式,强化分行业监管和跨行业协同监管,压实企业数据安全责任。同期,国家市场监督管理总局、国家互联网信息办公室印发实施 数据安全管理认证实施规则(下称 规则)。国家市场监督管理总局和国家互联网信息办公室联合发布了 关于开展数据安全管理认证工作的公告,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。规则 是落实 数据安全法 中有关国家促进数据安全认证服务发展,支持数据安全认
6、证专业机构依法开展服务活动等相关规定的具体举措。一方面,有助于引导各方主体依法依规,有序参与和开展数据安全认证工作;另一方1.1 背景2022年度数据泄漏态势分析报告2022年7月,国家互联网信息办公室公布 数据出境安全评估办法(以下简称 办法),自2022年9月1日起施行。办法 制定出台旨在落实 网络安全法、数据安全法、个人信息保护法 的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保
7、护个人信息权益的需要。办法 规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。办法 明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。办法 提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。数据安全至关重要,通过对数据泄漏事件进行态势分析,一方面可以了解数据泄漏事件的表现和特点,使社
8、会各界意识到数据安全的危害;另一方面也可以帮助组织机构洞察数据安全的规律,预判数据安全威胁的发展趋势,对机构的决策和行业发展有一定参考意义。面,有助于通过认证鼓励推动各方主体形成高水平的数据安全管理能力建设,培育和打造广泛的数据安全业务基础和生态基础。数据安全认证工作的开展,会增强企业或组织对数据安全落地的积极性,为数据安全行业提供新的助推引擎。04本报告通过统计分析2022年国内所发生的数据泄漏事件,结合全球数据泄漏事件的趋势,尽力为读者呈现2022年国内数据泄漏的态势全景。数据分析章节里,对收集的数据泄漏事件进行了多维度的统计分析,例如数据泄漏事件在时间维度上的占比、导致数据泄漏的各种原因
9、占比等。意图使数据泄漏事件与各种因素之间的相关性得到展现。分析内容包括统计图表展现和描述,包括趋势、比例和排1.2 报告内容说明2022年度数据泄漏态势分析报告名等形式。并根据统计图表展现的内容,结合掌握的其它情报信息,进行原因分析和说明。在本报告的总结部分,概括性地叙述了数据泄漏态势可能蕴含的信息。建议章节里,是根据分析的原因对组织机构提出降低数据安全风险的建议和措施。05本期报告分析所采用的数据来源于闪捷信息安全与战略研究中心、合作伙伴、互联网等。数据的整理沿用了VERIS(Vocabulary for Event Recording and Incident Shar-ing)框架。这样
10、的收集整理工作还在持续进行中,这为后续的数据分析工作打下了基础。VERIS框架在未来使用过程中还会不断改进和细化,这与数据安全行业自身处在高速发展中有关。报告撰写团队也希望在这一过程中,能形成一个适用于国内数据安全事件记1.3 数据来源说明2022年度数据泄漏态势分析报告数据分析06数据泄漏事件在2022年各月份的数量占比分布具有一定的波动。考虑到数据样本的局限性,这种波动不一定能反映真实的数值,但可以一定程度上帮助了解其规律和趋势。对各月份数据进行线性拟合(红色虚线),可以发现数据泄漏事件在2022年各月份的数量占比分布线性趋势呈水平状。这种趋势不同于以往前低后高的增长,说明2022年上半年
11、的数据泄漏事件比往年同期更加集中。2022年2月,数据泄漏事件的数量超过全年总数的10%,很可能与俄乌战争的爆发有直接关系。俄乌战争的爆发加剧了不同阵营支持者的对立,让全球的攻击活动变得更加活跃。据欧盟议会Think Tank报道,俄罗斯自2月24日以来加强了网络攻击,通过钓鱼电子邮件、分布式拒绝服务攻击、使用数据擦除恶意软件、后门、监控软件和信息窃取等技术对乌克兰IT设施进行打击。而乌克兰则在2月26日成立网军(IT Army),由多国黑客组成。欧盟也启动其网络快速反应小组,以支持乌克兰的网络防御。非政府和私人参与者通过各种网络活动支持乌克兰。自入侵开始以来,独立黑客发起了大量反击,影响了俄
12、罗斯的国家、安全、银行和媒体系统。网络空间是继陆、海、空、天之外,人类活动的“第五空间”。这一点在俄乌战争中的体2.1 数据泄漏月份占比2022年度数据泄漏态势分析报告07现更加直接。战争所依赖的能源、制造、运输和医疗,以及战争中的兵力、分布和作战计划,无一不受到网络攻击的威胁。没有网络安全就没有国家安全,网络空间的安全建设更加迫切紧要。数据安全事件类型目前汇集了数据泄漏、数据加密+数据泄漏、数据加密、数据损毁和数据篡改。数据加密+数据泄漏表示数据安全事件所涉及数据既发生了泄漏,也被进行了加密处理。与其它数据安全事件类型相比,单纯的数据泄漏类型具有显著高占比,占全年度所有数据安全事件的65%。
13、兼有数据加密和数据泄漏的安全事件,则占全年度所有数据安全事件的21%。与2021年相比,本报告并没有将勒索攻击作为一种数据安全事件类型,这是一种尝试。主要是因为勒索并不是一种针对数据的行为,而且勒索并不能准确表达数据所面临的安全问题,勒索攻击的背后,可能是数据被加密,也可能是数据被泄漏,或者二者皆有。因此,防勒索方案应该包含数据防泄漏技术,从多个方面防止勒索事件的发生。数据损毁的比例偏低,与2021年相比并没有显著变化。主要是因为数据存储方面的建设过程中,对数据备份容灾等问题考虑得很充分,因此,这一类型的数据安全事件相比较少。2.2 数据安全事件类型占比2022年度数据泄漏态势分析报告08不同
14、的数据泄漏事件背后,有不同的动机。以获利为目的的数据泄漏事件占比接近80%,这说明数据泄漏事件,仍然是利益驱动。据TechRepublic统计,仅依靠销售所窃取的数据,犯罪分子的个人年收入可以覆盖45,000$2,500,000$的区间。全球的地下数据交易市场多达数十个。据The Conversation披露,在近八个月的时间跨度内,共有2158家供应商在30个市场上为96672个产品列表中的至少一个做了广告。这些市场的销售共632207笔,总收入超过1.4亿美元。地下经济使得数据泄漏行为防不胜防,巨大的利益催生了更多的数据泄漏事件。数据防泄漏将是一个系统工程,需要社会各界共同努力。2.3 数
15、据泄漏事件动机占比2022年度数据泄漏态势分析报告09另外,接近15%的数据泄漏事件属于窃密活动。这类数据泄漏事件同时具有长期性的特点。近年来多起APT攻击就属于此类型。9月份,国家计算机病毒应急处理中心发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现,美国国家安全局(NSA)“特定入侵行动办公室”(Office of Tailored Access Operation,简称TAO)使用了40余种不同的NSA专属网络攻击武器,持续对西北工业大学开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等超过140GB核心技术数据。在数据泄漏事件中,获利的同时,也有表达立场主张的现象。
16、2022年2月,在俄乌战争爆发四天后,臭名昭著的勒索团伙Conti宣布支持俄罗斯。很快,Conti内部一名不同政见人士向公众泄露了数万份内部聊天记录。文件揭示了该团伙的规模、日常活动以及这家网络犯罪“组织”的结构。在很多方面,Conti就像一家正规企业一样运营,有薪酬和绩效管理体系,甚至从合法的俄罗斯猎头公司来寻找新员工。此次泄露还包括Conti勒索软件的源代码,这可能是该团伙此次泄露中最具破坏性的部分。举报人通过其匿名推特账户发出的最后一条信息是支持乌克兰的信息,证实泄密事件源于内部政治分歧。俄乌战争对“民间”网络攻击的影响远不限于此。8月,亲俄黑客组织KillNet宣布入侵了美国军工企业洛
17、克希德马丁公司的网站。该公司参与生产供应给乌克兰的海玛斯火箭炮系统(HIMARS MLRS)。黑客还设法获得了洛克希德马丁公司求职人员的个人数据。10月,黑客组织“Joker DPR”(顿涅兹克小丑)宣称已成功入侵乌克兰武装部队(AFU)使用的所有军事指挥和控制程序,包括可接入北约ISR系统的美国Delta数字地图战场指挥系统。Joker DPR宣称已经用病毒感染了所有接入Delta系统的计算机,并且篡改了其中的数据。2022年度数据泄漏态势分析报告102022年的数据统计表明,导致数据泄漏的原因中,内部人员和黑客攻击所占比例大致相当,内部人员占比为41%,黑客攻击的占比为38%,18%是数据
18、访问凭据泄漏,10%是数据处置不当。数据泄漏可能由一种或多种原因造成,因此其占比总和是大于100%的。内部人员导致的数据泄漏,主要指内部人员完全主导,或者数据泄漏关键环节有内部人员参与的安全事件。美国跨国公司通用电气(General Electric)于2022年7月获悉,一名员工在长达八年多的时间里窃取了8000多份敏感文件。该员工说服了一名IT管理员,允许他访问敏感信息。他窃取了这些信息,并通过电子邮件向一名同谋发送了商业敏感信息。黑客攻击包含了网络钓鱼、APT攻击、爬虫及融合了数据泄漏的勒索攻击。优步的一名员工在2022年9月的一次社会工程攻击中成为受害者。此次攻击的负责人解释说,通过冒
19、充优步IT人员,多次向优步员工发出授权访问的请求,最终成功通过了多因素认证。在这次攻击中,优步的代码库、内部系统、通信渠道和云存储都遭到了破坏。这一现象说明,相关组织机构在重要数据防护方面仍需要进一步提升内部安全意识。数据访问凭据泄漏是指组织机构的数据访问账号、口令、证书等信息被泄漏。不法分子能够通过这些访问凭据在未经授权的情况下访问数据。访问凭据泄漏最常见的原因是遭受钓鱼攻击。2022年10月,多名Dropbox员工被钓鱼邮件攻击,黑客伪造CircleCI网站,2.4 数据泄漏原因占比2022年度数据泄漏态势分析报告112.5 数据泄漏的数据源占比统计数据中,仍有少部分数据泄漏事件无法确定数
20、据源类型。在已知数据源的数据泄漏事件中,Redis占比最高,超过30%。MongoDB和ElasticSearch数据库的占比分别为23%和19%,其余为S3和SQL类数据库。随着企业业务上云的普及,以及SaaS行业的日益发展,越来越多的数据存储在云端。企业的数据不再受传统的网络边界保护,这使得数据泄漏的风险骤增。据分析,Redis从而骗取了员工的凭据和多因素认证(一次性密码)。通过泄漏的访问凭据,黑客设法访问了Dropbox 的一个GitHub 组织机构,从而复制了130个代码仓库。而暴露的源代码中又包含了开发人员使用的某些其它凭据。数据处置不当主要是指对数据的保护措施偏离了最初的设定目标,
21、例如访问策略配置错误,甚至缺失,或者安全措施并未发挥作用。2022年6月,土耳其飞马航空公司意外地在网上暴露了2300万个包含个人数据的文件。这起事件的起因是一名员工错误地配置了AWS云存储桶。暴露的数据还包括软件源码、飞行数据等信息,共计6.5TB。2022年度数据泄漏态势分析报告12没有默认的身份验证,并且所有数据都存储在明文中。工作人员往往忽略文档的提示,而将服务直接迁移到云,就出现了问题。使用MongoDB的泄漏同样是因为安全配置的问题。MongoDB发言人曾发表评论:“我们的MongoDB数据库是一个非常受欢迎的产品,在全球范围内有超过100M的下载量。不幸的是,并不是每个安装都遵循
22、最佳实践,因此有些安装配置不正确“。使用Elasticsearch而导致数据泄漏,64%的原因是没有正确的安全配置,36%的原因是毫无任何防护措施。同样,亚马逊的S3 bucket也因为安全配置错误,导致了多起数据泄漏事件。2022年度数据泄漏态势分析报告参考 网络安全标准实践指南网络数据分类分级指引,个人信息可细分为个人基本信息、个人身份信息、身份鉴别信息和网络身份标识信息等子类。2.6 泄漏数据类型占比每一个数据泄漏事件背后,都是有实际操作人员的。统计发现,内部人员导致的数据泄漏事件占比接近60%,与2021年相比,变化不大。包括主动的泄密和由于失误造成的泄密。在主动的泄密类型中,内部人员
23、受利益驱动泄漏数据,或者被外部人员欺骗泄漏,或者对企业有不满情绪而泄漏。失误造成的泄密类型中,由于安全意识或者流程的问题,造成安全策略配置错误,例如访问权限控制缺失、安全管控粒度粗放、账号凭据丢失等。外部人员造成的数据泄漏超过40%。外部人员除黑客外,还包括组织机构的服务外包及供应链等合作方员工。黑客通常采用钓鱼、SQL注入、恶意代码、社会工程等方式窃取数据,也会通过扫描网络,搜索任何人都可以访问的数据库并直接获得数据。组织机构的合作方员工则由于熟悉环境,但又常常不在监管范围之内,对机构的数据造成很大威胁。2.7 数据泄漏人员类型占比13签名、IP 地址、账户开立时间等,在2022年泄漏数据类
24、型中的占比接近60%。随着数字经济的发展,网络身份标识信息和现实身份信息的重要性将变得同等重要。身份鉴别信息指用于身份鉴别的数据,如账户登录密码、银行卡密码、USBKEY、动态口令、U 盾(网银、手机银行密保工具信息)、短信验证码、个人数字证书、随机令牌等。据DARKReading透露,2022年有246亿的用户名/密码数据在黑市流动。业务信息泛指企业机构开展业务相关的信息,包括业务记录、合同、图纸、源代码和技术工艺等内容。业务信息在数据泄漏事件中占比超过10%。在MITRE ATT&CK框架中,侦察(Reconnaissance)环节是所有攻击行为的起点,共包含10种侦察技术。泄漏的个人信息
25、和系统信息则是其中8种侦察技术的目标,也就是说,一次网络攻击所需要侦察的信息,80%可以从泄漏的数据中获取。2022年度数据泄漏态势分析报告14合作伙伴导致数据泄漏的占比在2022年有所下降,接近30%。合作伙伴导致的泄漏一般发生在提供运维服务、业务外包和供应链等场合,因此在选择合作伙伴时,除了管理制度上的措施外,还应评估合作方在保护数据安全方面的资质和能力。有组织的窃密接近数据泄漏事件的20%。组织化窃密可以分为官方组织和非官方组织。据安全管理杂志披露,2022年影响力最大的黑客组织依次是Lapsus$、Conti、Lazarus Group、LockBit和REvil。另据Palo Alt
26、o Networks Unit 42的泄漏现场数据分析,2022年第一季度,LockBit占所有勒索软件相关漏洞事件的46%。仅在2022年6月,该组织就发起了44次攻击,成为我们今年见过的最活跃的勒索软件。由政府支持的窃取数据行为,通常与APT攻击关联,由于潜伏期长,不易发现,因此占比较低。数据泄漏可以发生在其生命周期中的任何一个阶段。据统计,2022年数据泄漏发生在存储阶段的占比依然最高,超过50%,与2021年相比有所上升。针对存储阶段的数据安全防护固然重要,其它阶段的数据安全也需要给与同样的重视。使用阶段的数据泄漏占比超过20%,仅次于存储阶段,也属于数据泄漏的高风险阶段。数据在使用阶
27、段的泄漏方式包括肩窥(shoulder surfing)、掠读(skim)、拍照、截屏和打印等。使用阶段泄漏的数据量比存储阶段泄漏的少,但是发生得非常频繁。交换阶段的数据泄漏占比超过15%。说明与合作伙伴进行数据共享交换,也容易发生数据泄漏。2.8 数据泄漏各阶段占比2022年度数据泄漏态势分析报告15个人信息泄漏最严重的是金融行业,占比接近30%。保险和金融部门由于其持有高敏感数据而成为最常见的目标。泄漏的原因除了外部攻击,还包括缺乏访问控制、非授权访问、数据库配置错误、“内鬼”和系统漏洞。2022年2月,瑞士信贷被曝发生数据泄漏,涉及18,000 多个银行账户。泄漏的信息表明,瑞士信贷为被
28、指控洗钱的受制裁个人和国家元首持有价值超过 1000 亿美元的账户。医疗行业的个人信息泄漏占比接近20%。这说明医疗行业的个人信息仍然保持着巨大的吸引力。2022年3月,Shields Health Care Group遭黑客攻击出现严重数据泄漏,近200万人受到影响。该公司位于马萨诸塞州,提供MRI和PET/CT诊断成像、放射肿瘤、门诊手术等服务。根据官方通报,黑客在3月期间访问了公司内部服务器,可能窃取了包含用户姓名、社会安全号、生日、住址、诊断、账单、保险号、病历号、患者识别码等敏感信息。政府行业的个人信息泄漏占比为15%,也属于个人信息泄漏的重点行业,主要是因为政府行业数据丰富且真实。
29、2022年11月,加拿大Westmount遭遇LockBit攻击,政府的数台服务器被加密,导致计算机故障,同时也导致14TB数据泄漏。运营商行业同样是个人信息泄漏事件高发行业,2022年占比为10%,与2021年持平。由于运营商行业涉及的个人信息极其丰富,包括联系方式、通讯信息、上网行为、地理位置等方面,数据泄漏能够对社会生活造成重大影响。2.9 个人信息泄漏行业占比2022年度数据泄漏态势分析报告16 -个人信息包含了很多维度的个人相关数据。在泄漏的个人信息中,姓名出现在86%的个人信息泄漏事件中,其次是电话号码,泄漏的占比超过60%,第三位是电子邮件,泄漏占比超过50%,登录凭据的泄漏占比
30、接近40%,排在第四位。个人信息的泄漏,会通过地下市场流向黑灰产业。电话号码会被利用进行电信诈骗或者广告骚扰,Email地址也会被用来发送钓鱼邮件、恶意软件,或者各种非法广告,对社会造成二次危害。地下黑市甚至发明了“Fullz”这个单词,用以描述包含“完整”个人信息的数据包,其中包含个人姓名、地址、NI号码、驾驶执照、银行账户凭证和医疗记录等信息,以及其他细节。欺诈者利用这些信息冒充受害者,利用其财务声誉进行身份盗窃和欺诈。2.10 个人信息泄漏行业占比2022年度数据泄漏态势分析报告17个人信息泄漏所引起的危害严重程度是不一样的,本报告尝试对每一次个人信息泄漏事件进行危险等级评估,这有助于受
31、害者选择不同级别的响应措施。本报告根据所泄漏个人信息的分类和分级信息,以及泄漏数据影响的人员数量,对个人信息泄漏事件进行危险等级评估,将个人信息泄漏事件的危险等级分为四等,分别是低等危害、中等危害、高等危害和严重危害。根据统计分析,具有中等危害的泄漏事件达到12%,低等危害的泄漏事件为19%,高等危害的泄漏事件为36%,严重危害的泄漏事件为26%,8%的泄漏事件由于缺乏泄漏的数据内容、规模、影响人数等信息,无法做出对应的评估。2.11 个人信息泄漏严重程度占比2022年度数据泄漏态势分析报告总结18风险监测能力不足。数据泄漏事件在2022年各月份的数量占比分布具有一定的波动。考虑到数据样本的局
32、限性,这种波动不一定能反映真实的数值,但可以一定程度上帮助了解其规律和趋势。对各月份数据进行线性拟合(红色虚线),可以发现数据泄漏事件在2022年各月份的数量占比分布线性趋势呈水平状。这种趋势不同于以往前低后高的增长,说明2022年上半年的数据泄漏事件比往年同期更加集中。个人信息泄漏严重。个人信息对于攻击者而言就是金矿。个人信息富含社会关系、访问凭据、健康和资产信息,包含了主体可以被进一步利用的数据,既可以在地下黑市交易,也可以为下一次攻击提供丰富的情报。越来越频繁的个人信息泄漏,不但对企业组织造成损失,也为社会的不安定埋下了隐患。勒索攻击常态化。从实际情况看,在很多勒索攻击事件中,受害者数据
33、并没有被加密,攻击者仅依靠所窃取的数据便开始勒索。相比较而言,加密数据需要攻击者付出更高的成本,而窃取数据则代价更小。鉴于很多企业有备份数据,加密数据与公开被窃的数据相比反而对受害者威胁更小。因此,未来的勒索攻击将更加常见,且主要以泄漏数据为主。员工依然是安全防护的薄弱点。除了员工恶意地实施数据泄漏之外,还有相当比例的数据泄漏与员工的疏忽和安全意识不足有关。一方面,人为错误直接暴露信息,另一方面,无法准确地辨识威胁使得社会工程和各种钓鱼攻击能够得逞。泄漏的信息又增强了下一次攻击的欺骗性,这是一个恶性循环。2022年度数据泄漏态势分析报告建议19数据泄漏不仅仅是企业组织所面临的风险,也是国家层面
34、开展数据治理工作所需要解决的问题之一。2022年先后通过的 关于加强数字政府建设的指导意见、关于构建数据基础制度更好发挥数据要素作用的意见,以及 数据出境安全评估办法 的实施,都表明了国家对数据安全的重视,强调要平衡发展和安全,维护国家安全和社会公共利益。规避数据安全风险和满足合规要求,是保障企业正常开展业务的前提。如何合理地建设自身的数据安全能力,以较少的投入发挥出最大的价值,本报告给出了如下几点建议:在保证业务的同时,又要保证数据安全,最好的实践就是对数据进行分类分级保护。分类分级保护是数据安全治理的基础,也是我国 数据安全法 中明确提出的要求。通过数据分类分级信息,机构组织能够正确地评估
35、数据所面临的风险,能够根据风险的高低为不同级别数据制订有差异化的防护策略,将有限的安全资源发挥最大价值。数据分类分级工作通常需要注意三点:一、时效性。数据分类分级的结果是用来指导数据安全保护工作的,应该保证一定的时效性,如果分类分级结果反映的是半年前,甚至一年前的情况,那么分类分级的作用就会大打折扣。二、准确性。这一点的重要程度显而易见,但实际情况中,组织机构当前的分类分级结果质量仍有很大提升空间。采用更先进的内容识别技术,同时减少人为因素导致的错误,将会对提升分类分级准确性有极大帮助。三、持续性。数据资产的分类分级并不是一次性工作。一方面由于业务的驱动,企业机构的数据资产时刻都在发生变化,出
36、于安全的考虑,需要根据数据的分类分级信息定期更新数据安全策略;另一方面由于合规的要求,企业组织应定期提交包括分类分级信息的数据资产情况说明。建设持续的分类分级能力有助于企业机构以较小的投入满足上述要求。4.1 对数据进行分类分级保护2022年度数据泄漏态势分析报告20数据安全风险越早发现,其造成的损失就会越小。反之,无视风险的存在,甚至任由其发展,是对数据极其不负责任的行为。随着数字经济时代的来临,数据的流动成为常态。风险看不见,但不代表风险不存在。数据的风险贯穿于诞生到销毁整个生命周期,除了过去重点关注的数据存储环节,数据使用和共享交换环节的风险也同样惊人,因此,对数据安全的风险监控可以重点
37、考虑如下三个方面:一、安全措施稽核。主要监测数据是否按照分类分级结果进行了安全防护,例如敏感字段是否加密存储,个人隐私是否在使用过程中脱敏,重要数据是否有访问控制机制,数据存储环境是否合规等。二、操作行为监测。数据操作包括数据的访问、使用、共享等行为,数据操作日志则蕴含了丰富的线索,可以通过监测操作行为的时间、动作、IP、应用、内容、频率等信息,识别出高风险点,帮助安全团队采取措施减少风险。三、系统漏洞监测。定期对现有安全防护体系进行验证,通过漏洞扫描、渗透测试等方式发现防护体系中存在的安全漏洞,及时进行风险评估和处置。4.2 加强全流程数据安全风险监控数据上云使数据资源能够更加方便快捷的使用
38、,同时也带来了数据泄漏的风险。这主要是因为上云后的数据脱离了传统安全边界的保护,且对新环境下的数据安全风险认识不足。当前非常成熟的网络空间搜索技术,能够在全球范围内搜索到连接互联网的所有数据库,没有实施保护措施而将数据上云,几乎等同于直接把数据公开。因此,建议计划数据上云的企业可以从如下四个方面考虑数据安全的防护措施:一、对上云的数据进行分类分级,识别出高风险数据,并制定有针对性的防护策略。二、对业务进行梳理,明确数据使用的场景,关闭不必要的服务,仅允许可信的访问请求。三、建立访问控制机制,特别是对API的访问。需要梳理API所返回数据的敏感性,并采4.3 加强企业云上数据防护2022年度数据
39、泄漏态势分析报告21取审计、脱敏等访问控制措施。四、对数据进行防护的基础上,定期巡检自查,对安全策略和安全配置进行验证,防止安全策略未落地,或者安全配置错误。通过建设流程和制度,保障企业组织的数据安全能力持续发挥作用并不断优化。定期培训和宣贯数据安全技能,提升员工辨识钓鱼攻击的能力。对安全产品进行预防性维护,最大限度地提高现有安全工具和措施的有效性,例如安全产品补丁和升级,更新白名单、黑名单以及安全策略。定期进行脆弱性评估,任何配置的变更都要进行评估和验证。建立安全事件响应机制,定期演练。事后有分析和优化的流程。为防止再次发生,从事件中获取4.4 建立数据安全运营能力2022年度数据泄漏态势分
40、析报告关于闪捷信息22闪捷信息科技有限公司(Secsmart)是一家专注数据安全的高新技术企业,创新性提出“云管端”立体化动态数据安全理念,在业界率先将人工智能、前沿密码技术成功应用于数据安全领域,实现对结构化和非结构化数据资产的全面防护。产品范围涉及大数据安全、云数据安全、应用数据安全、数据防泄漏、工业互联网安全、数据安全治理以及数据安全治理服务等,已广泛应用于政府、电力、金融、运营商、医疗、教育等行业。闪捷信息由归国留学人员创办,创始团队具备全球数据安全视野和技术实践能力,以“让数据资产更安全”为使命,已拥有50多项发明专利和软件著作权,获国家保密局、国家密码管理局、国家信息中心、公安部等
41、权威机构认证。目前,闪捷信息已在全国设立2个研发中心和20多个分支机构,与国家应急管理部、国家互联网应急中心、中国人民银行、中国人保财险、国家电网、南方电网、中国电信、中国联通、腾讯等2000多家知名单位持续合作。闪捷信息秉持“征途路上、你我同行”的上海品茶,以满足客户需求为导向,愿与广大合作伙伴共建数据安全生态体系,以先进技术创新为数字经济发展保驾护航!2022年度数据泄漏态势分析报告附录23 附录A:MITRE ATT&CK框架侦察技术列表附录B:个人信息泄漏严重程度评估表侦察技术侦察技术子项主动扫描 收集目标主机信息 收集目标身份信息 收集目标网络信息 收集目标机构信息 钓鱼收集 搜索不
42、开放信息源 搜索开放技术数据库 搜索开放站点/域名搜索目标站点 IP段扫描、漏洞扫描硬件信息、软件信息、固件信息、客户端配置搜索目标站点社交媒体、搜索引擎WHOIS、DNS/被动DNS、数字证书、CDNs、扫描数据库威胁情报厂商、购买技术数据钓鱼服务、钓鱼附件、钓鱼链接业务关系、确定物理位置、识别业务工作时间、识别角色域信息、DNS、网络信任依赖、网络拓扑、IP、网络安全技术账号凭据、邮箱地址、员工姓名泄露数量真实个人信息100万 中高虚拟个人信息低低严重高2022年度数据泄漏态势分析报告24附录C:参考来源1.信息安全技术 网络数据处理安全要求 GB/T 41479-2022;2.信息安全技术 个人信息安全规范 GB/T 35273-2020;3.https:/