重保时刻|内鬼难防、风险敞口放大……数据安全如何应对重保大考？

数据安全无小事，重大时刻尤其如此！

2016年里约奥运会期间，政府和赞助商网站遭到APT攻击，大量数据泄露。

2020年东京奥运会开幕前，官方网站出现账号及密码泄露事件，黑客可访问购买者的姓名、地址、银行账户等个人信息。

2022年4月，国家安全机关公布，有间谍窃取我国电信运营商、航空公司等单位的部分数据并发送至境外，严重威胁到我国关键基础设施的数据安全。

2022年7月，黑客组织Rahdit公布了乌克兰国防部情报总局1000名雇员数据。据报道，这是自俄乌冲突以来乌情报部门最大规模的一次数据泄露。此前，Rahdit曾曝光了700名乌克兰安全局人员的数据。

……

可见，针对重要时期网络安全保障服务（简称“重保”），已经是数字经济时代政企客户的必修课。

01

重保期间，数据安全面临着三大威胁

• 首先是“内鬼”难防，特权账号极易被利用。

美国威瑞森的统计显示，数据泄露事件，82%和内部人有关。同样根据 Haystax于2019年发布的网络内部安全威胁报告，内部威胁已成为数据泄露的第二大原因。

以今年国内某家大型地产公司为例，一位管理AD域的员工离职后把账号密码贩卖给竞争对手，然后竞争对手用这个账号登录到该公司内网，把这家地产公司的经营数据一股脑儿全部拿走，最终给这家地产公司造成了重大损失。

图 调研单位目前基础设施资源存在的账号管理方面的问题和痛点

• 其次是API成为数据安全最大风险敞口，以及攻击者的重要入侵通道。

2020年，微博的3.5亿数据泄露；2021年4月，Facebook平台5亿用户数据泄漏；2021年6月，著名社交平台LinkedIn领英有超过7亿用户数据在暗网出售，这些都和API安全问题密不可分。

API接口是数字系统的神经元，具有联络和整合输入信息并传出信息的作用。以健康宝为例，公安部的身份系统给开发健康宝的企业开放了API接口，能实现身份认证。行程码也是如此，运营商给开发行程码的企业开了API接口，能实现位置定位。伴随着API经济的快速发展，针对API的攻击行为越来越多，通过API接口盗窃数据已成为网络攻击的重点。

图 数据来自Imvision《Enterprise API Security Survey》报告

• 最后是缺乏全局的风险感知能力，面对数据泄露总是后知后觉。

据IBM发布的《2021年数据泄露成本报告》显示，2021年识别一起数据泄露事件平均需要 212 天，遏制一起数据泄露事件平均需要 75 天，总生命周期为 287 天。可见，企业面临的最大挑战，是难以及时发现数据安全风险，缺少有效的风险检测能力，总是陷于“事后补救”式的被动响应。

DT时代下，数据资产分布广泛，数据流动路径复杂，数据违规风险隐蔽，这些都导致数据泄露事件成因复杂交织，既有外部攻击，也有内部威胁；既有技术漏洞，也有管理缺陷；既有新技术新模式触发的新风险，也有传统安全问题的持续触发，因此，单纯依靠传统的被动式的防御措施根本无法抵御蓄谋已久的数据安全攻击行为，任何基于“单点”防御的体系都难以避免被欺骗或绕过。建立一套全局的数据安全态势感知运营中心来指导数据安全体系建设，才是解题之道。

02

关键时期不放松 政企客户需落实三大举措

目前，数据安全已引起了国家相关部门的重视，数据安全已经进入了强监管的新阶段，先后发布了《数据安全法》、《个人信息保护法》、《数据出境安全评估办法（征求意见稿）》、《网络数据安全管理条例》（征求意见稿）；今年6月，又发布了《关于开展数据安全管理认证工作的公告》，进一步将数据安全从法律法规层面，推向了监管落地层面。

重保期间“确保数据不出事”，无疑是实现网络安全“零事故”的标准之一。面对日趋严峻的外部网络安全形势，国家对网络安全的监管保障要求日趋常态化和严格化，奇安信提供了完整的重要时期网络安全保障方案，其中在数据安全方面，重点解决好来自内鬼泄密、外部攻击，以及全局感知等三方面挑战。

• 在“防内鬼”方面，核心是管好特权账号这把通往企业数据大门的“钥匙”。其中包括对特权账号的开设、使用、注销进行全生命周期的统一管理；治理“一号多用”现象，一经发现立刻降权；解决“账号弱口令”问题，用密码保险箱实现“一次一密”，防范密码泄露和身份仿冒风险。同时，通过堡垒机，实现所有账号对数据访问的安全管控；通过数据库审计，确保一切数据操作行为可追踪、可溯源。
  
  
  
  
  
  

图 特权账号管理系统（简称PAM）

• 在防外部攻击方面，核心是依托API安全卫士，给API上锁。一个中型数字化企业中的API接口数量可能多达数万个，通过API接口盗窃数据已成为网络攻击的重点。奇安信的API安全卫士可以识别网络中的API资产信息，监测并预警API传输中的敏感数据，及时发现API的异常行为。
  
  
  
  
  
  

• 在全局风险感知方面，奇安信可依托数据安全态势感知，构建全链路风险感知能力。数据安全态势感知运营中心能够主动扫描数据资产，识别敏感数据，建立敏感数据分布态势。借助全流量深度解析，自动梳理涉敏资产如涉敏账户、涉敏接口、涉敏应用等，建立敏感数据流动态势。同时，它还内嵌了多种数据风险感知策略与行为基线学习模型，及时发现可疑行为，建立数据安全风险态势。
  
  
  
  
  
  

图 奇安信数据安全风险态势感知视图

03

安全服务+情报能力加持 为“不出事”配上双保险

如今，数据成为生产要素，数字经济成为经济发展的核心驱动力，与此同时，数据要素加速流通、共享，带来了前所未有的数据安全风险，甚至和国家安全、社会安全息息相关。而重保时期的数据保护，无疑是所有政企单位必须面对的安全“大考”。

部分图片来源于网络，点击阅读原文查看重保专题

原文始发于微信公众号（奇安信集团）：重保时刻|内鬼难防、风险敞口放大……数据安全如何应对“重保大考”？