监守自盗频发 论企业数据安全内部风险防范之道

近日，一则内部数据安全案例进入大众视野，美国科技公司Ubiquiti在2021年1月曝出数据泄露事件，“攻击者”在随后的“谈判”中试图向该企业勒索近200万美元（50比特币）赎金以换回被盗数据。随着深入调查发现，该公司员工Sharp才是事后背后的始作俑者。近日，在铁证面前，Sharp已被判入狱六年。

媒体报道指出，Sharp原本是Ubiquiti的开发人员，后者为其支付每年25万美元用以保证其产品的安全稳定性，即Sharp原本的工作是企业安全的一部分，而作为本次数据安全事件的内鬼，Sharp监守自盗在自家的云服务器上窃取大量数据，并以勒索软件攻击为掩护实施非法行为，其一系列的精心策划直接导致Ubiquiti市值损失数亿美元。

进入数字时代，数据要素如何在企业内外安全流通，逐渐成为企业关注焦点，也推动了数据安全产业的高速增长。在合法合规要求的前提下，数据需要通过丰富的安全实践予以保护，这些保护措施不仅要关注外部风险，也需兼顾并不被广泛关注的内部风险。

据多家安全机构调研数据显示，来自企业内部的威胁通常要占到企业数据泄露事件的60%以上。分析其中原因时一部分归咎于员工无意识地疏忽行为，典型的比如移动存储设备未加密遗失，遭到钓鱼攻击，或凭据外泄，当前数字时代的数字应用滥用也是其中因素之一，比如第三方平台失陷导致服务账户泄露等。

企业内部威胁的另外一部分则是恶意的，即类似于Ubiquiti遭遇的内鬼行为。

在我国，一方面由于绝大多数企业并未意识到需要防范内部威胁，加上人为的法律意识淡薄等因素，近年来常发生员工主动恶意破坏类型的司法案件，其中又以离职员工“删库跑路”占比最高。其恶劣行径不仅让企业造成日常经营上的重大损失，自身也因触犯法律付出牢狱代价。

数字时代数据价值凸显，类似Ubiquiti遭遇的内鬼窃取行为在国内也有发生，只是性质存在不同，国内主要以窃取售卖为主，如根据网络安全媒体安全419此前报道显示：

●  2014年初至2016年，上海市疾控中心工作人员窃取30万余条新生儿信息并出售牟利。

●  2016 年，智联招聘经营方公司员工向外兜售用户简历信息超15万条。

●  2017年，58同城客服人员勾结外人，盗窃1176个账户贩卖获利，造成客户损失上百万元。

●  2019年，河南开封市社区、物流等多部门内鬼通过微信群贩卖公民个人信息超1亿条。

●  ……

综上所述，数字时代，企业核心竞争力之一已变成应具备掌控、利用以及保护数据的能力。企业需要在数字时代建设自身的数据安全能力，以不仅防范来自外部的攻击，同时也需要平衡解决内部的多样性的安全风险，以全面确保企业自身的数据安全。

企业需要平衡内外部数据安全风险，并为之建设相应的监测与防护能力。在此之前，企业需要了解面临的主要问题是什么？即企业数据安全建设的核心痛点，才能对应建设整体的数据安全能力。

进入数字时代，企业需要管理的数字资产越来越多，其面临的现状是数据资产多源存储，数据格式复杂，增量大，且难以全面管控等诸多难点。企业需要安全的管理数据，首先需要做的就是高效梳理盘点存量数据，并实时拓展增量数据部分。

数字化业务的特点是高效敏捷，从而支撑数字业务的爆发式应用增长，但在应用一些新技术的同时，传统的安全产品也将失效，企业需要重新梳理数字化业务架构下的数据边界，洞悉数据在链路中的风险点，并建设全链路的风险监测能力。

数据流动是数据成为生产要素的前提，数据存在本身的应用、交互、共享环节，服务于内外部各级对象。现状是绝大多数企业在数据流动环节的权限管理过于粗放，并缺乏数据跟踪和动态防护能力，特别是内部权限管理方面，易对数据的流转效率和安全造成影响。

企业面临的数据安全风险存在不同等级，企业通常可以观察捕获一般的安全风险，但缺乏对高对抗性的风险应对能力。如高级威胁者可以通过加密、压缩、变形等方式，实现隐形的数据窃取，这需要企业应具备更高等级的数据安全可见性。

再来评判Ubiquiti遭遇的自家员工蓄意数据泄露事件，我们就会发现企业缺失的主要就是对风险的监测能力和对流动数据的保护能力。该起事件当中，员工利用拥有的管理员权限窃取数据，企业通常在这方面没有技术手段进行跟踪和干预，这也让企业最终付出惨重代价。

为充分发挥数据价值，释放企业在数字时代的核心生产力，企业管理者需要明确知晓：我的数据在哪？数据由谁使用？处于流动中的数据使用行为是合法的还是非法的？数据在使用路径中的风险是什么？数安行基于数据流动全生命周期风险监测与防护，提出DataSecOps（数据运营安全）理念，以梳理多源数据资产，建立敏感数据资产全景视图，并监测员工的数据使用行为和数据流向等视角自动评估各环节上的安全风险，相比传统网络边界防护理念，其执行更加主动的防御策略，可为兼顾内外部数据安全风险提供参考。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。