盡管數據安全已得到了全行業的重視,但作為一個涉及多維度的復雜領域,企業在數據安全保護和治理方面依然面臨很多挑戰。在近期舉行的“2022年國家網絡安全宣傳周”上,數據安全再次成為社會關注焦點。瑞數信息作為應用安全和數據安全領域的專業廠商,對企業如何做好數據安全給出了相應的建議。
數據安全的法律定義
在《數據安全法》出臺之前,有關“數據”“數據庫”以及“數據安全”等提法,已經在一些法律法規中有所體現。但是,法律意義上的數據安全到底是什么?數據處理的義務邊界在哪里?
對此,《數據安全法》第三條規定:“數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。”具體而言,做好數據安全需要做很多事情,需要針對數據的收集、存儲、使用、加工、傳輸、提供、公開等各個環節進行數據安全風險的監測、評估和防護等,也需要用到權限管控、數據脫敏、數據加密、審計溯源等多種技術手段。
目前,市面上已有很多單點的安全技術或數據技術,能夠針對數據處理某一個環節提供服務。但隨著數據領域的不斷發展,這些單點技術之間缺乏聯動,也覆蓋不了廣闊的數據處理環節,很難達到國家數據安全的監管要求。
如何應對合規要求,建立與《數據安全法》等法律法規相適配的防護策略和技術支撐,成為各大企業數據安全落地的首要挑戰。
構建應用數據安全的主動防御體系
瑞數信息指出,《數據安全法》明確提出了兩個較新的數據處理環節——提供、公開,這是企業數字化深化過程中出現頻率越來越多的使用和處理環節,也是近年來數據泄露風險最常發生的環節。
《2021年數據泄露調查報告》顯示,80%的數據泄露來自外部,61%的數據泄露牽涉登錄,39%的數據泄露事件由Web攻擊導致。這表明企業在提供和公開數據時,面臨著眾多的數據安全風險。
這是由于企業互聯網化進程的不斷深入,使得越來越多的業務被遷移到互聯網上,大量的應用數據被產生、傳輸、公開、共享。與此同時,新一代應用通過 Web、H5、App、API、微信和小程序等多種業務渠道接入,導致應用敞口風險和鏈條管控難度加大,各類變化多端的撞庫攻擊、暴力破解、爬蟲攻擊、API接口濫用,也導致企業數據泄露風險加劇。
正因如此,瑞數信息基于數據的傳輸、提供、公開等關鍵生命周期節點,推出了基于多種安全技術打造的“應用數據安全主動防御解決方案”,以保障應用數據傳輸安全,防止API敏感數據泄露、實現對應用身份信息防護、惡意爬蟲防護。
數據傳輸環節:動態混淆技術,保障數據傳輸的保密性和完整性
瑞數信息通過動態混淆技術,實現對應用代碼、Cookie混淆,有效防止攻擊者分析應用代碼,盜用 Cookie 獲取身份信息,提高攻擊門檻。同時,對數據傳輸進行動態混淆,防止攻擊者攔截數據傳輸的報文發起中間人攻擊,有效保證數據傳輸的保密性和完整性。
數據提供環節:API敏感數據管控,防止API敏感數據泄露
近期大規模數據泄露事件都和API接口有關,API接口的敏感數據管控成為各企業數據安全建設重點。瑞數應用數據安全主動防御系統,通過API敏感接口自動識別、敏感數據和攻擊檢測、訪問行為分析和異常處置,實現API敏感數據泄露防護。通過API資產自動發現和建立數據訪問API的安全基線,對可能造成批量數據泄漏的API濫用、API異常數據獲取等行為進行數據安全風險識別和管控。
數據公開環節:人機識別技術,實現身份信息防護和爬蟲攻擊防護
瑞數信息能夠通過人機識別、行為分析、按需攔截等技術,對Web、APP、小程序、H5、微信、API等全業務接入渠道,實現對外掛和數據爬蟲的防護。
有數據顯示,超過60%的數據泄露和賬號有關,隨著大量數據泄露事件的爆發,黑產社工庫積累了大量的賬號和密碼數據,攻擊者編寫腳本對企業登錄頁面和接口,批量發起撞庫和暴力破解攻擊。瑞數應用數據安全主動防御系統,通過“人機識別”技術和內置的各種業務威脅模型,透視撞庫和暴力破解行為,實時攔截攻擊行為,防止由于賬號泄露造成的進一步數據泄露。
爬蟲是交互數據類應用和公開數據類應用的主要威脅之一,也是各種應用數據泄漏的的主要
途徑和入口,攻擊者通過編寫爬蟲工具,批量爬取敏感數據。瑞數應用數據安全主動防御解
決方案,通過人機識別和可編程對抗技術實現對各種自動化工具的識別,提供實時和深入的
Bots攻擊抵御,有效防止爬蟲攻擊。
守住數據安全“最后的防線”反勒索
由于數據對企業的價值越來越高,數據也已經成為勒索病毒主要的攻擊目標。據Sophos發布的“2021勒索軟件報告”顯示,因勒索軟件攻擊而挽回損失的平均總成本預計在2021年同比會增加一倍多,且成本增加的趨勢在未來十年都不會緩解。
毫無疑問,隨著勒索軟件的攻擊手段越來越復雜,防御措施也受到了更大挑戰。傳統的安全防御一般將重心放在網絡邊界和應用、主機側,它們的作用是防止勒索軟件入侵、阻斷勒索軟件擴散。然而,勒索軟件具有很高的隱蔽性和偽裝性,一旦進入網絡/主機層后,往往攻擊者會潛伏很長時間,在獲取更高的權限并掌握大量關鍵數據后才會發起勒索,此時網絡/主機層往往已經無法阻止勒索攻擊。
為了守住數據安全“最后一道防線”,對關鍵數據進行實時的安全檢測和備份刻不容緩,而這正是《數據安全法》對兩大數據處理環節——存儲、使用的安全要求。
事實上,傳統的災備系統已無法滿足勒索軟件攻擊場景下的安全需求,由于傳統災備定期對全量數據進行備份,一方面不能完全識別備份數據是否健康、是否可恢復、是否完整,一旦原始數據被感染,災備數據同樣會被感染,導致數據無法使用;另一方面,備份數據量巨大,恢復周期漫長,無法保證業務的連續性。
基于此,瑞數信息推出了國內首個數據安全檢測與應急響應系統(DDR),定位于企業核心數據備份、快速恢復備份數據,正是數據反勒索“收官的防線”。
數據存儲環節:備份數據安全隔離、安全存儲
盤點數據資產與排查系統隱患是做好數據安全的第一步。瑞數DDR系統首先對企業數據進行健康體檢,基于創新的“深度文件內容檢測”技術,能夠高效生成企業數據完整性、數據資產分布及權限審計等報告,協作企業全面掌控數據資產的現狀。
在對企業關鍵數據進行備份后,瑞數DDR能夠對備份數據進行安全隔離,防止惡意軟件或黑客進行破壞或篡改。
其次,瑞數DDR系統具備安全儲技術,其防篡改保護功能,通過加密技術防止存儲中的數據泄露,同時可以按設定保留策略過期刪除,保留周期只可以延長不可以縮短。
數據使用環節:備份數據安全檢測、快速恢復
不同于傳統備份系統必須將備份格式轉化生產數據格式,恢復時間往往需要數天甚至數周,
瑞數基于創舉的”智能快速恢復引擎”,無論多大數據量,瑞數DDR系統都能夠自動生成可直接掛載的干凈磁盤鏡像,達到分鐘級的數據恢復,將業務中斷的時間降到較低。
這是因為瑞數DDR系統對備份數據的使用,都是備份數據的內部存儲快照,不需要數據合并、數據格式轉化、數據移動拷貝才能恢復。同時,對備份數據本身不做任何操作,也能確保備份數據存儲中始終有一份干凈的、未受感染的數據用于恢復業務。
即便企業遭遇了勒索軟件攻擊,瑞數DDR系統基于創舉的“離線智能深度檢測引擎”,也能夠對勒索軟件攻擊過程中損毀的文件進行安全檢測,找到被勒索病毒感染的文件及感染時間點,協助安全管理人員快速移除勒索軟件,找出干凈可用的數據,讓企業隨時都有干凈可用的數據用于快速恢復。
總體而言,瑞數DDR系統的優勢在于防批量數據破壞、安全隔離備份數據、分鐘級快速恢復、生產環境低干擾、自動化可編排運維,能夠很好地突破傳統災備系統面對勒索攻擊威脅時的瓶頸,使得企業在關鍵數據的存儲和使用環節得到很好的防護,這種將安全檢測與數據備份融合的技術正是瑞數信息所獨有的。
結語
《數據安全法》正式施行一周年,政策、市場、行業、企業在數據安全方面都有了深刻的變革,同時也催生了各類新興安全技術。瑞數信息基于多年來對數據安全的認知和技術積累,針對數據全生命周期各階段面臨的安全風險,推出了一系列的安全解決方案,為企業直面數據安全合規和實戰化挑戰提供了有力的“兵器”。
京公網安備 11010502049343號