2019年,多起重大数据泄露事件几乎席卷全球用户。从上半年的苹果iOS 12.1重大漏洞曝光导致FaceTime通话可被窃听,到以“注重隐私”为卖点的美国邮件服务提供商 VFEmail 积累了近20年的数据以及备份均被黑客销毁,再到后来的英特尔处理器Spoiler高危漏洞曝出、涉5.9亿份中国企业简历信息泄露、Facebook证实4.19亿用户的电话信息被泄出......桩桩接踵而至,毫无喘息间隙。
我们正处在一个大数据时代,每天大量涉及个人隐私、财产信息和行为轨迹的数据在互联网上存储和传输,保护数据安全的重要性不言而喻。据IDC发布的《数据时代2025》报告显示,全球每年产生的数据将从2018年的33ZB增长到175ZB,相当于每天产生491EB的数据。2016年全球共发生数据泄露事件1673起,造成7.07亿条数据泄露,而仅仅两年后这一数字就猛增至4600起和35亿条,不断引发社会各界对网络安全的担忧。
对于数据安全来说,既要见微知著,也要举重若轻。企业产业互联网的升级上云,只是数据防护的第一步,想要真正实现全生命周期防护则需要内外兼“修”。传统的安全架构中,企业较多依赖特征匹配的模式,这种模式中的防护设备需要先将某个攻击事件写入特征库,然后才能防御这个攻击,而且安全设备特征库的数量极为有限,所以最大的问题在于滞后性和局限性,防护方永远落后于攻击方。在上云过程中,对数字资产的控制力和了解程度也非常弱,很容易因攻击而导致严重的数据风险。
那么如何转后手为先手,让安全变得更主动、更前置?又该如何从零开始建立数据安全防护能力?坐拥全球最大规模数据的腾讯又有哪些经验可以借鉴?腾讯安全联合CSDN、云+社区打造的「产业安全专家谈」第十一期,邀请到腾讯安全数据安全负责人彭思翔,为我们进行了详细地解答。
彭思翔,腾讯安全数据安全负责人,人工智能专业博士、数据安全专家。自2017年加入腾讯以来,在腾讯云数据安全方面积累了丰富的经验,打造了数据安全产品线,从内、外、与生态三个方面保护腾讯云租户的数据安全;通过AI技术创新,为腾讯云客户构建了数据安全解决方案。
Q:在普遍上云的时代,数字安全呈现了怎样的变化趋势?
彭思翔:计算机数据规模和计算速度超200万倍的提升,赋予了安全新的定义与挑战。GDPR、等保2.0等法律和政策的陆续出台与实施,进一步夯实安全屏障,提升了全社会的网络安全意识,但安全威胁也发酵出更为多元的形态与特征。
在云时代,随着企业产业互联网的升级,业务系统产生的数据越来越多,数据的价值越来越大,而且数据的形态也变得多种多样。以前,很多企业只是将数据作为资料进行存储,但是现在数据正在参与到企业的生产当中,成为企业的重要生产资料甚至是核心资产。也因此,数据所面临的风险与日俱增,数据泄露给企业造成的损失也越来越大。数字安全风险一旦失控,对于企业营收、股价以及品牌形象都将造成重大的打击。
“黑客”和内部“无意识”用户仍是当前用户能感知到的主力安全威胁。其中,“黑客”通过邮件钓鱼、勒索软件、“挖矿”病毒等侵入手段,以利用企业或个人计算机算力赚取非法利益;内部员工“无意识”也可能带来机密数据的泄露。
此外,来自商业间谍和有组织犯罪“黑灰产”、恐怖分子以及国家层面的信息对抗呈现出显著上升趋势,带来了大量新的攻击技术和目标。据美国政府DNI(Director of National Intelligence)报告分析,具备发动信息战攻击能力的国家达到近40个。
与攻击主体拓展相对应的,是攻击技术的扩张。当前针对固件、硬件和供应链的攻击技术已逐步成熟,IoT/ICS等工业基础设施成为近年来备受青睐的攻击目标。包含无线电、网络协议攻击以及基于AI等在内的新型攻击技术也在研发探索中。在这样的背景下,针对企业和重要机构的数据安全和高危害攻击更为猖獗泛滥。数据显示,2018年的全球数据泄露量同比增长150%,攻击案例每年涨幅也接近30%。
Q:能否举一个典型数字安全风险导致企业遭受损失的例子,并说明企业应当通过怎样的手段避免数字安全风险?
彭思翔:某互联网文旅企业的用户信息泄露时间就是一个典型的例子,其开发人员为了个人简历更有含金量,将团队开发的代码上传到开源平台,上传的代码中包含了数据库的超级管理员账号密码,而这台数据库恰巧可以直接通过外网连接。因此,黑客获取了数据库的账号密码之后,直接连接到了数据库上并将用户信息全部拖走。从这个例子我们可以看到,该企业研发管理、代码质量管理、办公行为管理和数据库防护措施均存在严重问题。
数字化时代,企业数据一旦生产出来后就会进入传输、存储、处理、分析、访问与服务应用等各环节,且周而复始如同流淌的血液,而这些环节涉及到研发运维人员、最终用户、生态伙伴、服务器、办公终端、内外网络、大数据分析平台、云平台等,任意一个环节都面临着数据安全挑战,造成企业数据失血。
从2002年起,国内就出现了以防止敏感信息泄露为目的的防水墙系统,数据防泄密领域先后发展了主机监控与审计、桌面管理、终端安全、补丁管理、移动存储介质管理、终端准入等安全管理手段。目前这类手段就如同IDS、防火墙、杀毒软件一样,从网络边界、系统安全、设备管控的角度来保证内部信息不受外部的入侵、更多的是用堵的方式来堆砌高墙,把需要保护的信息给围起来。
但我们回溯分析近年来数据泄露事件可以发现,原因既包括黑客的攻击,也可能是内部工作人员、离职员工或是第三方外包人员的违法信息交易行为、数据共享第三方的数据泄露、开发测试人员的违规等,多种原因导致的数据泄露事件背后折射出的是,仅仅依靠单点防护难以达到真正的安全防护效果。
企业保护数据安全应该转向以数据为中心构建防护策略,并遵循数据流动的方向,构建基于全生命周期的安全防护。并且,在企业上云大潮的趋势下,讨论数据安全绝大部分要从云环境出发,云原生的数据保护技术和策略,也将成为当下及未来的主要防御手段。
Q:数据安全防护的重点和难点在哪里?
彭思翔:核心数据流的所有环节都是重点,而这个重点也是难点,因为要将数据流的所有环节进行梳理,包括人的管理、行为的控制、代码的健壮性等一系列问题囊括到数据安全的防护措施中是非常困难的。因此企业在数据安全建设时需要做全面动员,并具有强烈的改造业务的决心。
首先,是对数据进行分级。明确哪些是机密数据、敏感数据、普通数据,进而根据数据的不同等级,设置不同的安全策略;
第二个重点是数据在存储、传输、使用过程中如何应用加密技术以及脱敏技术进行数据的保护。尤其是机密数据需要持续性的保护,因为它们在企业内部和组织内共享,企业必须确保其数据库、文档管理系统、文件服务器在整个生命周期内正确分类和保护机密数据;
第三是在应用加密技术之后的秘钥安全问题。密钥是加密安全的核心,至关重要;
第四是数据安全的管理问题。
腾讯安全综合运用数据安全管理经验和数据保护技术打造了数据安全治理中心、数据加密服务、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理等七大产品体系,针对性地在数据全生命周期每个阶段提供保护,帮助用户克服数据安全防护的“四大难”,助力企业快速构建数据安全防线。
Q:能否详细介绍一下数据的全生命周期防护?与传统的数据防护手段相比,全生命周期数据安全的优势在哪?
彭思翔:传统的数据防护诞生于数据系统还相对简单的时代,当时的数据主要存储在数据库中,因此传统的数据防护就是对数据库的防护。数据全生命周期防护是一种深入数据流的防护手段,其从数据的产生、传输、存储、处理、共享、使用、销毁等环节入手,建立了一套全生命周期的防护措施。这种贯穿始终的防护模式能够避免木桶原理,防止一个短板导致企业数据安全全盘崩溃。
Q:腾讯自身数据安全防护的能力,是否可供行业借鉴通用?
彭思翔:腾讯自身数据安全防护的能力,是深度结合业务而打造的定制化解决方案,因此自身数据安全防护能力和对外输出的数据安全防护能力保护的对象不同。对外输出的能力主要作用在腾讯对外输出的数据系统方面,如WeCity的数据中台安全解决方案就是用于全流程的保护智慧城市中海量数据的定制化解决方案。
腾讯安全通过应用AI技术,让数据安全审计更加高效精准。通过机器学习与深度学习,将员工日常操作中的每一次行为都记录并抽象成行为模型,了解其与敏感资产的交互规律。当其开始访问正常工作中用不到的敏感信息时,会与平常行为轨迹产生偏差,腾讯云会进行直观展现与预警。而当该员工实施数据窃取时,腾讯云也会实时告警并收回其数据访问权限,及时止损。同时,事后腾讯云也会针对暴露的安全漏洞给出改进建议,持续提升企业数据安全防护等级。即使像“蚂蚁搬家”这样隐秘的数据窃取操作方式,也能被及时发现和预警。
除AI外,腾讯安全还会应用大量前沿的安全技术,例如抗量子加密算法、在大数据容和计算中应用K匿名脱敏算法、密文求交集等。
Q:对于传统企业来说,如何从0开始建立数据安全防护能力?最迫切和最关键点是什么?
彭思翔:安全问题归根结底是“人+方法+工具”的综合作用结果。企业从0开始建立数据安全防护体系的最迫切关键点是数据与业务的梳理,只有充分了解每个业务的数据流,才能梳理出数据的产生、传输、存储、处理、共享、使用、销毁等环节,并对这些环节的关键风险点进行分析,最终给出一个贴合业务的数据安全解决方案。上述过程就是一个完整的数据治理过程,因此云时代的数据安全与安全治理是密不可分的,企业应该通过建立一套全面的数据安全治理平台,以此来统筹业务数据流和数据风险管控,避免数据安全风险导致企业受到损失。
腾讯云打造了企业数据安全解决方案,在向企业客户提供服务时,充分发挥了腾讯过去20年积累的技术、人才、经验等优势,可以让企业极简快速地构建全生命周期的安全防护体系。腾讯企业数据安全解决方案通过与云上数据库系统,文件存储系统,大数据系统内核级深度对接,实现“按服务收费,一键开通”的同时,大大提升了防护范围和效果。提供审计,脱敏,加密,访问控制,数据资产发现等一系列功能,满足用户从等保合规,数据治理,综合防护,统一管控与管理咨询等各种需求。为用户提供“0”部署成本,“360度”数据保护的云原生数据安全解决方案。