被泄露的数据正在被非法价值化

数据作为发展要素之一，其价值也在非法市场中得到肯定，数据泄露问题因此日趋严重。早期，不法分子利用撞库或爬虫工具等方式获取用户信息后，在黑市上直接售卖，或从事非法商业行为。比如前几年用户的QQ或微博等社交媒体平台会自动添加一些陌生人为好友等。

近两年，这一现象更为突出，且在一定程度上“资产化”。比如近日上海市闵行警方查处的某技术公司，涉嫌非法销售直播平台的直播数据，帮助其他主播获取竞对信息。数据质量也备受关注，一些政府部门的数据一度是泄露案件重灾区。

这些数据到底是如何被泄露的？如何有效解决数据泄漏这一安全问题是个人、组织、企业、政府都必须关注的问题。

01

哪些数据正在被泄露？如何泄露？

数据泄露是数据安全问题之一，也是当前各界关注的重点。从概念上来看，数据安全是保护数字信息在其从创建到销毁的整个生命周期中免遭未经授权访问、意外丢失、披露和修改、操纵或损坏的做法。

它包含三个要素，分别是机密性(Confidentiality)、完整性(Intergrity)和可用性(Availability) ，即行业内大家所提的“CIA”。三要素中的任一要素遭受损害，公司都可能面临声誉和财务损失。

据IBM发布的数据泄露成本报告显示，2020年和2021年的数据泄露的平均成本分别是386万美元、424万美元，2022年创下历史新增长至435万美元。其中，医疗保健领域的平均数据泄露成本高到1010万美元，是所有行业中成本最高的，其次是金融机构（597万美元）和关键基础设施组织（482 万美元）。

成本高居不下的背后是数据泄露实践频发，近两年，阿里、滴滴、微博等数据均遭受不同程度的泄露。在国内互联网巨头的技术之下，这些数据到底是如何泄露的？

常规来看，以泄露数据的主体为参考，包括主体内和主体外两个渠道的泄露源头，内部主要以人员、错误操作等人为因素为主，外部包括利益相关者、以及其他以不法分子为代表，主动获取数据。攻击的方式包括使用被盗凭据、后门（恶意软件）、勒索软件、网络钓鱼和漏洞等。

泄露的数据也从“大众数据”的量向“特征数据”的质发生变化，据Verizon发布的《 2020 Data Breach Investigations Report 》报告，2008年的报告中，泄露的记录数量是首选指标，内部泄露的中位数为375,000条，今年仅为 80,000 条。现在我们已经进入了 21 世纪，影响力的货币是不断被提及的指标，现在攻击者可以通过更多方式将数据货币化。 

而从泄露主体的内部来看，人是最为重要的因素，无论是使用被盗凭据、网络钓鱼还是一个错误，人在数据泄露事件和违规行为中是核心。

02

对一切“零信任”

随着技术更新，远程办公场景常规化，企业的安全边界开始模糊。极盾科技解决方案总监龚磊在DataView数据科技研究院研讨会上曾表示：“与传统网络安全不同，因为数据是在不断流动的过程中使用，会在不同的边界领域内不断的动态流转，它没有办法像网络安全那样不断地去构建安全边界。”

为了解决数据泄露这一安全问题，“零信任”这一理念在2010年在Forrester的白皮书《No More Chewy Centers：Introducing The Zero Trust Model Of Information Security》中被提出，也就是现在知名的Zero Trust eXtended（ZTX）框架，即零信任的构建要以数据保护（Data）为中心，同时对能够访问数据的元素也要进行保护。

2017年，Gartner的一位分析师提出了CARTA概念，即从预测（Predict）、预防（Prevent）、检测（Detect）、响应（Respond）这四个方面对企业的人员、设备、应用、数据和工作负载进行持续的风险评估。

简而言之，零信任就是“永不信任，持续验证”身份、行为和环境。在国内，腾讯是第一批进行零信任实践的厂商，并且在2020年初疫情爆发时期实现了每日10万设备接入的全员远程办公实践。目前，国内有众多厂商已布局这一赛道，包括深信服、奇安信、网宿科技、安恒信息等。

零信任的落地，在一定程度上解决了由人为因素造成的数据泄露问题。针对外部的攻击，因为“敌人未知”，无法主动攻击，但可以基于零信任理念，从“被动抵御”向 “主动防护”演变。比如极盾科技推出了基于“零信任”的应用数据安全内控平台整体框架，整个框架是基于零信任的理念，最终保护对象是动态使用过程中的数据。

当前，零信任在数据安全领域备受关注。根据Gartner最新公布的网络安全重要趋势预测，到2025年，60%的企业机构将把零信任作为安全工作的起点。