企业数据泄密最大的威胁来自于哪里?
信息时代 “隐私”、“安全”等词语在我们的生活中逐渐占据了重要地位,随着人们对信息安全问题的重视,带动了安全技术飞速发展,很多厂家在数据安全市场竞争愈演愈烈,各种加密软件应运而生,包括对企业和个人都应用十分广泛的电子文档加密软件。
如今,利用各种软件、终端秘密获取用户各类信息早已不是秘密,现有的数据分析技术,让黑客很容易就能把零碎的信息聚合成完整的“待售商品”。另外,高级持续性威胁(Advanced Persistent Threat,APT )和“鱼叉式”攻击的广泛出现,不但让互联网阴云密布,更让机密业务数据泄露的可能性大幅增加。
2013年,知名企业或是互联网公司的数据泄露事件愈演愈烈,致使很多创新的产品信息、业务计划、客户资料、涉密数据信息都暴露在外。但Verizon的报告说明了更严重的问题,很多泄密事件都不是“受害者”自己发现的,社交网络、安全检测公司或者第三方媒体成为了数据泄露事件的“爆料人”。
针对数据泄露的特殊性及其可能为企业带来的长久影响,趋势科技(中国区)首席技术总监蔡昇钦认为:“亡羊补牢,为时已晚。受害者往往没有将精力和资金放在数据泄露监测上,极其糟糕的情况不断发生,在这些外泄数据可以从互联网上‘随意下载’的时候,IT部门才开始组织修补动作,但法律惩罚和信任危机有可能会让他们无法翻身。所以,与其在数据泄露事件发生后进行封堵,不如提前采取措施修补漏洞。”
那么,漏洞出现在哪里?威胁出现在哪里?哪个病毒开始在网络中泛滥?入侵者从哪条路径进入到数据中心?我们有什么样的措施避免威胁的扩大化?这一系列的疑问其实归纳起来,就是威胁的主动发现和智能阻断。
企业不希望关乎核心知识产权的文档、客户私密资料、商业计划离开内部网络环境,更加不允许在网络外部传递与交流。可是,现代组织不能拒绝互联网的交互,不能将机构封闭在一个信息孤岛,而BYOD网络和传统PC终端在外界通讯时都可能成为数据泄露的‘暗道’。因此,一旦攻击者伺机把恶意代码投放到公司网络内部,受攻击的目标必须要能尽快的加以侦测和控制,利用可视化的追踪工具来看看攻击者去过哪些地方、造成了哪些损害,这才是应对预防数据泄露最有效的操作。
以下通过几个事例来看看数据泄密对企业造成的危害有多大。
一、携程员工泄密事件
2015年5月份携程网发生重大故障,整个携程网瘫痪长达12小时。该事件让携程网直接经济损失超过1000万美金。后续事故调查表明,事故是由于离职员工越权操作导致!
二、Facebook数据泄密
2018年3月份Facebook发生重大数据外泄。该事件让Facebook市值直接蒸发360亿美金
三、小红书用户信息大面积泄露,50人被骗近88万元
信息外露的途径有很多,只要是牵扯到输入的地方,都有可能产生输出。众多消费者集体信息泄露,随后遭遇诈骗,发生时间集中,基本排除数据传输和消费者自身信息泄露的可能。“如果是网购平台大批量出现问题,第一有可能是他们的系统有漏洞,遭到黑客攻击,窃取了用户信息;第二也有可能是内部人员非法兜售用户的个人信息。”
上述案例仅仅是近年来发生的几十万起案例中的几个。但从中我们却不难发现,企业的重要信息泄露更多的来自于企业自身对信息安全的重视度不够,缺少相应的安全防范系统及机制导致。这些事件虽然很明显是部分员工个人的行为与错误,却对企业经营、信誉及自身价值都造成了不可估量的巨大损失。毋庸置疑,内部威胁已经成为企业信息安全漏洞的最大原因。
互联网企业信息安全最大的挑战是人,包括内鬼和事实上的卧底。因为传输工具在先进,都是人为去操控的。因此,如何对企业内部数据进行集中权限管理呢?有没有什么方式可以把数据文件锁起来,或者被拷贝下载脱离环境就不能被阅读查看?答案肯定是有的,数据防泄密系统就可以完美解决这个问题,即透明加密软件。有价值的数据文件被高强度加密存放,企业内部人员无须解密成明文即可对高强度加密过的文档进行查看、编辑、修改、打印等操作,文档始终以高强度加密方式存放,但是数据文件无论以何种方式,何种途径泄露,始终是密文,从而保障企业核心机密不被非法窃取或直接泄露。
随着互联网应用的普及和人们对互联网的依赖,互联网的安全问题也日益凸显。恶意程序、各类钓鱼和欺诈继续保持高速增长,同时黑客攻击和大规模的个人信息泄露事件频发,与各种网络攻击大幅增长相伴的,是大量网民个人信息的泄露与财产损失的不断增加。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄露。包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。人为倒卖信息、PC电脑感染、网站漏洞、手机漏洞是目前个人信息泄露的四大途径。个人信息泄露危害巨大,除了个人要提高信息保护的意识以外,国家也正在积极推进保护个人信息安全的立法进程。
保障核心数据安全,防止机要数据外泄是企业在现代化的信息安全建设中,必需要落实及规划的重要工作之一。信息数据的安全,关乎着企业的长期盈利能力,加强巩固企业的核心竞争力,帮助企业维护市场领导形像,保障企业市场财务等业务体系的安全。可以说,核心数据的安全,是企业长久、安全、高效运作的基础。
数据防泄密系统还拥有高度的集中管理、集中策略控制、灵活的分组(部门)管理机制。企业可以根据实际的需求对不同的部门设置不同的加密策略及相应的控制策略。相信数据文件在全程高效保护下,就算是在厉害的"内鬼",在没有权限和审批解密下也只能望而生叹了。
广州博睿勤是一家成立了16年的信息安全研发企业,是国内较知名的加密品牌。产品功能与公司资质都比较齐全,但更让人印象深刻的就是博睿勤公司无微不至的服务与坚持。