2018年萬豪酒店被曝發生了史上最嚴重的數據洩露事件之一,萬豪的股價已經從今年2月份的150.78美元跌至69.15美元(截止收盤時間4月1日),市值從500億美元減至不足250億美元,在全球因疫情影響大量酒店關閉期間萬豪酒店大幅裁員,緊接著又被爆出此次大規模的數據洩露事件,據悉約有520萬客戶信息受到波及。
萬豪國際在其數據洩露通知中回應,最近一次數據洩露事件始於1月中旬並一直持續到2月底,並且顯然沒有洩露支付卡信息。但是該違規行為確實暴露了電子郵件地址、郵寄地址和其他個人身份信息。萬豪說:“儘管事件的調查正在進行中,暫無信息表明此次洩漏數據涉及萬豪賬戶密鑰、支付卡信息、護照信息、身份證或駕駛證。”
(萬豪國際官方聲明:https://mysupport.marriott.com/)
不過兩次事件之間最大區別在於,此次萬豪國際更快的發現了入侵行為,從而防止了更多潛在客戶記錄被洩露。定期監控可疑行為和限制數據訪問權限是防止發生此類事件發生的有效控制措施,這對於組織加強網絡安全防範不失為一件好事。
數據安全主要面臨哪些挑戰?
· 爆炸性數據增長:數據正以指數級速度增長,數據安全保護的複雜性源於跨多個環境的新數據源和前所未有的數據規模;
· 新的隱私法規:等級保護2.0標準、通用數據保護條例(GDPR)、加利福尼亞消費者隱私法(CCPA);
· 操作複雜度:向雲端、大數據平臺和來自多家數據供應商的不同工具的遷移加劇了操作複雜性;
· 網絡安全技能短缺:組織已經在解決缺乏熟練的安全專業人員的問題,而且這種差距只會在未來幾年內逐漸擴大。
綜上,數據安全性使組織能夠保護投資收益比,遵守法規要求併產生客戶忠誠度。有效的數據安全性可以成為當今數字業務的關鍵差異因素。數據是幾乎每個組織的核心,在保護數據的同時還促進有效使用以提高業務價值是成功的關鍵因素。利益驅動著不法分子攻擊組織的數據庫,這之中包含個人身份信息、健康信息、支付卡信息和知識產權等,其範圍涵蓋數據點,例如社會安全號碼、地址、電話號碼、銀行信息、護照信息、病歷、保險信息等。據權威機構調研,近八成的消費者對企業信任持懷疑時不會購買旗下產品,據IBM Security2019年統計數據數據洩露已達2.5萬條的平均規模。
黑客竊取數據之後,是否有方法限制或者制止黑客的使用以防範數據倒賣呢?
一般被竊取後數據保護的難度比較大。一種手段是加密,如果數據真的竊取了,拿到的也是密文。數據被黑產竊取交易後,只要不拿到我們的秘鑰,就沒辦法使用盜取的數據。如果黑客拿走的是明文數據,就很難限制他使用。但是我們可以加入一些數據的水印,這樣數據被購買了之後,可以根據水印去進行追蹤溯源,知道是哪一些人掌握的數據是從這一批數據裡來的,可以起到震懾的作用。
細數黑產獲取公民信息的主要環節
(1)數據服務商:主要通過三種形式非法獲取公民個人信息,並進行進一步交易。第一種,企事業單位或電商、房產中介、快遞等服務業合法採集/獲取公民個人信息後,有“內鬼”與數據服務商交易。第二種是通過黑客入侵方式竊取(黑產界稱“拖庫”),或者收集洩露信息後嘗試批量登錄其他網站(黑產界稱“撞庫”)獲取更多、更精準信息。第三種是編造理由或者偽造釣魚鏈接等誘騙當事人主動提供/輸入個人信息。
(2)數據清洗商:購買大量公民個人信息數據/社交軟件帳號密碼,通過曬密等技術手段進行驗證和清洗,使數據更加精準。
(3)技術供應商:提供黑客入侵軟件等工具,以及撞庫、曬密等相關技術支持與服務。
(4)犯罪實施者:購買公民個人信息後,進行廣告推銷、惡意營銷、盜刷、電信網絡詐騙、敲詐勒索、騙貸、洗錢、綁架等。
在數據交易黑產交易鏈條中也不一定包含上述全部環節,有時候數據服務商獲取數據後也會通過暗網等交易平臺直接流轉至犯罪實施者手中。數據的價格主要是根據數據質量和鮮活程度來決定的。歷史數據一般打包出售,上萬條甚至只賣幾塊錢,鮮活的數據可以賣到每條几塊甚至十幾塊,一些定製的高價值數據如身份信息、學歷、車票、銀行流水等可以賣到每條數十至上千元。
怎樣制定安全策略,才能將安全性融入項目規劃?
組織合理使用工具關注安全策略,從而簡化流程並增強安全性,在提供對關鍵系統有效訪問的同時確保黑客無法訪問數據。但是,數據保護涵蓋的範圍可能更廣,組織可通過保留數據庫備份及時恢復運營。將安全性融入每個新項目中,確保客戶數據和公司的內部數據不受惡意攻擊者侵害。切忌將安全性視為附加條件,數據作為業務的核心,流轉於各個平臺之間,對於每項新的項目而言投資回報率和企業聲譽都同等重要。
嘶吼記者就萬豪酒店數據洩漏事件採訪了騰訊安全數據安全團隊的負責人彭思翔,對於數據安全組織應該作出哪些部署給出以下建議:
1)數據安全梳理。針對自己企業數據情況不同的階段,首先要了解自己有什麼數據,存在哪些環節,數據流動情況怎麼樣,誰在訪問這些數據,可能會流向何方。根據數據的具體情況,需要對照自身法律法規、等保合規的差距項,尤其是在個人隱私數據方向,是否有GDPR的需求、國內的等保合規等等。把這些差距項明確後,企業儘可能得出需要做到的控制點,比如在整個的生命週期、每個控制流程中,需要一個底層的管理制度,規定誰可以去用這些數據,受到怎麼樣的監管。
2)管理制度建設。目前數據流動的速度非常快,需要通過數據安全的產品把制度落地。這是騰訊安全介入的一個時間點,通過自動化的工具發現數據資產,幫助企業明確現在的核心數據在哪裡,與法律法規相關的數據在哪裡,誰在訪問。
3)解決方案落地。我們有一些防護的產品,比如數據庫的保護、訪問數據庫安全的訪問代理等等解決方案,可以選擇來保護數據安全。
4)安全運營。進入到數據安全底層的階段,整個數據安全是持續性的,制度和產品部署後,需要對企業整個數據安全的現狀進行持續的更新和梳理。除了人員、運維和整個制度的持續性落實外,還需要自動化的數據管理工具,幫助實現這些能力。
閱讀更多 嘶吼RoarTalk 的文章
