2022 年网络安全:关注质量》报告中对数据安全热点和趋势的解释
全文共2576字,阅读大约需5分钟。
近日,绿盟科技发布《网络安全2022:守望高质量》报告,报告集合了绿盟科技在区域威胁、漏洞态势、恶意软件、数据安全、物联网安全、工业互联网安全和5G安全等方向的网络安全观察。其中,数据安全是国内外讨论的热点话题,2021年有太多数据安全事件值得回顾和盘点,如大规模泄露与国内源代码泄露、《数据安全法》和《个人信息保护法》双双实施、国内数据安全执法“重拳出击”、“隐私增强计算”技术发展迅速。本文基于报告数据安全观察相关章节,从国内外数据泄露、数据安全监管及数据安全技术三个维度进行解读。
数据泄露事件频发,数据安全形势严峻
观察1:2021年全球大规模数据泄露事件频发,黑客攻击、互联网暴露与配置错误等成为造成该问题的主要元凶。
据Risk Based Security(RBS)机构的数据泄露报告显示,2021年度全球公开披露的数据泄露事件有4145起,共导致227.7亿条数据泄露。庞大的数字触目惊心,安全问题不可忽视。从RBS报告披露情况来看,大部分事件与黑客攻击、病毒、Web暴露和邮件泄露等原因有关。
数据安全泄露事件的原因分析[1]
其中,大规模数据泄露事件频频发生,其中包含亿级别的个人信息和敏感数据。究其缘由,黑客攻击和Web暴露也是主要原因。
大规模数据泄露事件
建议:为了降低数据泄露风险,企业可采取以下多重安全措施:(1) 定期开展安全意识培训,提高员工对数据安全风险的认知和警觉;(2) 梳理重要数据服务器与资产,围绕数据资产开展安全防护措施,如定期进行漏洞扫描与配置检查、更新软件补丁、进行身份权限管控、部署数据库防火墙等;(3) 对敏感数据进行全生命周期的安全防护,如采取敏感数据发现、分类分级、数据脱敏与效果评估、数据加密、隐私计算等安全措施。
观察2:根据绿盟威胁情报中心统计,在2021年的源代码泄露事件中,金融和*行业泄露形势最为严峻,其中绝大部分为包含账号密码、业务代码、服务器密钥泄露的高风险事件。
根据绿盟威胁情报中心统计,金融行业位居2021年涉及国内*和企事业单位的源代码泄露事件首位,占比44%,其次是*和能源行业,分别占比27%和9%。这些泄露代码会对组织和机构造成持续性威胁,攻击者可能利用泄露的源代码分析发现漏洞,并对系统安全进行渗透,上传恶意程序获取访问权限,从而窃取关键敏感信息,或进行勒索攻击,这些威胁隐患都将给组织带来不可预计的损失。
源代码泄露事件行业分布
数据安全立法监管不断强化
观察3:新的数据安全与隐私立法成为全球趋势。
根据联合国贸易发展组织(UNCTAD)统计,截至2022年2月21日,全球约80%的国家(共194个国家)已完成数据安全和隐私立法,或已提出法律草案,其中包括欧盟成员国、美国、中国、俄罗斯、印度、澳大利亚、加拿大和日本等。随着数字化转型的不断深入,数据安全与隐私问题形势越来越严峻,现代化的数据安全与隐私保护立法成为全球趋势。
全球数据隐私立法分布图[2]
观察4:2021年欧盟GDPR执法进入“深水区”,互联网、电信行业成为重灾区。
根据GDPR执法跟踪网站enforcementtracker.com相关统计,截至2021年11月26日,欧盟成员国在2021年共开出362件罚单,而2018年至2020年三年仅有491件。此外,2021年GDPR罚单的总金额高达约10.6亿欧元,而过去三年的罚款总额仅为2.4亿欧元,相当于以往三年的4.42倍。同时据该网站统计,GDPR单次罚款金额的最高前十名可以看出,世界三家巨头数字企业亚马逊、Facebook、谷歌均被高额罚款。从罚款企业的所属行业来看,互联网和电信行业已经成为重灾区,这与该行业的大型平台企业存储了大量个人隐私数据,以及面向用户的丰富业务有关,同时也侧面说明数字化和信息化程度高的企业面临着更大的合规压力,需要进行系统数据安全与隐私合规的建设和投入。
GDPR单次罚款事件金额最高企业及罚款金额
观察5:2021年国内《数据安全法》和《个人信息保护法》双双实施,配套法规、标准密集发布,相关法律法规逐步体系化。
我国分别于2021年9月1日和11月1日正式实施《*数据安全法》和《*个人信息保护法》。作为两部综合性法律,《数据安全法》更强调总体国家安全观,对国家利益、公共利益和个人、组织合法权益方面给予全面保护,《个人信息保护法》则更加侧重于对个人信息、隐私等涉及公民自身安全方面进行个人信息与权益保护。此外,2021年国内数据安全法规、政策、标准也密集发布。
2021年国内数据安全法规事件
观察6:2021年国内多部门、多领域开展数据安全执法,其中针对APP侵权和个人信息犯罪的执法是重中之重。
2021年国内数据安全执法事件主要集中于App个人信息侵权的整治和个人信息非法售卖。从执法部门应用的执法依据来看,在《数据安全法》和《个人信息保护法》发布之前,执法依据是一些分散在各个法律法规的条款。而当综合性的法规实施后,执法依据更加全面和具体,企业不得不重视数据安全与隐私的合规性要求。
2021年国内数据安全执法事件
数据安全创新技术不断涌现
观察7:数据隐私合规催生了丰富的数据安全需求与场景,同时给以联邦学习、安全多方计算为代表的新兴技术带来了巨大的发展机遇。
Gartner在《2021年隐私成熟度曲线》报告中预测:2023年之前全球80%以上的企业将面临至少一项以隐私为重点的数据安全保护规定;到2024年以数据隐私驱动的合规投入将突破150亿美元。由此可见,数据安全合规未来拥有广阔的市场需求与应用场景。
传统网络安全技术与手段如防火墙、入侵检测、身份认证等难以满足现有数据安全的需求,近年来数据安全技术不断推陈出新,新技术、新方法如雨后春笋一般不断涌现。据Gartner再次预测,到2025年60%的大型企业组织将在分析、商业智能或云计算中使用一种或多种隐私增强计算技术。其中,隐私增强计算(Privacy-enhancing Computing),在国内也通常称为隐私计算技术,是具有隐私保护能力的技术体系,包括一系列密码学和隐私保护技术,如安全多方计算 (Secure Multi-party Computation, SMPC)、联邦学习(Federated Machine Learning, FML)、机密计算(Confidential Computing, CC)、同态加密(Homomorphic Encryption, HE)、差分隐私(Differential Privacy, DP)和零知识证明(Zero-Knowledge Proofs, ZKP)等。在Gartner2021的隐私成熟度曲线中,这些技术大部分处于创新触发期,说明这些新兴技术未来仍有较大的发展与应用空间。
Gartner 2021年隐私成熟度曲线[3]
报告下载
在绿盟科技公众号后台回复“网络安全2022”可获取下载链接,在绿盟科技官方公众号中点击【绿盟精选】-【绿盟书橱】可直接阅读。
· 参考文献 ·
[1] RiskBasedSecurity, 2021 Year End Report: Data Breach QuickView.
[2] https://unctad.org/page/data-protection-and-privacy-legislation-worldwide
[3] Gartner, Hype Cycle for Privacy, 2021.
推荐阅读
-
2022 年网络安全:关注质量》报告中对数据安全热点和趋势的解释
-
澎湃新闻对话腾讯丁珂:从 "治已病 "到 "治未病",企业需快速构建 "安全免疫力"--丁珂指出,对企业而言,安全不是成本而是生命线 丁珂指出,对企业而言,安全不是成本而是生命线,也是商业 "硬币 "的另一面。在数字智能化的新阶段,发展驱动安全建设已成为普遍共识,企业需要转变安全思维,从被动建设到主动防御,构建一套新的安全范式和框架,以更加积极、主动的安全观来提升数字安全免疫力,以 "治未病 "的理念取代 "治已病",前置安全,快速构建 "安全免疫力"。对 "已病",前置预判,及时应对处置安全风险,才能维护品牌价值,保障健康发展。 与此同时,安全建设还普遍存在 "不知道往哪投、怎么投 "的痛点。对此,腾讯安全提出,企业可以按照数字安全免疫模型的框架进行安全全局部署,重点在业务安全、数据安全、安全运维管理、边界安全、终端安全、应用开发安全等薄弱环节的关键领域注入 "免疫增强针"。 今年进入公众视野的AIGC还在产业化、产品化的过程中,但大量攻击者已经利用它生成攻击脚本、钓鱼邮件,甚至伪造身份进行诈骗。"人工智能本身是否安全,会不会让网络更不安全? 腾讯安全研究认为,AIGC的风险主要集中在 "无法解释 "和 "无法追踪 "的特点上,但这在技术上是能够找到应对方法的。丁珂谈到,AIGC作为生产力的巨大提升,确实会带来更复杂的攻防态势和更大的防御难度。但任何新技术都要经历这样的周期。而法律法规也会随着技术的演进而不断更新,使新技术的发展更加规范和健全。 丁珂认为,随着我国网络安全法律法规体系的不断完善,合规性将给企业推进网络安全带来很大的推动力,并很直观地展现在需求端。未来,伴随着数据要素市场的建立或企业对数据价值的挖掘,也将带动数据安全市场的快速增长。 对于腾讯安全的商业逻辑和运营,丁珂表示,不谋求建立竞争壁垒,而是期望与生态共同发展,腾讯安全希望通过能力开放,实现安全与业务相伴的生态模式。 谈到未来,丁磊表示,安全领域已经进入加速发展期,在蓝海中会持续关注很多新的业务领域,希望孵化出新的商业模式,腾讯安全团队也会持续关注并抓住机会做好产品。 以下为采访实录(在不改变原意的基础上略有删减): 冲浪新闻:当前,以人工智能、大数据等新技术为驱动的第四次工业革命正向纵深推进,给人类生产生活带来深刻变革。而互联网作为新技术的载体,面临的安全挑战不仅数量越来越多,形式也越来越复杂。从互联网安全从业者的角度,腾讯观察到近年来国内外网络安全形势发生了哪些变化?这些变化呈现出怎样的趋势?