闪捷信息发布《2020 年度数据泄漏态势分析报告》
星期二, 三月 30, 2021
3 月 30 日,由闪捷信息安全与战略研究中心编制的《2020 年度数据泄漏态势分析报告》正式发布。
信息化时代,数据成为一种生产要素,但数字经济建设与数据安全之间脱节的现
象愈加凸显。数据泄漏总体呈上升趋势,云上数据泄漏、个人信息泄漏、勒索攻
击与数据泄漏融合的现象成为日益严重的安全挑战,为机构组织的数据安全防护
增加了难度。特别是 2020 年受新冠疫情影响,很多业务仓促上线,缺乏数据安
全防护,而通过疫情热点进行的网络钓鱼和 APT 攻击又更具欺骗性。
本报告通过统计分析 2020 年国内所发生的数据安全事件,试图揭示数据泄漏事
件与多种因素之间的关联性。报告结合全球数据泄漏事件的发展趋势,为读者呈
现 2020 年国内数据泄漏的态势全景,帮助机构组织预判数据安全威胁,为机构
的决策和行业发展提供前瞻性指引。
1.数据泄漏事件与疫情的严重程度存在一定关联
疫情期间,线上业务持续增长,线上教育、远程办公等场景都增加了数据安全风
险;为疫情防控需要,个人信息在收集、使用、存储等环节被泄露的情况时有发
生。
2.企业业务上云普及,云端数据存储增加,数据泄漏风险骤增
在已知数据源的数据泄漏事件中,Elasticsearch 占比最高,达到 25%。64%的泄
漏原因是没有正确的安全配置,36%的原因是毫无任何防护措施。
3.数据泄漏与数据勒索融合
以获利为目的的数据泄漏事件占所有泄漏事件特征的 80%以上,说明数据泄漏事
件仍然是利益驱动,2020 年勒索攻击+数据泄漏事件占所有数据安全事件的 15%,
成为常态化的数据安全事件,勒索团伙将泄漏的数据作为筹码,向企业索取高额
赎金,未来,勒索攻击与数据泄漏的区别将变得更加模糊,数据泄漏很可能伴随
着勒索,因此,防勒索方案应该融合数据防泄漏技术。
4.个人信息泄漏尤为突出
个人信息泄漏占所有数据泄漏事件的 60%。业务信息泄漏在数据泄漏事件中占比
为 37%,在泄漏的个人信息中,姓名出现在 45%的个人信息泄漏事件中,其次是
电话号码,占比为 32%。如果不清楚哪些数据需要保护,就无法正确评估数据风
险,会对数据安全缺乏足够的重视,或是对所有数据都施以最高级别的保护,造
成巨大浪费。泄漏的个人信息又会导致更多的数据泄漏,这种链式反应能持续产
生危害。
5.数据泄漏发生在数据生命周期存储阶段的占比超过 40%
互联网中的大量存储设备以应用软件方式来实现协同合作或数据访问。数据存储
的访问限制不当,就会导致内部人员因为合规意识薄弱造成数据泄漏事件。数据
使用阶段也是数据泄漏的高风险阶段,泄漏占比接近 30%,数据在使用阶段的泄
漏方式包括肩窥、掠读、拍照、截屏和打印等。
1.加强企业云上数据防护
对上云的数据进行分类分级,识别出高风险数据,并对云上环境进行风险评估;
对业务进行梳理,明确数据使用的场景,关闭不必要的服务,仅允许可信的访问请求。
采用必要的技术手段对数据进行防护,对安全策略和安全配置进行验证,防止安
全策略未落地,或者安全配置错误。提升员工的数据安全意识,建立合理的操作
流程制度。
2.数据防泄漏与数据防勒索并重
数据泄漏与勒索攻击正在加速融合,攻击者依靠这一手段不但对数据进行加密,
还获取了敏感信息,勒索的筹码增多,令受害者更容易就范。因此,防勒索的同
时,还应兼顾数据防泄漏,否则无法彻底杜绝被勒索。
3.对数据进行分类分级保护
通过数据分类分级,机构组织能够正确地评估数据所面临的风险,能够根据风险
的高低为不同级别数据制订有差异化的防护策略,将有限的安全资源发挥最大价
值。
数据分类分级工作通常需要注意,数据分类分级的结果是用来指导数据安全保护
工作的,应该保证一定的时效性;通过采用先进的内容识别技术,提升分类分级
准确性。
4.加强数据安全保护
除了关注数据存储环节,使用和共享交换环节的数据泄漏风险也同样惊人,因此
建议采取如下三个方面:
安全措施稽核:主要监测数据是否按照分类分级结果进行了安全防护。
操作行为监测:通过监测操作行为的具体信息,识别出高风险点,帮助安全团队
采取措施减少风险。
系统漏洞监测:定期对现有安全防护体系进行验证,通过漏洞扫描、渗透测试等
方式发现防护体系中存在的安全漏洞,及时进行风险评估和处置。
数据安全无处不在,关系到个人、企业组织和国家的利益。数据安全建设刻不容
缓。从法律标准的建设、安全意识的提高,到管理流程的实施、技术理念的进步,
需要社会各界紧密协作,共同应对。本报告希望能够为读者提供有价值的信息,
也欢迎来自读者建设性的反馈。让我们一起为数据安全行业贡献力量。
闪捷信息科技有限公司(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据防泄露、数据库审计、数据库防火墙、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。