数据外流如涉及到关键个人,其隐私信息被境外敌对势力掌握,可以实现控制;或通过行为或活动轨迹数据推导出关键个人,予以追踪;如涉及到各大互联网公司在线业务被黑灰产业团伙“薅羊毛”、后台数据库被拖库[1],严重情况下,可能导致公司破产;如涉及重要国家机密信息被泄露、或通过大数据分析推导掌握,将对国家的政治、经济和国防安全构成重大威胁。

一、我数据外流态势

(一)主要外流渠道。一是内部人员泄密。因机构缺少账号及权限管控,导致内部人员以身份冒用、特权账户等形式,泄露客户信息或保密信息;或者在暗网[2]提供各种查档、定位服务,查询公民的住宿、出行、户籍、车辆、犯罪记录、学籍等各种隐私信息。二是黑客窃取行为。黑客利用QQ群、163邮箱、酒店等在线系统漏洞拖库,利用社工库[3]或者弱口令等撞库[4],导致数据泄露。三是违规收集信息。各类APP、网站、病毒、木马等违规、非法收集用户的地理位置、通讯录以及IP地址、用户行为习惯等信息。四是大数据关联分析。从公开发布的数据或者脱敏数据关联出用户的真实信息或分析者需要的信息,导致信息泄露。比如最近疫情中发布的各种看似脱敏的数据,实际上很容易分析出用户的真实信息。境外敌对势力也可通过分析我境内社交平台用户的关注热点、使用习惯、注册数据等,在信息投放和舆论引导上做有针对性的操纵。五是利用终端设备或仪器设备后门窃取数据。利用移动终端操作系统漏洞、公共WIFI网络漏洞、终端旧设备数据删除不完全、恶意APP以及弱口令、移动广告欺诈等场景,导致终端上的企业数据以及个人隐私数据泄露。

(二)数据泄露规模。从兜售端来看,近年来,每年在暗网平台出售的各类泄露数据多达上万起、数据总量高达数十亿条。其中涉及政府机构、公民信息,银行、证券等金融机构的客户信息、信用卡信息,各大电信运营商的机主以及互联网、快递、酒店、房地产、航空、医院、学校等各行各业的客户、用户信息,个人信息60%以上来自金融行业。这其中也有大量泄露自我国的数据。

[1]原指从数据库中批量导出数据。网络攻击中是指攻击者入侵有价值的网站或数据库后,窃取大批量用户资料或数据库文件的行为。

[2]隐藏的网络,普通网民无法通过常规手段搜索访问,需要使用一些特定的软件、配置或者授权等才能登录。

[3]攻击者们通过撞库、拖库等操作得到用户信息,对其进行整合分析、集中归档形成。社工库可能包含用户的个人信息、账号密码、行为轨迹等。

[4]称凭证填充攻击(Credential Stuffing Attack),是指攻击者(黑客)通过一些自动化工具,针对攻击目标网站或数据库的相关接口(比如登录接口),批量提交大量的用户名/密码组合,记录其中能成功登录的组合并盗取该账号。

二、数据外流的防范难点

随着我国加大数据监管力度,数据外流呈现新特点,现有监管形式可能难以应对。

(一)从交易数据演变为交易数据访问权限。如倒卖银行访问权限。黑市上有很多银行访问权限的倒卖活动,有的价格还很优惠,卖家号称可以提供对全球各银行的远程访问。通常由攻击者利用一个或多个漏洞获得上述权限,然后将其转售给具有财务动机的黑客,包括目标明确的勒索软件运营商等。一旦在监管不查的情况下取得数据访问权限,相当于门户洞开,数据外流损失难以估量。

(二)以勒索软件为代表的事件在增长。各种针对性的勒索软件组织已经攻击了世界多个国家的银行,Maze组织对哥斯达黎加的银行攻击事件负责,REvil (Sodinokibi)是智利银行攻击事件的幕后主使。支付赎金的受害者不会出现在勒索软件组织的列表中,因此无法确定还有多少银行遭到了有针对性的勒索软件攻击。公司出于对商誉的维护,在遭受攻击和数据损失时往往选择隐瞒不报,导致监管部门难以及时掌握信息,挽回损失。

(三)暗网交易增多。传统的泄露数据大多在QQ、微信以及地下论坛等交易传递。随着国家不断加大网络空间治理力度,打击数据违法行为,越来越多的泄露数据在暗网这种匿名、匿踪的黑市交易平台出售。

表1. 2020年以来在暗网出售的部分重要数据

三、工作建议

(一)源头控制。加强对数据访问权限特别是对特权账号和特权行为的管控,是解决数据安全问题最快最有效的方式。建议政府政策端帮助企业树立数据安全意识;可靠的信息安全厂商积极推动企业建立数据安全防护体系,加强系统定级、备案、测评等多维度安全防护建设。

(二)完善数据安全法律法规以及行业规范,加大监管和处罚力度。建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,完善针对个人信息数据安全的防护措施要求;严厉打击违法出售电话卡、银行卡以及第三方支付账号等违法犯罪活动;严厉打击各种黑灰产业推广、引流平台。

(三)切实加强暗网等新型网络犯罪的监管。加大技术投入和能力建设,以数据指令包等形式,实时关注暗网发售的涉我国政府、企业、个人数据,从其内容倒查国内泄露方和泄露点,查处补漏。严厉取缔服务器、运营者位于我境内的暗网。

(四)在深圳开展重点行业数据安全专项检查。围绕重要数据和个人信息安全保护,对拥有国家人口、法人单位、自然资源和空间地理、宏观经济等基础信息;核设施、化学生物、国防军工、高新技术、人口健康、能源电力等领域数据,党政机关、大型工程、海洋环境以及敏感地理信息数据等;拥有或累计拥有20万人以上身份标识类、健康隐私类、移动通讯类、互联网与社交网络类信息等的个人隐私;控制数据总量超过100GB;拥有其他可能影响国家安全、经济命脉、社会公共利益的重要数据的企事业单位数据安全管理工作进行线上、线下同步检查,深入了解重要数据和个人信息保护相关法律法规和保护措施落实情况,发现问题、督促整改,并评估深圳数据安全风险水平。一是摸排全市重点行业重点领域的核心数据、公民个人信息等重要数据资源的分布及管理情况;二是抽查检查重点单位,对企业、单位从数据安全运营管理(包含数据收集、存储、传输、使用、提供、销毁)、数据泄露风险技术检测、互联网数据泄露监测等三方面进行评估,发现并整改数据安全保护工作中的风险隐患和突出问题;三是全面总结梳理相关法律法规在数据收集、存储、使用、加工、传输、销毁等环节的实际落实情况,各行业数据分类分级实施情况,数据要素流通存在的实际问题,分析评估全市重要数据和个人信息保护工作总体情况,提出相关工作建议。

刘川意

哈尔滨工业大学(深圳)奇安信数据安全研究院院长、深圳市视觉目标检测与判识重点实验室副主任。主要研究方向:云计算与云安全,数据安全,AI系统安全。

潘鹤中

哈尔滨工业大学(深圳)奇安信数据安全研究院研究员,主要研究领域包括数据安全、人工智能安全、密码学等。

本文仅代表作者观点。

本文版权归高新院所有,欢迎朋友圈与微信群原文转发。

未经允许,任何单位或个人不得以其他形式转载,复制或以任何其他方式使用本文全部或部分内容,侵权必究。

图文编辑 | 游海心

校 对 | 于泽扬 张文浩

图 源 | 网络

声明:本文来自深圳高质量发展与新结构研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。