自《中华人民共和国数据安全法》(以下简称“数据安全法”)正式施行以来,正值一周年。作为我国第一部针对数据安全的上位法律,《数据安全法》的颁布实施,首次将数据安全工作升至国家安全最高监管层级,并带动各行各业陆续出台数据安全标准细则。
尽管数据安全已得到了全行业的重视,但作为一个涉及多维度的复杂领域,企业在数据安全保护和治理方面依然面临很多挑战。在近期举行的“2022年国家网络安全宣传周”上,数据安全再次成为社会关注焦点。瑞数信息作为应用安全和数据安全领域的专业厂商,对企业如何做好数据安全给出了相应的建议。
数据安全的法律定义
在《数据安全法》出台之前,有关“数据”“数据库”以及“数据安全”等提法,已经在一些法律法规中有所体现。但是,法律意义上的数据安全到底是什么?数据处理的义务边界在哪里?
对此,《数据安全法》第三条规定:“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”具体而言,做好数据安全需要做很多事情,需要针对数据的收集、存储、使用、加工、传输、提供、公开等各个环节进行数据安全风险的监测、评估和防护等,也需要用到权限管控、数据脱敏、数据加密、审计溯源等多种技术手段。
目前,市面上已有很多单点的安全技术或数据技术,能够针对数据处理某一个环节提供服务。但随着数据领域的不断发展,这些单点技术之间缺乏联动,也覆盖不了广阔的数据处理环节,很难达到国家数据安全的监管要求。
如何应对合规要求,建立与《数据安全法》等法律法规相适配的防护策略和技术支撑,成为各大企业数据安全落地的首要挑战。
构建应用数据安全的主动防御体系
瑞数信息指出,《数据安全法》明确提出了两个较新的数据处理环节——提供、公开,这是企业数字化深化过程中出现频率越来越多的使用和处理环节,也是近年来数据泄露风险最常发生的环节。
《2021年数据泄露调查报告》显示,80%的数据泄露来自外部,61%的数据泄露牵涉登录,39%的数据泄露事件由Web攻击导致。这表明企业在提供和公开数据时,面临着众多的数据安全风险。
这是由于企业互联网化进程的不断深入,使得越来越多的业务被迁移到互联网上,大量的应用数据被产生、传输、公开、共享。与此同时,新一代应用通过 Web、H5、App、API、微信和小程序等多种业务渠道接入,导致应用敞口风险和链条管控难度加大,各类变化多端的撞库攻击、暴力破解、爬虫攻击、API接口滥用,也导致企业数据泄露风险加剧。
正因如此,瑞数信息基于数据的传输、提供、公开等关键生命周期节点,推出了基于多种安全技术打造的“应用数据安全主动防御解决方案”,以保障应用数据传输安全,防止API敏感数据泄露、实现对应用身份信息防护、恶意爬虫防护。
数据传输环节:动态混淆技术,保障数据传输的保密性和完整性
瑞数信息通过动态混淆技术,实现对应用代码、cookie混淆,有效防止攻击者分析应用代码,盗用 cookie 获取身份信息,提高攻击门槛。同时,对数据传输进行动态混淆,防止攻击者拦截数据传输的报文发起中间人攻击,有效保证数据传输的保密性和完整性。
数据提供环节:API敏感数据管控,防止API敏感数据泄露
近期大规模数据泄露事件都和API接口有关,API接口的敏感数据管控成为各企业数据安全建设重点。瑞数应用数据安全主动防御系统,通过API敏感接口自动识别、敏感数据和攻击检测、访问行为分析和异常处置,实现API敏感数据泄露防护。通过API资产自动发现和建立数据访问API的安全基线,对可能造成批量数据泄漏的API滥用、API异常数据获取等行为进行数据安全风险识别和管控。
数据公开环节:人机识别技术,实现身份信息防护和爬虫攻击防护
瑞数信息能够通过人机识别、行为分析、按需拦截等技术,对Web、APP、小程序、H5、微信、API等全业务接入渠道,实现对外挂和数据爬虫的防护。
有数据显示,超过60%的数据泄露和账号有关,随着大量数据泄露事件的爆发,黑产社工库积累了大量的账号和密码数据,攻击者编写脚本对企业登录页面和接口,批量发起撞库和暴力破解攻击。瑞数应用数据安全主动防御系统,通过“人机识别”技术和内置的各种业务威胁模型,透视撞库和暴力破解行为,实时拦截攻击行为,防止由于账号泄露造成的进一步数据泄露。
爬虫是交互数据类应用和公开数据类应用的主要威胁之一,也是各种应用数据泄漏的的主要
途径和入口,攻击者通过编写爬虫工具,批量爬取敏感数据。瑞数应用数据安全主动防御解
决方案,通过人机识别和可编程对抗技术实现对各种自动化工具的识别,提供实时和深入的
Bots攻击抵御,有效防止爬虫攻击。
守住数据安全“最后的防线”反勒索
由于数据对企业的价值越来越高,数据也已经成为勒索病毒主要的攻击目标。据Sophos发布的“2021勒索软件报告”显示,因勒索软件攻击而挽回损失的平均总成本预计在2021年同比会增加一倍多,且成本增加的趋势在未来十年都不会缓解。
毫无疑问,随着勒索软件的攻击手段越来越复杂,防御措施也受到了更大挑战。传统的安全防御一般将重心放在网络边界和应用、主机侧,它们的作用是防止勒索软件入侵、阻断勒索软件扩散。然而,勒索软件具有很高的隐蔽性和伪装性,一旦进入网络/主机层后,往往攻击者会潜伏很长时间,在获取更高的权限并掌握大量关键数据后才会发起勒索,此时网络/主机层往往已经无法阻止勒索攻击。
为了守住数据安全“最后一道防线”,对关键数据进行实时的安全检测和备份刻不容缓,而这正是《数据安全法》对两大数据处理环节——存储、使用的安全要求。
事实上,传统的灾备系统已无法满足勒索软件攻击场景下的安全需求,由于传统灾备定期对全量数据进行备份,一方面不能完全识别备份数据是否健康、是否可恢复、是否完整,一旦原始数据被感染,灾备数据同样会被感染,导致数据无法使用;另一方面,备份数据量巨大,恢复周期漫长,无法保证业务的连续性。
基于此,瑞数信息推出了国内首个数据安全检测与应急响应系统(DDR),定位于企业核心数据备份、快速恢复备份数据,正是数据反勒索“收官的防线”。
数据存储环节:备份数据安全隔离、安全存储
盘点数据资产与排查系统隐患是做好数据安全的第一步。瑞数DDR系统首先对企业数据进行健康体检,基于创新的“深度文件内容检测”技术,能够高效生成企业数据完整性、数据资产分布及权限审计等报告,协作企业全面掌控数据资产的现状。
在对企业关键数据进行备份后,瑞数DDR能够对备份数据进行安全隔离,防止恶意软件或黑客进行破坏或篡改。
其次,瑞数DDR系统具备安全储技术,其防篡改保护功能,通过加密技术防止存储中的数据泄露,同时可以按设定保留策略过期删除,保留周期只可以延长不可以缩短。
数据使用环节:备份数据安全检测、快速恢复
不同于传统备份系统必须将备份格式转化生产数据格式,恢复时间往往需要数天甚至数周,
瑞数基于创举的”智能快速恢复引擎”,无论多大数据量,瑞数DDR系统都能够自动生成可直接挂载的干净磁盘镜像,达到分钟级的数据恢复,将业务中断的时间降到较低。
这是因为瑞数DDR系统对备份数据的使用,都是备份数据的内部存储快照,不需要数据合并、数据格式转化、数据移动拷贝才能恢复。同时,对备份数据本身不做任何操作,也能确保备份数据存储中始终有一份干净的、未受感染的数据用于恢复业务。
即便企业遭遇了勒索软件攻击,瑞数DDR系统基于创举的“离线智能深度检测引擎”,也能够对勒索软件攻击过程中损毁的文件进行安全检测,找到被勒索病毒感染的文件及感染时间点,协助安全管理人员快速移除勒索软件,找出干净可用的数据,让企业随时都有干净可用的数据用于快速恢复。
总体而言,瑞数DDR系统的优势在于防批量数据破坏、安全隔离备份数据、分钟级快速恢复、生产环境低干扰、自动化可编排运维,能够很好地突破传统灾备系统面对勒索攻击威胁时的瓶颈,使得企业在关键数据的存储和使用环节得到很好的防护,这种将安全检测与数据备份融合的技术正是瑞数信息所独有的。
结语
《数据安全法》正式施行一周年,政策、市场、行业、企业在数据安全方面都有了深刻的变革,同时也催生了各类新兴安全技术。瑞数信息基于多年来对数据安全的认知和技术积累,针对数据全生命周期各阶段面临的安全风险,推出了一系列的安全解决方案,为企业直面数据安全合规和实战化挑战提供了有力的“兵器”。
