进入数字经济时代,数字转型已是大势所趋,而数据安全则是数字经济健康发展的基础。《数据安全法》的出台,成为推动数字经济高质量发展的重要举措,与《网络安全法》《个人信息保护法》等法律法规,进一步完善了我国网络与信息安全领域的法律法规体系,表明国家层面对数据安全愈发重视。
同时数据作为企业最重要的资产,应得到妥善保护。本文即从高级威胁检测的视角出发,针对如何保护企事业单位的数据安全,如何有效监测重要敏感数据被窃取进行阐述。
敏感数据保护难点
《数据安全法》对数据的定义为:任何以电子或者其他方式对信息的记录。而敏感数据通常包括公民个人信息(手机号、银行卡号、身份份证号等),业务生产敏感数据和其他重要数据。由于敏感数据的传输涉及面广,使得敏感数据保护存在诸多难点。
1
与正常业务混杂
敏感数据传输保护的一个难点在于,企事业单位、关基单位、政务部门的正常业务交互中,存在敏感数据与正常业务数据混杂的情况,导致数据治理困难。
2
供应链被攻击风险
企事业单位、关基单位、政务部门和各自的供应链存在数据交互,故而供应链存储了大量敏感数据。供应链作为防护的薄弱环节,近年来备受攻击者青睐,且由于攻击手段较隐蔽,难以实时发现。
3
黑灰产窃取数据
敏感数据的另一个外部风险来自黑灰产数据窃取,在巨大利益的驱动下,黑灰产从业者疯狂游走在监管的边缘地带。2022年国内黑灰产从业者超过200万,对企事业单位的业务安全和数据安全造成了不可忽视的危害。
黑灰产窃取敏感数据多利用业务逻辑漏洞,由于业务本身存在设计缺陷,如没有严格的身份认证,容易被黑灰产利用。黑灰产利用自动化脚本或群控工具批量请求数据,造成敏感数据泄露,严重危害企业数据安全。而从企事业单位安全监测角度,仅能看到业务访问量增加,且都是正常的业务访问,不会触发安全监测设备告警,事后也无从查证。
如何检测敏感数据传输
1
内置敏感数据检测能力
数据安全场景下,网御威胁分析一体机(简称TAR)具备敏感数据检测能力,默认内置手机号、银行卡号、身份证号、邮箱、姓名等敏感数据标签。具备敏感数据传输分析场景,可对敏感数据访问业务地址、访问关系进行告警监测,可实现实时告警监测和事后溯源取证。
2
流量检测与文件检测结合
不同于其他安全监测设备,网御威胁分析一体机(简称TAR)不仅可以监测HTTP流量中敏感数据的传输行为,同时也能够监测office文件内的敏感数据,具备强大的双向引擎还原能力,可以还原百余种格式的文件。即使攻击者将敏感数据文件如EXCEL表格压缩打包后再进行窃取传输,也会被TAR监测并告警。真正做到了监测无死角、无遗漏,实现敏感数据传输的全流量监测。
3
自定义敏感数据检测
《数据安全法》对数据的定义十分宽泛,同样敏感数据类型也是包罗万象,网御威胁分析一体机(简称TAR)具备自定义敏感数据标签和关键字的能力,可根据企事业单位、关基单位、政务部门自身需求,进行自定义敏感数据监测。
网御星云致力于提供具有行业竞争力的自主创新安全产品和最佳实践服务,帮助客户全面提升IT基础设施的安全性和生产效能。未来,网御星云将为客户持续提供完善的数据安全解决方案,为国家网络空间安全和行业生态发展贡献自己的力量。