11月11日,第37次全国计算机安全学术交流会数据安全分论坛上,由CEATI威胁情报联盟牵头,奇安信行业安全研究中心、天际友盟等联合发布了《中国政企机构数据安全风险分析报告》(简称《报告》),对今年以来我国相关单位面临的数据安全风险进行了详细的解读。
数据泄露是最大风险
《报告》显示,2022年1月-2022年10月,安全内参共收录全球政企机构重大数据安全报道180起,其中数据泄露相关安全事件高达93起,占51.7%。与近三年平均每月公开报道频次相比,2022年相较前三年全球重大数据安全相关事件数量有小幅下降,略低于2020年与2021年。
并且,数据泄露已经超越数据破坏成为数据安全最大风险。与2021年相比,从数量来看,2021年全球数据安全大事件,涉及数据破坏的有102件,占总量的42.0%;涉及数据泄露的有100件,占总量的41.2%。2022年,全球数据安全大事件涉及数据破坏的大事件下降至42件,占总量的23.3%;而数据泄露事件有93件,占51.7%。可见近两年来,由于数据破坏导致的数据安全事件数量大幅减少,同时,数据泄露类事件一直较为严重。
从政企机构重大数据安全事件发生的原因来看,2022年1月~2022年10月,超过五成安全事件是由于外部攻击(指没有获得认证的、未经授权的非法用户对内网进行的访问请求或攻击行为)导致的,但也有5.0%的事件是由于内部人员违规操作。3.9%的重大数据安全事件是由于存在漏洞。
内鬼作案是数据安全事件发生的重要途径。我们不仅要防外也要防内,做好数据操作的审计,防止非授权信息读取,防止越权的敏感信息读取,包括一些过度的数据读取其实也是一种泄露,比如:在办一些业务的时候本来只用知道该用户的姓名、性别及年龄,但是在相关资料上还能看到其联系方式、工作单位等信息,这样的过度读取或者暴露个人信息的行为也不合适。
超950亿条数据在海外非法售卖,个人信息占据大头
在数据被窃取后,有相当一部分数据被挂在非法网站上进行售卖。2022年3月以来,奇安信威胁情报中心对BreachForum及各种暗网黑客黑产交易平台,以及LeakIX(一个数据泄露监测的网站)、Telegram、Twitter等海外网络平台上的数据泄露及交易信息(以下简称“交易信息”)进行了系统性的监测,并对其中涉及中国境内政企机构泄露数据的交易信息进行了评估和验证。
截至2022年10月,奇安信威胁情报中心累计监测到境内政企机构泄露数据的海外非法交易信息171条。其中,共有106条交易信息明确给出了泄露数据的数量或数据包的大小,约占交易信息总量的62.0%。
进一步分析显示,明确给出了泄露数据数量的交易信息共有85条,约占交易信息总数的49.7%,合计约含有950多亿条各类数据;明确给出了泄露数据数据包大小的交易信息共有40条,约占交易信息总数的23.4%,合计约有46.4TB数据信息。其中,有19条交易信息同时给出了泄露数据的数量和数据包大小。
按照交易信息的数量来看,55.6%的交易,买卖的是个人信息数据;其次是商业机密数据,占比19.3%;内网管理信息数据排第三,占比11.7%。按照泄露数据的数据包大小来看:个人信息至少有37.6TB,占比高达81.0%同样业内知名;其次是内网管理信息,约有4.3TB,占比为9.3%;运营数据排名第三,约有4.2TB,占比为9.0%。
此外,按照泄露数据的数量来看,个人信息数据约有868.8亿条,占比为91.4%;其次是运营数据,约有79.5亿条,占比为8.4%。二者之和占到了泄露数据总数量的99.8%。
在商业数据泄露方面,2022年1月-2022年6月,天际友盟共监测到商业机密数据泄露事件1948例,主要涉及文档数据泄露、代码数据泄露和文化版权数据盗版三大类数据泄露风险类型。
为全面了解政企机构商业机密数据泄露的原因,对部分数据泄露事件的原因进行了溯源分析。与人们一般的想象不同,商业机密数据泄露最主要的原因并不是黑客入侵或外部威胁,而是合作伙伴和内部人员的泄露。统计显示,约有34.5%的商业机密数据泄露是合作伙伴造成的;由内部人员泄露的商业机密,占比约为10.8%;而真正是由于外部入侵造成的商业机密泄露,仅占比约7.6%。
而百度文库、道客巴巴、豆丁网、360文库等文档分享平台,则是文档类商业机密数据泄露的主要渠道。
勒索病毒依然是国内数据安全的最大威胁
2022年1月-2022年9月,95015网络安全服务热线共接到全国各地大中型政企机构网络安全应急响应求助电话697起,其中,涉及到数据安全事件共295起,占比约为42.3%。从事件损失来看,数据破坏事件211起,占所有应急响应事件的30.3%;数据泄露事件68起,占比9.8%;数据篡改事件16起,占比2.3%。具体分布如下图所示。
对于触发数据安全应急响应事件的原因进行分析发现,勒索软件是当前阶段对国内政企机构数据安全威胁最大的攻击方式,占到所有攻击方式的59.7%;其次是漏洞利用,占比为14.6%;钓鱼邮件排第三,占比10.5%。此外,木马攻击(不含勒索软件)、非攻击事件也都是触发数据安全事件的重要原因。
从应急响应情况来看,数据安全问题也和内部人员的安全意识密切相关。比如钓鱼邮件和非攻击事件,这两种攻击类型,都属于安全意识不足引发的数据安全问题。特别是非攻击事件触发的数据安全事件,绝大多数都是由于员工操作不当引起的。