2018年万豪酒店被曝发生了史上最严重的数据泄露事件之一,万豪国际股价已经从今年2月份的150.78美元跌至69.15美元(截止收盘时间4月1日),市值从500亿美元减至不足250亿美元,在全球因疫情影响大量酒店关闭期间万豪酒店大幅裁员,紧接着又被爆出此次大规模的数据泄露事件,据悉约有520万客户信息受到波及。
万豪国际在其数据泄露通知中回应,最近一次数据泄露事件始于1月中旬并一直持续到2月底,并且显然没有泄露支付卡信息。但是该违规行为确实暴露了电子邮件地址、邮寄地址和其他个人身份信息。万豪说:“尽管事件的调查正在进行中,暂无信息表明此次泄漏数据涉及万豪账户密钥、支付卡信息、护照信息、身份证或驾驶证。”
(万豪国际官方声明:https://mysupport.marriott.com/)
不过两次事件之间最大区别在于,此次万豪国际更快的发现了入侵行为,从而防止了更多潜在客户记录被泄露。定期监控可疑行为和限制数据访问权限是防止发生此类事件发生的有效控制措施,这对于组织加强网络安全防范不失为一件好事。
数据安全主要面临哪些挑战?
· 爆炸性数据增长:数据正以指数级速度增长,数据安全保护的复杂性源于跨多个环境的新数据源和前所未有的数据规模;
· 新的隐私法规:等级保护2.0标准、通用数据保护条例(GDPR)、加利福尼亚的消费者隐私法(CCPA)等;
· 操作复杂度:向云端、大数据平台和来自多家数据供应商的不同工具的迁移加剧了操作复杂性;
· 网络安全技能短缺:组织已经在解决缺乏熟练的安全专业人员的问题,而且这种差距只会在未来几年内逐渐扩大。
综上,数据安全性使组织能够保护投资收益比,遵守法规要求并产生客户忠诚度。有效的数据安全性可以成为当今数字业务的关键差异因素。数据是几乎每个组织的核心,在保护数据的同时还促进有效使用以提高业务价值是成功的关键因素。利益驱动着不法分子攻击组织的数据库,这之中包含个人身份信息、健康信息、支付卡信息和知识产权等,其范围涵盖数据点,例如社会安全号码、地址、电话号码、银行信息、护照信息、病历、保险信息等。据权威机构调研,近八成的消费者对企业信任持怀疑时不会购买旗下产品,据2019年IBM Security统计得出数据泄露已达2.5万条记录的平均规模。
黑客窃取数据之后,是否有方法限制或者制止黑客的使用以防范数据倒卖呢?
一般被窃取后数据保护的难度比较大。一种手段是加密,如果数据真的窃取了,拿到的也是密文。数据被黑产窃取交易后,只要不拿到我们的密钥,就没办法使用盗取的数据。如果黑客拿走的是明文数据,就很难限制其使用。但是我们可以加入一些数据的水印,这样数据被购买了之后,可以根据水印去进行追踪溯源,知道是哪一些人掌握的数据是从这一批数据里来的,可以起到一定的震慑作用。
细数黑产获取公民信息的重要环节
根据腾讯守护者计划安全团队的研究发现,数据交易的黑产链条主要包含以下四大重要环节:
(1)数据服务商:主要通过三种形式非法获取公民个人信息,并进行进一步交易。第一种,企事业单位或电商、房产中介、快递等服务业合法采集/获取公民个人信息后,有“内鬼”与数据服务商交易。第二种是通过黑客入侵方式窃取(黑产界称“拖库”),或者收集泄露信息后尝试批量登录其他网站(黑产界称“撞库”)获取更多、更精准信息。第三种是编造理由或者伪造钓鱼链接等诱骗当事人主动提供/输入个人信息。
(2)数据清洗商:购买大量公民个人信息数据/社交软件帐号密码,通过晒密等技术手段进行验证和清洗,使数据更加精准。
(3)技术供应商:提供黑客入侵软件等工具,以及撞库、晒密等相关技术支持与服务。
(4)犯罪实施者:购买公民个人信息后,进行广告推销、恶意营销、盗刷、电信网络诈骗、敲诈勒索、骗贷、洗钱、绑架等。
在数据交易黑产交易链条中也不一定包含上述全部环节,有时候数据服务商获取数据后也会通过暗网等交易平台直接流转至犯罪实施者手中。数据的价格主要是根据数据质量和鲜活程度来决定的。历史数据一般打包出售,上万条甚至只卖几块钱,鲜活的数据可以卖到每条几块甚至十几块,一些定制的高价值数据如身份信息、学历、车票、银行流水等可以卖到每条数十至上千元。
怎样制定安全策略,才能将安全性融入项目规划?
组织合理使用工具关注安全策略,从而简化流程并增强安全性,在提供对关键系统有效访问的同时确保黑客无法访问数据。但是,数据保护涵盖的范围可能更广,组织可通过保留数据库备份及时恢复运营。将安全性融入每个新项目中,确保客户数据和公司的内部数据不受恶意攻击者侵害。切忌将安全性视为附加条件,数据作为业务的核心,流转于各个平台之间,对于每项新的项目而言投资回报率和企业声誉都同等重要。
嘶吼记者就万豪酒店再次数据泄漏事件采访了腾讯安全数据安全团队的负责人彭思翔,对于数据安全组织应该如何部署给出以下建议:
1)数据安全梳理。针对企业数据情况不同的阶段,首先要了解自身有什么数据、存在哪些环节、数据流动情况怎么样、谁在访问这些数据,以及可能会流向何方。根据数据的具体情况,需要对照自身法律法规、等保合规的差距项,尤其是在个人隐私数据方向,是否有GDPR的需求、国内的等保合规等等。把这些差距项明确后,企业尽可能得出需要做到的控制点,比如在整个的生命周期、每个控制流程中,需要一个底层的管理制度,规定谁可以去用这些数据,受到怎么样的监管。
2)管理制度建设。目前数据流动的速度非常快,需要通过数据安全的产品把制度落地。这是腾讯安全介入的一个时间点,通过自动化的工具发现数据资产,帮助企业明确现在的核心数据在哪里,与法律法规相关的数据在哪里,谁在访问。
3)解决方案落地。我们有一些防护的产品,比如数据库的保护、访问数据库安全的访问代理等等解决方案,可以选择来保护数据安全。
4)安全运营。进入到数据安全底层的阶段,整个数据安全是持续性的,制度和产品部署后,需要对企业整个数据安全的现状进行持续的更新和梳理。除了人员、运维和整个制度的持续性落实外,还需要自动化的数据管理工具,帮助实现这些能力。